Cybertruslen mod Danmark vokser, og derfor mener Center for Cybersikkerhed (CFCS) også, at det er på tide, at de danske ministre og deres ansatte hæver sikkerheden på deres arbejdstelefoner.
Og et af de initiativer, der skal skærpe sikkerheden, er Center for Cybersikkerheds "håndbog i sikkerhed for mobile enheder".
Derudover lød meldingen fra CFCS også, at de ansatte skulle slukke for både wi-fi, bluetooth, stemmestyring og cloudbackup på deres arbejdstelefon.
- Den nuværende opsætning af mobile enheder i staten modsvarer ikke dette trusselsbillede. Der implementeres derfor nu en række tiltag, som skal sikkerhedshærde de mobile enheder og derved reducere deres sårbarhed over for spionage, skriver Center for Cybersikkerhed selv i deres håndbog.
"Sikkerhedshærdningen" dækker over den ændrede opsætning på arbejdsmobilerne i ministerierne.
Alle veje førte til Forsvarsministeriet
DR Nyheder har spurgt samtlige ministerier, om ministeren, departementschefen, særlige rådgivere og udvalgte medarbejdere allerede nu følger anbefalingerne fra Center for Cybersikkerhed.
Fra Børne- og Undervisningsministeriet lyder det, at man vil implementere alle retningslinjerne, men alle andre ministerier henviser til Forsvarsministeriet for svar.
Og her er meldingen, at sikkerhedsforanstaltninger først vil blive implementeret i løbet af de kommende måneder.
- CFCS, PET og Statens It har udarbejdet en håndbog i sikkerhed for mobile enheder, som implementerer en såkaldt ”sikkerhedshærdning” af tjenstlige mobile enheder og reducerer deres sårbarhed over for spionage.
- Mobilhåndbogen er under udrulning og vil blive udrullet i ministerierne i løbet af de kommende måneder.
DR Nyheder har spurgt Forsvarsministeriet, hvor mange måneder "de kommende måneder" dækker over, og om det med cybertruslen in mente er tilfredsstillende, at man ikke har implementeret anbefalingerne endnu.
- Forsvarsministeriet har ikke yderligere at tilføje, lyder svaret.
Vi ved ikke præcis, hvornår håndbogen er udkommet, men den 23. februar kom det frem, at Center for Cybersikkerhed frarådede TikTok på tjenstlige enheder, hvilket er en central del af håndbogens indhold.
'Burde være blevet implementeret for længe siden'
Af håndbog i sikkerhed for mobile enheder, som DR har fået aktindsigt i, fremgår det, at sikkerhedshærdningen vil tage 30 minutter, og vil blive udført "on-site".
- Udrulningen understøttes af Statens It, CFCS og PET, lyder det i Forsvarsministeriets svar til DR Nyheder.
DR Nyheder har spurgt, hvorfor medarbejdere ikke bare selv kan slukke for de funktioner og slette de apps, som håndbogen foreskriver. Det har vi ikke fået svar på.
Og det kan sagtens tage rigtig lang tid at sikkerhedshærde ministeriernes arbejdstelefoner, hvis medarbejderne ikke selv kan gøre det. Men så burde man være startet meget før, lyder det fra Jan Lemnitzer, der er assisterende professor på CBS med speciale i cybersikkerhed.
- De her anbefalinger burde være blevet implementeret for længe siden, lyder det.
Nu skal der prioriteres
Han mener også, at det væsentligste lige nu er, at staten formår at prioritere, hvilke telefoner, der står først i køen for sikkerhedshærdningen.
- Går de bare efter en alfabetisk liste, eller sørger de for, at dem, der får den først, er dem, der har størst behov for det?
- Der er stor forskel på, om man sidder med, hvem der får bevillinger fra Kulturministeriet, eller om man arbejder med våbenleverancer til Ukraine, siger Jan Lemnitzer.
Og det er ikke kun for eksempel forsvars- og statsministeren, der hurtigst muligt bør bruge en halv time med statens It-folk på sikkerhedshærdningen. Det skal deres ansatte også.
Faktisk bør man sørge for, at menige ansatte i for eksempel Forsvarsministeriet hurtigere får foretaget sikkerhedshærdningen af deres telefon end en minister i et ministerium, der ikke er udsat for så stor en cybertrussel.
- Problemet er, at hvis du får kontrol med en telefon fra en menig ansat, der har en minister eller topembedsmand i sin telefonbog, så kan man kompromittere en telefon fra en højere rangerende ansat, hvis man sender en besked til dem.
- Derfor skal en menig ansat i Forsvarsministeriet dybest set sikkerhedshærdes før for eksempel kulturministeren, siger Jan Lemnitzer.
Og hvem er det, der er udsatte mål for cyberangreb i Danmark?
- De udsatte mål i Danmark er alle, der har noget at gøre med træning og våbenleverancer, og alle Nato-forbindelser.
Hvis man prioriterer, kan man vente med fuld implementering
Samme melding kommer fra Jacob Herbst, der er it-sikkerhedsspecialist og partner hos cybersikkerhedsvirksomheden Dubex.
- Det, der er vigtigt, er, at man får fokuseret på det, der er væsentligst. Og så kan man sådan set godt vente med at implementere de andre ting til der er gået nogle måneder.
Har man været for sent ude i forhold til at udsende den her håndbog?
- Gennem de senere år, har der været masser af eksempler på kompromittering af mobiltelefoner, og hvis der først omkring februar er kommet egentlige regler og krav til brug af mobiltelefoner, så er det for sent.
- Men der har længe eksisteret en vejledning fra PET og CFCS, så har man har jo været opmærksom på området tidligere, siger Jacob Herbst.
DR Nyheder har spurgt Forsvarsministeriet, om man prioriterer i den måde, man sikkerhedshærder telefonerne i ministerierne. Det har ministeriet ikke ønsket at svare på.