Artikel top billede

Statens It: Vi har da fået stjålet fortrolige filer med vilje

Statens It fortæller her, at indbrudstyve har brudt ind og stjålet fortrolige dokumenter fra myndigheden, der har 55 styrelser og ministerier som kunder. Statens It's vicedirektør mener, at indbruddet var en positiv oplevelse.

To svenske sikkerhedsfolk kunne for nylig berette, at de efter aftale med en offentlig it-direktør trængte ind i et svensk ministerium og på under en halv time huggede fortrolige regeringsfiler.

På den baggrund har Computerworld talt med Statens It og spurgt, om noget lignende kunne ske i det statslige it-center med 55 forskellige styrelser og institutioner som Finansministeriet, Miljøministeriet og Erhvervs- og Vækstministeriet som kunder med dertilhørende fortrolige data.

"Vi kan jo højst gardere os til et vist punkt med tyverisikringer, rum-detektorer, gode låse, kameraovervågning og vagtfirma til at passe på os, men vi kan naturligvis ikke fuldstændigt udelukke et angreb udført med social engineering," forklarer vice-direktør Søren Vulff fra Statens It.

Bestilte et indbrud

Han fortæller samtidig, at Statens It i foråret 2011 rent faktisk bestilte et dansk sikkerhedsfirma til at bryde ind på samme måde, som det var tilfældet i Sverige.

"På daværende tidspunkt var vi en masse nye medarbejdere samlet her i huset, og folk kendte ikke hinanden så godt," forklarer Søren Vulff om baggrunden for det bestilte indbrud.

'Indbrudstyvene' fik ved den lejlighed kompromitteret sikkerheden i Statens It på flere punkter.

"Det lykkedes sikkerhedsfirmaet at komme ind i bygningen, at gemme sig for natten i et stillerum, at stjæle fortroligt materiale i papirform fra skriveborde og at installere keyloggere på flere computere, mens medarbejderne var til frokost," beretter vicedirektøren om oplevelsen.

Hele seancen blev optaget på video, og den er siden blevet oploadet på Statens It's intranet, hvor den fungerer som en introduktionsvideo for nye medarbejdere.

"Vi vil gerne skabe awareness blandt vores medarbejdere omkring truslen for social engineering, og hvad de skal være opmærksomme på. Til det formål er det en ganske lærerig video, som alle nye medarbejdere bliver introduceret til," forsikrer Søren Vulff.

Sikkerhedskritik fra Rigsrevisionen

Vicedirektøren fortæller, at Statens It også løbende sikrer sig mod deciderede hackerangreb fra internet med en lang række værktøjer og tests, som han dog ikke vil komme nærmere ind på af sikkerhedsmæssige årsager.

Så intenst bliver Statens It sikkerheds-overvåget

Det sker blandt andet, efter at Statens It blev ramt af et hackerangreb i 2012, og myndigheden har siden intensiveret indsatsen mod sikkerhedstrusler fra det store internet.

Det er dog ikke nogen hemmelighed, at det statslige it-center for nylig fik en ganske grov overhaling på sikkerhedsområdet fra Rigsrevisionen.

Kritikken fra Rigsrevisikonen gik blandt andet på, at der var for mange lokaladministratorer, og der manglede sikkerhed på tværs af kundernes installationer hos Statens It, hvilket Søren Vullf dog ikke helt kan tilslutte sig.

"Lokaladministrator-rettigheder er jo i sidste ende op til vores kunder, og vi var deciderede ærgerlige over kritikken omkring muligheden for at sprede vira på tværs af kundeinstallationerne, da vi netop har bygget vores arkitektur, så det ikke kan ske," forklarer Søren Vullf.

Bliver overvåget grundigt

Udover Rigsrevisionens kig ned i serverne fortæller Søren Vulff, at Statens It's sikkerhed bliver kontrolleret af blandt andre Finansministeriets koncernrevision og et tilsyn i Digitaliseringsstyrelsen.

Dertil kommer en lang række interne kunde-audits og en yderligere sikkerhedsopstramning op til en forventet ISO 27001-certificering, som blandt andet omhandler it-sikkerhed, som Statens It forventer at kunne erhverve sig inden årets udgang.

"Vi må jo være professionelle og tage enhver sikkerhedskritik som et fremskridt, så vi kan få lukket alle huller," lyder det fra Søren Vullf.

Ud over hackerangrebet i 2012 og den løbende sikkerhedskritik har Statens It ifølge Søren Vullf ikke været udsat for nævneværdige it-sikkerhedsbrister, siden myndigheden så dagens lys i 2009.

Om det kan ske? Tja, det må tiden vise.

Læs også:
It-sikkerheden sejler i vigtig statslig it-organisation

Undskyld, men må vi lige stjæle dine fortrolige filer?




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cloud giver dig fleksibilitet, skalerbarhed og agilitet – men hvordan håndterer man sikkerheden?

Cloudsikkerhed handler om effektiv orkestrering og automatisering for at muliggøre hurtig detektion af og reaktion på incidents. Det handler om at eliminere kompleksitet, det handler om at fortsat sikre smidighed og fleksibilitet. På dette seminar bliver du klogere på hvordan du planlægger, designer, implementerer og kører dit cybersikkerhedsprogram effektivt.

23. juni 2021 | Læs mere


Effektiv drift og support af applikationer i Dynamics 365 FO

Med Microsoft Dynamics 365 for Finance and Operations (FO) er forretningssystemet flyttet i skyen. Dermed er det slut med store opgraderingsprojekter, og virksomheder og organisationer skal i stedet være klar til løbende opdateringer, som sendes ud flere gange om året. Det kræver et særligt fokus på effektiv drift af applikationerne, hvis stabiliteten i applikationerne skal opretholdes og konkurrenceevnen bevares. I dette webinar bliver du inspireret til, hvordan du får mest muligt ud af din investering i Microsoft Dynamics 365 FO med en driftsaftale, så platformen udvikler sig sammen med din forretning.

24. juni 2021 | Læs mere


The intelligent business: From neat idea to reality

The choice to become a more intelligent business and optimize workflows is not always straightforward, but it requires that you take a step back and see the possibilities in other ways. Come inside when we try to focus on the intelligent business. Hear how SAP S / 4HANA makes processes intelligent and transforms traditional workflows.

01. juli 2021 | Læs mere






Premium
Skyder gammelt sikkerhedsråd i sænk: Derfor kan du trygt koble dig på åbne wifi-netværk
Du behøver ikke længere frygte, at blive udsat for digitalt misbrug, hvis du logger på et åbent wifi-netværk, lyder det fra en norsk sikkerhedsekspert. En dansk ekspert mener dog endnu ikke, at tiden er inde til at droppe sikkerhedsrådet.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
White paper
Sådan outsourcer du effektivt – og undgår fælderne
Nogle outsourcer for at minimere omkostningsniveauet, andre for at skaffe ressourcer og spidskompetencer, der er svære at skaffe lokalt – eller af en helt tredje årsag. Der er dog talrige forhold, der er gode at afdække, før man overhovedet begynder at lede en outsourcingudbyder. Man skal klarlægge egne projektbehov samt de spørgsmål og krav, man vil stille samt indsamle viden og erfaringer om, hvordan samarbejdet indledes, drives og styres optimalt. Dertil skal man kende til de hyppigste faldgruber, der kan få et ellers lovende outsourcingsamarbejde til at køre i grøften.