Det kræver kun et smuthul, og skaden er sket. Viden og data er hård valuta på internettets sortbørshandel, og hver eneste uge retter hackere alvorlige angreb mod danske IT-systemer for at ødelægge, kopiere og stjæle følsomme oplysninger.
Nu kommer det frem, at flere af vores bærende statslige institutioner, der har til opgave at huse og beskytte personlige oplysninger om dig og mig, har alvorlige huller i IT-sikkerheden. Det fremgår af den seneste beretning til statsrevisorerne fra Rigsrevisionen. Den peger på »væsentlige sårbarheder i IT-driften«, »mangelfuld efterkontrol« og »risiko for uautoriseret adgang«.
Sikkerheden halter med andre ord i flere statslige institutioners computersystemer. Kritikken retter sig især mod Rigspolitiet, som ligger inde med personfølsomme oplysninger som kørekortsregistret, DNA-registret, kriminalregistret og forskellige efterforskningsdatabaser. Og mod Statens Serum Institut, som håndterer alle danske borgeres sundhedsdata. Men også en række styrelser får kritik med på vejen.
»Det er kritisk,« lyder meldingen fra Michael Kubel, IT-revisionsansvarlig kontorchef i Rigsrevisionen, »og det er selvfølgelig en væsentlig årsag til, at vi tager det her op i beretningen. Det er vigtigt, at de får taget hånd om de her problemer.«
Rigsrevisionen beskriver en »ikke tilfredsstillende« praksis hos Rigspolitiet, hvor opdateringer fra softwareudbydere til at lappe huller i IT-sikkerheden ikke løbende bliver installeret, og hvor der ikke er kontrol af medarbejdere med administratorrettigheder.
»Processerne internt i Rigspolitiet har åbenbart været så dårlige, at man ikke har fået installeret de nødvendige opdateringer. Det har vi konstateret, når vi har været ude, og så har vi påpeget det og sagt, at det udgør en sikkerhedsrisiko,« siger Michael Kubel.
I Statens Serum Institut var der lignende problemer. Her har alle medarbejderne lokale administratorrettigheder, hvilket medfører en væsentlig risiko for, at medarbejdere ved en fejl kan installere skadelige programmer. Derudover bruger Seruminstituttet ifølge Rigsrevisionen mange forskellige systemer til brugeradministration, backup af data og sikkerhedsopdateringer, hvilket øger risikoen for personfejl. Både Statens Serum Institut og Rigspolitiet behandler personfølsomme persondata og oplysninger, og i begge tilfælde er det ifølge Rigsrevisionen med til at skærpe kritikken.
Kapitel ét i lærebogen
Manglende installering af sikkerhedsopdateringer og unødvendig tildeling af administratorrettigheder er »helt basale ting,« fortæller Luke Thomas Herbert, ph.d. og underviser i IT-sikkerhed på Danmarks Tekniske Universitet.
»Det her er introduktion til IT-sikkerhed punkt ét. Du kan ikke læse en standardlærebog om computersikkerhed, uden at forstå det her,« siger han.
Oplysninger om IT-sårbarheder bliver typisk gjort offentligt kendte, når sikkerhedsopdateringerne kommer ud, og der findes tilmed gratis og frit tilgængelige hackerprogrammer, som automatiserer udnyttelsen af kendte sårbarheder i forskellige programmer. Derfor gælder det om hurtigt at få hullerne lappet.
»Hvis systemer eksempelvis ikke er opdateret i flere år, kræver det ikke meget mere teknisk kunnen end et tekstbehandlingsprogram at udnytte. Det er komisk let,« siger Luke Thomas Herbert og understreger, at han ikke har haft lejlighed til at teste de pågældende myndigheders systemer og derfor udtaler sig generelt.
Ifølge kontorchef Michael Kubel fra Rigsrevisionen skyldes den dårlige IT-sikkerhed i de statslige institutioner dog ikke pligtforsømmelse, men nærmere »forskellige grader af ledelsesmæssig opmærksomhed« omkring IT-sikkerheden.
Angreb på angreb
Rigsrevisionens kritik af Rigspolitiet og Statens Serum Institut er seneste kapitel i historien om offentlige myndigheders til tider hullede IT-sikkerhed og de problemer, der følger naturligt heraf. Senest viste dommen i den såkaldte CSC-sag forrige uge, at truslen mod danske IT-systemer er reel. Her blev den svenske hacker Gottfried Warg blandt andet dømt for at have boltret sig i politiets synderegister, kørekortregistret og statens databaser med borgernes CPR-numre, med assistance fra en ung dansk mand, JT. Begge blev idømt fængselsstraffe for deres forbrydelser, som fandt sted tilbage i 2012. Men også i år er en lang række tilfælde af hackerangreb og datatyveri fra danske myndigheder, organisationer og virksomheder kommet i offentlighedens søgelys. To danske virksomheder var direkte mål i et storstilet hackerangreb mod den europæiske energisektor i foråret; folketingsmedlemmer og privates CPR-numre blev i flere omgange lækket over sommeren; og almindelige menneskers skyldnerdata fra RKI-registret blev sjålet via et smuthul i sikkerheden hos Ekspres Bank.
Gentagen kritik
Det er heller ikke første gang, at Rigspolitiet og Statens Serum Institut får ris af IT-sikkerheden fra Rigsrevisionen. Sidste år lød påtalen, at Statens Serum Institut havde uddelt nøglekort til for mange personer, og at Rigspolitiet ikke havde sikret DNA-registret godt nok.
Alligevel kommer kritikken bag på IT-direktør i Rigspolitiet, Michael Steen Hansen:
»Det er selvfølgelig ubehageligt med sådan en beretning, og jeg er nok lidt overrasket over, hvor skarp den er. Men der er heller ingen tvivl om, at Rigsrevisionen i lyset af de seneste par års hændelser nu også går til den. Og det er med fuld rimelighed,« siger IT-direktøren og henviser til, at der tilsyneladende over en bred kam er plads til forbedring.
»Det er jo meget oppe i tiden, og skeletterne vælter ud af skabet. Der har nok været en tendens til, at man både i det private og i det offentlige ikke har prioriteret IT-sikkerhed højt nok. Det er Rigsrevisionens kritik med til at sætte fokus på, og det, tror jeg, er godt for alle,« siger Michael Steen Hansen og oplyser, at Rigspolitiet tager kritikken til efterretning.
»Vi har lavet en handlingsplan og er gået i gang med at udbedre problemerne for at komme derhen, hvor vi skal være. Og så ved vi jo godt, at verden ikke står stille. Når vi kommer derhen, så vil der være nye behov og nye krav. Det er det berømte kapløb om IT-sikkerheden og spørgsmålet om, hvorvidt vi er i stand til at flytte os hurtigt nok i forhold til dem, der potentielt vil os det ondt,« siger Michael Steen Hansen.
Også hos National Sundheds IT (NSI) i Statens Serum Institut er man ifærd med at fjerne den universielle administratoradgang, så man kun lader medarbejderne downloade fra sikre platforme, som NSI administrerer.
»Vi passer godt på folks sundhedsdata. For hele området skal man være opmærksom på, at vi oplever, at barrene for, hvad man skal gøre, hele tiden bliver løftet. Kravene til en sikker og professionel IT-drift er stigende de her år. Det gør, at man hele tiden arbejder på at leve op til kravene. Vi kan se, vi er kommet et stykke vej, hvilket Rigsrevisionen også kvitterer for. Men vi er ikke i mål, og vi kommer til at arbejde mere med det her,« siger Flemming Christiansen, sektordirektør for NSI.
Kritikpunktet fra Rigsrevisionen, hvad angår medarbejderes administratoradgang til IT-systemer, retter sig ud over Statens Serum Institut også mod Bygningsstyrelsen og Sikkerhedsstyrelsen.
De ansatte på disse statslige institutioner kan således, bevidst eller ubevidst, komme til at installere programmer, som ikke nødvendigvis er sikkerhedsgodkendte og rummer skadelig software. På den måde kan en hacker potentielt få adgang til hele organisationens IT-system og tilhørende databaser.
Lige som de manglende sikkerhedsopdateringer hos Rigspolitiet er der også her tale om en »væsentlig sikkerhedsrisiko«, lyder det fra Henning Mortensen, sikkerhedskonsulent i erhvervsorganisationen DI.
»Hvis medarbejderne tager deres udstyr med hjem, og sønnike spiller World of Warcraft, eller der bliver hentet andre programmer, hvilket man typisk kan med administratorrettigheder, så kan det åbne op for, at hackere får adgang til maskinerne. Man bør ikke have så mange med administratorrettigheder, og medarbejderne bør ikke kunne downloade programmer eller drivere, som institutionen ikke har godkendt,« siger Henning Mortensen, som alligevel maner til besindighed.
»En decideret frygt, mener jeg ikke, kritikken samlet set giver anledning til. Men det er klart, at der absolut er plads til forbedring på en række punkter. Derfor er det vigtigt, at Rigsrevisionen følger op på de her ting, når staten ikke kan selv,« siger han.
Hos Software Improvement Group, som blandt andet rådgiver multinationale selskaber og statslige institutioner i IT-sikkerhed, og som også har udført IT-sikkerhedsopgaver for Rigspolitiet, Skat og Erhvervsstyrelsen herhjemme, er den skandinaviske direktør heller ikke i tvivl:
»Rigsrevisionens kritik er fuldstændig korrekt. Angriberne i dag er meget dygtige, så det her er man nødt til at prioritere langt højere. Det handler om din og min sikkerhed for vores CPR-numre, sygejournaler, skatteoplysninger, oplysninger om restancer og retsforhold,« siger Theis Eichel og tilføjer:
»Man skal huske på, at vi er et rigt land. Vores oplysninger er meget værd ude på det sorte marked.«
Mette Frederiksen forventer handling
Regeringens relativt nytiltrådte justitsminister, Mette Frederiksen (S), forventer, at Rigspolitiet får styr på IT-sikkerheden.
»IT-sikkerheden hos de myndigheder, der håndterer vores personfølsomme oplysninger, skal være i orden. Det siger sig selv. Jeg kan forstå, at Rigspolitiet har skarpt fokus på at styrke IT-sikkerheden. Og at der er udarbejdet en handlingsplan, der skal sikre, at samtlige af Rigsrevisionens anbefalinger gennemføres. De anbefalinger skal selvfølgelig tages alvorligt – og det forventer jeg også, at Rigspolitiet selvfølgelig gør,« skriver Mette Frederiksen i en skriftlig kommentar til Berlingske.