Artikel top billede

Sådan fik Forsvaret styr på IBM's sikkerhedsgodkendelse

Forsvarets Efteretningstjeneste blev draget ind i sag, hvor it-leverandøren IBM ikke var sikkerhedsgodkendt i tide.

 


Kritik af DeMars: Sikkerheden var ikke på plads

IBM havde som leverandør af et af Forsvarets største it-systemer, DeMars, ikke den krævede sikkerhedsgodkendelse i mere end et halvt år.

Det fremgår af Rigsrevisionens rapport, og er bekræftet af begge parter.

Nu fortæller Forsvaret, hvordan man greb hele situationen an.

"Naturligvis var det et problem. Alle parter tog det alvorligt, og det var derfor, at det blev håndteret. Det var bestemt ikke ligegyldigt," siger Tony Lindemann Bøgh, som er chef ved forretningsproces-sektionen i Forsvarskommandoen, og har været tilknyttet DeMars-projektet siden 1998.

Fremadrettet vil man da også sørge for, at det ikke sker igen.

"Vi lærer af vores erfaringer."

Han forklarer, at næste gang, de skal igennem et leverandør-skifte på et virksomhedskritisk it-system, så er forudsætningerne, at leverandøren kan opnå en rettidig sikkerhedsgodkendelse.

"Og forudsætningerne er større, fordi vi ikke bare har observeret, hvad der skete, men også forsøger at lære af det," siger Tony Lindemann Bøgh.

Meget vigtigt it-system

 


Kritik af DeMars: Sikkerheden var ikke på plads

Kravet om sikkerhedsgodkendelse omkring DeMars er ikke blevet til ved et tilfælde, for Forsvaret har virksomhedskritiske data i systemet, forklarer han.

"Vi har vigtige data i vores system. Og uanset hvilken leverandør, vi valgte, så vidste vi også, at leverandøren skulle forstå hvilke krav, der stilles," siger Tony Lindemann Bøgh.

Han peger på, at der er forskellige grunde til, at Demars er et kritisk system.

En af grundene er, at Forsvaret bruger systemet i økonomiforvaltningen.

Når Forsvarets interne revision kontrollerer Forsvarets regnskabsaflæggelse - økonomien i Forsvaret er på mere end 20 milliarder kroner - så tager de udgangspunkt i data fra DeMars.

It-sikkerhed omfatter blandt andet personalesikkerhed, fysisk sikkerhed og datasikkerhed. 

"Og det, der blandt andet skal dokumenteres, er, at uautoriserede medarbejdere, fra IBM eller forsvaret, er forhindret i at få adgang til DeMars," oplyser Tony Lindemann Bøgh.

Det gælder lige fra database til applikation til desktop-niveau med videre.

Den anden dimension af det kritiske ved systemet er, at man næsten ikke kan køre Forsvaret uden systemet.

"Forsvaret er afhængig af, at DeMars virker. Uden DeMars kan vi ikke styre økonomien, personalet, materiellet, med mere, og vi ville være forhindrede i at løse vores operative opgaver," forklarer Tony Lindemann Bøgh.

Bevæbnede vagter og stråling

Blandt andet må serverne end ikke stå i samme rum som andre servere hos leverandøren, og kablerne er skærmet mod stråling, der er særlige koder, alarmer og visse steder sågar bevæbnede vagter, forklarer han.

Alle de ting gør tilsammen, at udbudsmaterialet var så omfattende, som det i sin tid var.

De sikkerhedsmæssige krav var en medvirkende årsag til udbudsmaterialets omfang.

"Og IBM vandt så kontrakten. Og IBM sagde "vi kan efterleve sikkerhedskravene". Og det var sådan set ikke det at efterleve sikkerhedskravene, der var problemet, det var det at levere dokumentationen af, at de havde efterlevet sikkerhedskravene."

"Det tog bare længere tid, end vi havde regnet med," siger Tony Lindemann Bøgh.

"Kompenserende kontroller" indsat

 


Kritik af DeMars: Sikkerheden var ikke på plads

Computerworld har spurgt Forsvaret, om de kan garantere, at der ikke er sket brud i sikkerheden.

"Det, vi gjorde, så snart vi konstaterede at denne her sikkerhedsgodkendelse ville blive forsinket, var, at vi iværksatte en række aktiviteter, der sikrede, at vi opnåede den nødvendige sikkerhed."

"Vi kalder det kompenserende kontroller," fortæller Tony Lindemann Bøgh.

Eksempelvis omkring personsikkerhed, datasikkerhed og fysisk sikkerhed sagde Forsvaret, at når nu dokumentationen ikke er på plads, så bliver det nødt til at sikre sig på anden vis, forklarer han.
 
"Og det, vi gjorde, var, at med afsæt i de væsentligste af de krav, vi havde stillet i udbudsmaterialet, var vi simpelthen nødt til at lave nogle midlertidige foranstaltninger," fortæller Tony Lindemann Bøgh.

"Det kan være nogle manuelle kontroller, hvor vi går ud og siger: Ok, hvem har adgang til databaseservere? For her kunne nogle potentielt gøre noget grimt ved systemet."

Efterretningstjenesten med

Derudover var en stribe aktører inde over processen, der blev sat igang.

Forsvarskommandoen, Forsvaret Koncern Informatiktjeneste, Forsvarets Efterretningstjeneste og Forsvarsministeriets Interne Revision var nødt til at spørge sig selv, hvordan man kunne sikre sig i perioden, indtil IBM kunnedokumentere, at sikkerhedsgodkendelsen er på plads.

"Hvad er det, vi helt konkret skal gøre for at sikre os?" lyder det fra Tony Lindemann Bøgh.

"Vi iværksatte stribevis af manuelle kompenserende kontroller. Og det var lidt en streg i regningen, for det var meningen, at nogle af kontrollerne skulle være automatiserede".

"Men fordi vi gjorde alle de her ting, og fordi alle de her forskellige aktører og Forsvarets Efterretningstjeneste var med inde over, så endte vi med et forløb og også her efterfølgende, at vi er trygge ved, at der ikke er sket nogen sikkerhedsbrist på grund af den her forsinkede sikkerhedsgodkendelse," fortæller Tony Lindemann Bøgh.

"Det er et resultat af, at vi gjorde alle de her ting," slutter han.

 


Kritik af DeMars: Sikkerheden var ikke på plads




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital kundeservice: Kom godt i gang med chatbots

Der er store gevinster at hente med chatbots, som kan håndtere en stor del af kommunikationen med brugere - både de eksterne som kunder og de interne som medarbejdere.Og lige rundt om hjørnet venter næste generation, nemlig de stemme-baserede chatbots, som står på skuldrene af de stemmestyrede home-devices som Amazons Alexa og Google Home.

07. december 2021 | Læs mere


Can AI bring value to your business?

You will learn how AI has been successfully used to enhance an existing business where artificial intelligence is deployed to work complementary to natural intelligence in a complex data process. And you will be presented with a business case where AI provides the possibilities of creating a completely new business platform, that would not otherwise have been possible.

08. december 2021 | Læs mere


Sådan styrker du din forsyningskæde gennem digitalisering

I dette webinar bygger CGI's eksperter bro mellem de overordnede, strategiske aspekter af den digitale værdikæde og mere konkret de nye muligheder, Intelligent Order Management til Microsoft Dynamics 365 FO byder på.

09. december 2021 | Læs mere






Computerworld
Opsporet: Her bor en af verdens mest berygtede hackere og en af hovedpersonerne bag REvil med sin hustru i stor villa