Moderniseringstyrelsens pludselige nulstilling af kodeord i 10 statslige it-systemer mellem jul og nytår har skabt både irritation og frygt for hackere og cyberangreb i flere offentlige myndigheder.
Moderniseringsstyrelsen fastholder over for Computerworld, at der var tale om en planlagt øvelse, men alligevel har ingen af de berørte brugere fået nogen oplysninger på forhånd.
Det viser en række mailkorrespondancer, som Computerworld har fået aktindsigt i.
En af de berørte myndigheder er Lægemiddelstyrelsen, og her er teamleder for forretnings-it, Sune Maaholm, bekymret.
Han mener, at der må være en alvorlig sikkerhedsmæssig grund til, at man vælger at nulstille så mange passwords i så mange systemer uden varsel.
“Derfor vil jeg udtrykke en vis bekymring over den manglende information omkring årsager, idet jeg ikke har den fjerneste mulighed for at vurdere om den “årsag”, der måtte være, har kunnet påvirke vores systemer og endnu vigtigere, om der er noget, Lægemiddelstyrelsen burde have gjort i den forbindelse,” skriver Sune Maaholm i en mail til Moderniseringsstyrelsen og fortsætter:
“Såfremt der er tale om det mest tænkelige scenarie, nemlig et forestående eller allerede forekommet cyberangreb, har CFCS så været inddraget for at kunne yde passende rådgivning?”
Det er for dit eget bedste...
Også på universiteterne i både Aarhus og København har Moderniseringsstyrelsens håndtering af sagen skabt frustration og bekymring.
I en mail til sin systemadministrator udtrykker AU's informationssikkerhedschef, Ole Boulund, det således:
“Har vi fået nogen gode argumenter for den “password nulstilling”, som Moderniseringsstyrelsen foretog mellem jul og nytår? Blev vi berørt af den? Hvad var argumentet? Skal vi gøre andet i den forbindelse?”
På Københavns Universitet udbeder digitalchef Morten Plannthin sig per mail også en forklaring på nulstillingen af kodeord, som han kalder “en stærkt forstyrrende ekstraopgave i forhold til en række systemer, hvor vi i forvejen oplever store udfordringer med driftstabiliteten.”
Ifølge Moderniseringsstyrelsen har man ingen oplysninger om, at data hos nogen af de berørte myndigheder skulle være kompromitterede.
Men ligesom Computerworld har hverken KU, AU eller Lægemiddelstyrelsen haft held med at finde ud af, hvorfor Moderniseringsstyrelsen pludselig nulstillede alle passwords i 10 statslige systemer uden nogen form for varsel.
Som Moderniseringsstyrelsens informationssikkerhedskoordinator skriver i et svar til Aarhus Universitet:
“Moderniseringsstyrelsen gennemførte en nulstilling af passwords af sikkerhedsmæssige hensyn. Vi havde af sikkerhedsmæssige hensyn ikke mulighed for at orientere vores kunder forud for nulstillingen og kan af sikkerhedsmæssige hensyn ikke sige mere om baggrunden for nulstillingen.”
Computerworld følger op på sagen...
Læs også: Styrelse mørklægger årsag til pludselig nulstilling af password i statslige danske it-systemer
Statsansat efter Moderniseringsstyrelsens "planlagte" nulstilling af kodeord: “Der var absolut intet meldt ud på forhånd”