Statsansat efter Moderniseringsstyrelsens "planlagte" nulstilling af kodeord: “Der var absolut intet meldt ud på forhånd”

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Der var tilsyneladende ikke meldt noget som helst ud på forhånd til de mange brugere, da Moderniseringsstyrelsen mellem jul og nytår valgte at nulstille samtlige kodeord i en række statslige it-systemer.

Styrelsen valgte 27. december 2017 at nulstille samtlige passwords i systemer til blandt andet løn og økonomi i staten, og flere af systemerne var herefter nede.

Ifølge en driftstatus hos Moderniseringsstyrelsen skyldtes nulstillingen hensyn til sikkerheden, men styrelsen har siden blankt afvist at besvare spørgsmål om sagen. Styrelsen holder fast i, at nulstillingen var planlagt på forhånd, men brugerne - de ansatte i staten - har tilsyneladende ikke fået noget at vide på forhånd.

Computerworld har kontakt til en kilde i staten, der til daglig bruger flere af de påvirkede systemer. Kilden foretrækker at optræde anonymt, men Computerworld er bekendt med vedkommendes identitet og stilling. 

Og ifølge kilden oplyste Moderniseringsstyrelsen ikke på forhånd brugerne om, at deres kodeord skulle nulstilles.

Først da nulstillingen var gennemført, fik de mange brugere besked per email.

"Omkring den 27/12 udsendte Moderniseringsstyrelsen mails til en række brugergrupper med beskeden om, at adgangskoderne i en række systemer var nulstillet. Dengang undrede jeg mig over, at beskeden var lidt upræcis om hvilke systemer, der var omfattet. Og jeg skriver ‘mails,’ fordi de så ud til at være udsendt kumulativt til hele brugergrupper," skriver kilden til Computerworld.

Sådan så beskeden fra Moderniseringsstyrelsen ud. Brugerne fik først besked, efter nulstillingen af de mange kodeord. Billedet er et screenshot fra systemet IndFak, som staten bruger til blandt andet at håndtere indkøb og faktura.

"Eksempelvis fik jeg tre (ens) mails om IndFak, da jeg både har rettigheder til brugeroprettelse i IndFak, rettigheder til at opsætte integration med Navision Stat og rettigheder til at godkende fakturaer (såkaldt disponent).” 

“Det er muligt at nulstillingen af adgangskoder var planlagt set fra Moderniseringsstyrelsens side, men der var absolut intet meldt ud på forhånd.“

Moderniseringsstyrelsen afviser som sagt at besvare spørgsmål om, hvilke sikkerhedshensyn, der gjorde, at de mange passwords pludselig skulle nulstilles.

Computerworld har anmodet om aktindsigt i sagen hos Moderniseringsstyrelsen og følger op.

Læs også: Styrelse mørklægger årsag til pludselig nulstilling af password i statslige danske it-systemer