Artikel top billede

Sådan fik Forsvaret styr på IBM's sikkerhedsgodkendelse

Forsvarets Efteretningstjeneste blev draget ind i sag, hvor it-leverandøren IBM ikke var sikkerhedsgodkendt i tide.

 


Kritik af DeMars: Sikkerheden var ikke på plads

IBM havde som leverandør af et af Forsvarets største it-systemer, DeMars, ikke den krævede sikkerhedsgodkendelse i mere end et halvt år.

Det fremgår af Rigsrevisionens rapport, og er bekræftet af begge parter.

Nu fortæller Forsvaret, hvordan man greb hele situationen an.

"Naturligvis var det et problem. Alle parter tog det alvorligt, og det var derfor, at det blev håndteret. Det var bestemt ikke ligegyldigt," siger Tony Lindemann Bøgh, som er chef ved forretningsproces-sektionen i Forsvarskommandoen, og har været tilknyttet DeMars-projektet siden 1998.

Fremadrettet vil man da også sørge for, at det ikke sker igen.

"Vi lærer af vores erfaringer."

Han forklarer, at næste gang, de skal igennem et leverandør-skifte på et virksomhedskritisk it-system, så er forudsætningerne, at leverandøren kan opnå en rettidig sikkerhedsgodkendelse.

"Og forudsætningerne er større, fordi vi ikke bare har observeret, hvad der skete, men også forsøger at lære af det," siger Tony Lindemann Bøgh.

Meget vigtigt it-system

 


Kritik af DeMars: Sikkerheden var ikke på plads

Kravet om sikkerhedsgodkendelse omkring DeMars er ikke blevet til ved et tilfælde, for Forsvaret har virksomhedskritiske data i systemet, forklarer han.

"Vi har vigtige data i vores system. Og uanset hvilken leverandør, vi valgte, så vidste vi også, at leverandøren skulle forstå hvilke krav, der stilles," siger Tony Lindemann Bøgh.

Han peger på, at der er forskellige grunde til, at Demars er et kritisk system.

En af grundene er, at Forsvaret bruger systemet i økonomiforvaltningen.

Når Forsvarets interne revision kontrollerer Forsvarets regnskabsaflæggelse - økonomien i Forsvaret er på mere end 20 milliarder kroner - så tager de udgangspunkt i data fra DeMars.

It-sikkerhed omfatter blandt andet personalesikkerhed, fysisk sikkerhed og datasikkerhed. 

"Og det, der blandt andet skal dokumenteres, er, at uautoriserede medarbejdere, fra IBM eller forsvaret, er forhindret i at få adgang til DeMars," oplyser Tony Lindemann Bøgh.

Det gælder lige fra database til applikation til desktop-niveau med videre.

Den anden dimension af det kritiske ved systemet er, at man næsten ikke kan køre Forsvaret uden systemet.

"Forsvaret er afhængig af, at DeMars virker. Uden DeMars kan vi ikke styre økonomien, personalet, materiellet, med mere, og vi ville være forhindrede i at løse vores operative opgaver," forklarer Tony Lindemann Bøgh.

Bevæbnede vagter og stråling

Blandt andet må serverne end ikke stå i samme rum som andre servere hos leverandøren, og kablerne er skærmet mod stråling, der er særlige koder, alarmer og visse steder sågar bevæbnede vagter, forklarer han.

Alle de ting gør tilsammen, at udbudsmaterialet var så omfattende, som det i sin tid var.

De sikkerhedsmæssige krav var en medvirkende årsag til udbudsmaterialets omfang.

"Og IBM vandt så kontrakten. Og IBM sagde "vi kan efterleve sikkerhedskravene". Og det var sådan set ikke det at efterleve sikkerhedskravene, der var problemet, det var det at levere dokumentationen af, at de havde efterlevet sikkerhedskravene."

"Det tog bare længere tid, end vi havde regnet med," siger Tony Lindemann Bøgh.

"Kompenserende kontroller" indsat

 


Kritik af DeMars: Sikkerheden var ikke på plads

Computerworld har spurgt Forsvaret, om de kan garantere, at der ikke er sket brud i sikkerheden.

"Det, vi gjorde, så snart vi konstaterede at denne her sikkerhedsgodkendelse ville blive forsinket, var, at vi iværksatte en række aktiviteter, der sikrede, at vi opnåede den nødvendige sikkerhed."

"Vi kalder det kompenserende kontroller," fortæller Tony Lindemann Bøgh.

Eksempelvis omkring personsikkerhed, datasikkerhed og fysisk sikkerhed sagde Forsvaret, at når nu dokumentationen ikke er på plads, så bliver det nødt til at sikre sig på anden vis, forklarer han.
 
"Og det, vi gjorde, var, at med afsæt i de væsentligste af de krav, vi havde stillet i udbudsmaterialet, var vi simpelthen nødt til at lave nogle midlertidige foranstaltninger," fortæller Tony Lindemann Bøgh.

"Det kan være nogle manuelle kontroller, hvor vi går ud og siger: Ok, hvem har adgang til databaseservere? For her kunne nogle potentielt gøre noget grimt ved systemet."

Efterretningstjenesten med

Derudover var en stribe aktører inde over processen, der blev sat igang.

Forsvarskommandoen, Forsvaret Koncern Informatiktjeneste, Forsvarets Efterretningstjeneste og Forsvarsministeriets Interne Revision var nødt til at spørge sig selv, hvordan man kunne sikre sig i perioden, indtil IBM kunnedokumentere, at sikkerhedsgodkendelsen er på plads.

"Hvad er det, vi helt konkret skal gøre for at sikre os?" lyder det fra Tony Lindemann Bøgh.

"Vi iværksatte stribevis af manuelle kompenserende kontroller. Og det var lidt en streg i regningen, for det var meningen, at nogle af kontrollerne skulle være automatiserede".

"Men fordi vi gjorde alle de her ting, og fordi alle de her forskellige aktører og Forsvarets Efterretningstjeneste var med inde over, så endte vi med et forløb og også her efterfølgende, at vi er trygge ved, at der ikke er sket nogen sikkerhedsbrist på grund af den her forsinkede sikkerhedsgodkendelse," fortæller Tony Lindemann Bøgh.

"Det er et resultat af, at vi gjorde alle de her ting," slutter han.

 


Kritik af DeMars: Sikkerheden var ikke på plads




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG Danmark A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere