Artikel top billede

Sådan fik Forsvaret styr på IBM's sikkerhedsgodkendelse

Forsvarets Efteretningstjeneste blev draget ind i sag, hvor it-leverandøren IBM ikke var sikkerhedsgodkendt i tide.

 


Kritik af DeMars: Sikkerheden var ikke på plads

IBM havde som leverandør af et af Forsvarets største it-systemer, DeMars, ikke den krævede sikkerhedsgodkendelse i mere end et halvt år.

Det fremgår af Rigsrevisionens rapport, og er bekræftet af begge parter.

Nu fortæller Forsvaret, hvordan man greb hele situationen an.

"Naturligvis var det et problem. Alle parter tog det alvorligt, og det var derfor, at det blev håndteret. Det var bestemt ikke ligegyldigt," siger Tony Lindemann Bøgh, som er chef ved forretningsproces-sektionen i Forsvarskommandoen, og har været tilknyttet DeMars-projektet siden 1998.

Fremadrettet vil man da også sørge for, at det ikke sker igen.

"Vi lærer af vores erfaringer."

Han forklarer, at næste gang, de skal igennem et leverandør-skifte på et virksomhedskritisk it-system, så er forudsætningerne, at leverandøren kan opnå en rettidig sikkerhedsgodkendelse.

"Og forudsætningerne er større, fordi vi ikke bare har observeret, hvad der skete, men også forsøger at lære af det," siger Tony Lindemann Bøgh.

Meget vigtigt it-system

 


Kritik af DeMars: Sikkerheden var ikke på plads

Kravet om sikkerhedsgodkendelse omkring DeMars er ikke blevet til ved et tilfælde, for Forsvaret har virksomhedskritiske data i systemet, forklarer han.

"Vi har vigtige data i vores system. Og uanset hvilken leverandør, vi valgte, så vidste vi også, at leverandøren skulle forstå hvilke krav, der stilles," siger Tony Lindemann Bøgh.

Han peger på, at der er forskellige grunde til, at Demars er et kritisk system.

En af grundene er, at Forsvaret bruger systemet i økonomiforvaltningen.

Når Forsvarets interne revision kontrollerer Forsvarets regnskabsaflæggelse - økonomien i Forsvaret er på mere end 20 milliarder kroner - så tager de udgangspunkt i data fra DeMars.

It-sikkerhed omfatter blandt andet personalesikkerhed, fysisk sikkerhed og datasikkerhed. 

"Og det, der blandt andet skal dokumenteres, er, at uautoriserede medarbejdere, fra IBM eller forsvaret, er forhindret i at få adgang til DeMars," oplyser Tony Lindemann Bøgh.

Det gælder lige fra database til applikation til desktop-niveau med videre.

Den anden dimension af det kritiske ved systemet er, at man næsten ikke kan køre Forsvaret uden systemet.

"Forsvaret er afhængig af, at DeMars virker. Uden DeMars kan vi ikke styre økonomien, personalet, materiellet, med mere, og vi ville være forhindrede i at løse vores operative opgaver," forklarer Tony Lindemann Bøgh.

Bevæbnede vagter og stråling

Blandt andet må serverne end ikke stå i samme rum som andre servere hos leverandøren, og kablerne er skærmet mod stråling, der er særlige koder, alarmer og visse steder sågar bevæbnede vagter, forklarer han.

Alle de ting gør tilsammen, at udbudsmaterialet var så omfattende, som det i sin tid var.

De sikkerhedsmæssige krav var en medvirkende årsag til udbudsmaterialets omfang.

"Og IBM vandt så kontrakten. Og IBM sagde "vi kan efterleve sikkerhedskravene". Og det var sådan set ikke det at efterleve sikkerhedskravene, der var problemet, det var det at levere dokumentationen af, at de havde efterlevet sikkerhedskravene."

"Det tog bare længere tid, end vi havde regnet med," siger Tony Lindemann Bøgh.

"Kompenserende kontroller" indsat

 


Kritik af DeMars: Sikkerheden var ikke på plads

Computerworld har spurgt Forsvaret, om de kan garantere, at der ikke er sket brud i sikkerheden.

"Det, vi gjorde, så snart vi konstaterede at denne her sikkerhedsgodkendelse ville blive forsinket, var, at vi iværksatte en række aktiviteter, der sikrede, at vi opnåede den nødvendige sikkerhed."

"Vi kalder det kompenserende kontroller," fortæller Tony Lindemann Bøgh.

Eksempelvis omkring personsikkerhed, datasikkerhed og fysisk sikkerhed sagde Forsvaret, at når nu dokumentationen ikke er på plads, så bliver det nødt til at sikre sig på anden vis, forklarer han.
 
"Og det, vi gjorde, var, at med afsæt i de væsentligste af de krav, vi havde stillet i udbudsmaterialet, var vi simpelthen nødt til at lave nogle midlertidige foranstaltninger," fortæller Tony Lindemann Bøgh.

"Det kan være nogle manuelle kontroller, hvor vi går ud og siger: Ok, hvem har adgang til databaseservere? For her kunne nogle potentielt gøre noget grimt ved systemet."

Efterretningstjenesten med

Derudover var en stribe aktører inde over processen, der blev sat igang.

Forsvarskommandoen, Forsvaret Koncern Informatiktjeneste, Forsvarets Efterretningstjeneste og Forsvarsministeriets Interne Revision var nødt til at spørge sig selv, hvordan man kunne sikre sig i perioden, indtil IBM kunnedokumentere, at sikkerhedsgodkendelsen er på plads.

"Hvad er det, vi helt konkret skal gøre for at sikre os?" lyder det fra Tony Lindemann Bøgh.

"Vi iværksatte stribevis af manuelle kompenserende kontroller. Og det var lidt en streg i regningen, for det var meningen, at nogle af kontrollerne skulle være automatiserede".

"Men fordi vi gjorde alle de her ting, og fordi alle de her forskellige aktører og Forsvarets Efterretningstjeneste var med inde over, så endte vi med et forløb og også her efterfølgende, at vi er trygge ved, at der ikke er sket nogen sikkerhedsbrist på grund af den her forsinkede sikkerhedsgodkendelse," fortæller Tony Lindemann Bøgh.

"Det er et resultat af, at vi gjorde alle de her ting," slutter han.

 


Kritik af DeMars: Sikkerheden var ikke på plads




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Alfapeople Nordic A/S
Rådgivning, implementering, udvikling og support af software og it-løsninger indenfor CRM og ERP.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Brand din forretning og skab nye leads med Microsoft Dynamics 365 til marketing

Vidste du, at Microsoft Dynamics også byder på stærk funktionalitet til marketingafdelingen? På kun 1 1/2 time inspirerer vi dig til, hvordan du kan bruge Dynamics 365 Marketing til at brande din forretning og skabe nye leads.

17. maj 2021 | Læs mere


Vælg den rigtige infrastruktur og it-arkitektur

Få indblik i, hvordan du kan sikre sammenhæng og overblik i et it-landksab, der konstant ændres. Dette kan blandt andet gøres med de rette strategisk og teknologiske vlag, så effektiviteten, stabiliteten og sikkerheden opretholdes. Den rigtige infrastruktur og it-arkitektur kan uden tvivl hjælpe dig med at skabe overblikket over dit it-landskab.

18. maj 2021 | Læs mere


Digital transformation og innovation: Inspiration til digitale succeshistorier

Kom ind bag facaden hos nogle af Danmarks bedste it-folk, og lær hvordan de arbejder med digital transformation og innovation. Du får muligheden for at høre, hvordan du kan bruge den nye teknologi til at få etableret det mest effektive udviklings- og innovationsmilø.

19. maj 2021 | Læs mere






Premium
Sikkerhedsekspert: Derfor har Colonial været nødt til at betale hackere ransomware på 30 millioner kroner - vil sagtens kunne ske i Danmark
Interview: Hvorfor har mægtige Colonial Pipeline valgt at betale ransomware til hackere trods anbefalinger fra myndigheder og sikkerhedsmiljøet? "Det er ikke helt sort og hvidt," siger sikkerheds-ekspert Leif Jensen fra Eset.
Computerworld
Stor krise i den danske it-stjerne David Heinemeiers Hanssons firma: Her er historien om dramaet, der fik en tredjedel af de ansatte i Basecamp til at smække med døren
De ansatte har i hobe forladt David Heinemeier Hanssons amerikanske succes-firma Basecamp efter en intern racisme-debat. Hvordan kunne det gå så galt?
CIO
Har du rost din mellemleder i dag? Snart er de uddøde - og det er et tab
Computerworld mener: Mellemledere lever livet farligt: Topledelsen får konstant ideer med skiftende hold i virkeligheden, og moden går mod flade agile organisationer. Men mellemlederen er en overset hverdagens helt med et kæmpe ansvar. Her er min hyldest til den ofte latterliggjorte mellemleder.
Job & Karriere
Eva Berneke stopper som topchef i KMD og flytter til Paris: Her er KMD's nye topchef
Efter syv år på posten som topchef for KMD forlader Eva Berneke selskabet. Nu flytter hun med familien til Paris, hvor hun vil fortsætte sit bestyrelsesarbejde. KMD har allerede afløser på plads.
White paper
Sådan prioriterer IT-sikkerhedschefernes indsatsen i 2021
I denne undersøgelse fra F-Secure giver knap 2.000 ledende personer på tværs af hele Europa deres bud på, hvor de vil prioritere indsatsen i år – og hvad de opfatter som virksomhedernes mest presserende udfordringer på cybersikkerhedsfronten.