Artikel top billede

Sikkerhedsekspert kritiserer Forsvarets it-sikkerhed: "Der er bedre sikkerhed på mange Gmail-konti"

Russiske hackere har igennem to år haft adgang til interne mail-korrespondancer hos Forsvaret, og en dansk ekspert kritiserer sikkerhedsniveauet i skarpe vendinger. Ansatte under Forsvarsministeriet brugte blandt andet webmail uden sikkerhedsforanstaltninger.

"Jeg tabte simpelthen kæben, da jeg så dette her."

Sådan lyder sikkerhedsekspert Peter Kruses reaktion på nyheden om, at russiske hackere gennem to år har skaffet sig adgang til systemer under det danske forsvar ved hjælp af phishing-angreb.

Den russiske hackergruppe Fancy Bear har fra marts 2015 til oktober 2016 sendt omkring 1000 phishing-mails til udvalgte ansatte under Forsvarsministeriet, og det har virket ganske glimrende.

De statsstøttede hackere har haft adgang til Forsvarets interne mailsystem, der ikke er beskyttet af nogen form for sikkerhed udover traditionelt brugernavn og kodeord, som man kender det fra en gammeldags Hotmail.

Webmail uden sikkerhed

Peter Kruse er medstifter af sikkerhedsfirmaet CSIS, og det kommer ikke bag på ham, at russerne forsøger at få adgang til oplysninger om danmarks sikkerhedsarbejde.

Men han er noget overrasket over det lave sikkerhedsniveau hos Forsvaret og kritiserer blandt andet de ansattes brug af ubeskyttet webmail.

"Det er ret kritisabelt, at man et sted som Forsvaret lader de ansatte bruge webmail uden så meget som et krav om to-faktor-godkendelse. Der er altså bedre sikkerhed på mange menneskers Gmail," siger han til Computerworld.

Ifølge en rapport om angrebet fra Center For Cybersikkerhed (CFCS) er der tale om Forsvarets web-baserede interne mail-tjeneste mil.dk, der bruges til at kommunikere såkaldte "ikke-klassificerede" oplysninger.

De russiske hackere har således næppe fået fingrene i de dybeste militære hemmeligheder, men ifølge Peter Kruse kan oplysninger, der ikke i sig selv er følsomme, være nyttige for russerne på længere sigt.

"Den slags operationer handler ofte om for eksempel at få en klemme på de ansatte. Og i den forstand er det værdifuldt for hackerne, hvis de kan få fat i personlige oplysninger om medarbejdere hos Forsvaret, der kan bruges i fremtiden," siger han.

Sikkerheden blev ikke opdateret

Også hos Center For Cybersikkerhed erkender man, at de ikke-klassificerede oplysninger fra Forsvaret udgør en sikkerhedsrisiko i hænderne på fremmede aktører.

"Kompromitteringen af mil.dk-e-mail-konti udgør en sikkerhedsrisiko, selvom der er tale om en ikke-klassificeret e-mail-løsning."

"Fra et cybersikkerheds-perspektiv kan informationerne anvendes til blandt andet at skræddersy phishing-mails, og kompromitterede konti kan misbruges som afsenderadresser for flere phishing-mails. Informationer taget fra ansatte under Forsvarsministeriets myndighedsområdes e-mail-indbakker kan også være værdifulde ud fra et klassisk efterretningsperspektiv."

"De kan f.eks. omhandle møde- og rejseaktivitet, kontaktoplysninger eller private forhold. Informationerne kan misbruges til forsøg på rekruttering, afpresning eller til planlægning af yderligere spionage," hedder det i rapporten fra CSCS, der også afslører, at sikkerhedsniveauet på forsvarets mail-tjeneste ikke har udviklet sig i takt med trusselsniveauet:

"Forsvarets mil.dk mail-service er beregnet til ikke-klassificeret kommunikation. Derfor er mil.dk-mail-servicen ikke underlagt de samme sikkerhedskrav, som de systemer der håndterer klassificeret information. I takt med, at mil.dk-mail-servicen bliver brugt i stadig større omfang i Forsvarsministeriets myndighedsområde, har dens anvendelsesområde udvidet sig."

"Selvom trusselsbilledet løbende har ændret sig, har der ikke været iværksat nye sikkerhedsforanstaltninger for at imødegå disse ændringer. Én konsekvens af det er, at konti, der burde have været spærret eller underlagt tvungen passwords-skifte, stod åbne for aktøren efter loginoplysningerne blev franarret," skriver CFCS.

Computerworld arbejder på at få en kommentar fra Forsvaret.

Du kan læse rapporten fra CFCS her.

Læs også: Mød de to russiske hackergrupper, der spreder skræk og rædsel i hele it-verdenen




Premium
Skattestyrelsen mangler it-viden og der bør spares på it-konsulenterne: Her er It-rådets syv anbefalinger til skatteministeren
Ledelsen skal styrkes, it-fagligheden skal øges, og konsulenterne skal tøjles. Det er nogle af de anbefalinger It-rådet er kommet med til Skattestyrelsen om det kommende ejendomsvurderingssystem.
Computerworld
Efter Windows 11-lækket: Her er de nye elementer - og lanceringsdatoen
Podcast: Hvad kan Windows 11 tilbyde? Hvad kræver det af dit hardware? Hvornår kommer det? Og hvorfor har NNIT indsat Pär Fors som ny topchef? Ham har vi mødt på hans kontor i Søborg. Få svarene i denne episode af Computerworlds nyhedspodcast.
CIO
Der findes ikke noget vigtigere for din virksomhedskultur end psychological safety
Klumme: Forskningen er entydig: Vidensarbejde er mere effektiv, når du tør stille spørgsmål, rejse kritik og indrømme fejl helt uden frygt for at blive straffet eller gjort til grin. Hvis du ikke har fokus på denne del af din virksomhedskultur, så lever din virksomhed og dine medarbejdere ikke op til deres fulde potentiale.
White paper
End-to-end Server Security: Hvad er det – og hvordan kan det styrke din forretning?
Hvorfor bør serverbaseret sikkerhed være en kritisk del af din sikkerhedsinfrastruktur – og hvordan sikrer du, at din hardware kan leve op til kravene? Læs mere i dette whitepaper.