Artikel top billede

Statens It: Vi har da fået stjålet fortrolige filer med vilje

Statens It fortæller her, at indbrudstyve har brudt ind og stjålet fortrolige dokumenter fra myndigheden, der har 55 styrelser og ministerier som kunder. Statens It's vicedirektør mener, at indbruddet var en positiv oplevelse.

To svenske sikkerhedsfolk kunne for nylig berette, at de efter aftale med en offentlig it-direktør trængte ind i et svensk ministerium og på under en halv time huggede fortrolige regeringsfiler.

På den baggrund har Computerworld talt med Statens It og spurgt, om noget lignende kunne ske i det statslige it-center med 55 forskellige styrelser og institutioner som Finansministeriet, Miljøministeriet og Erhvervs- og Vækstministeriet som kunder med dertilhørende fortrolige data.

"Vi kan jo højst gardere os til et vist punkt med tyverisikringer, rum-detektorer, gode låse, kameraovervågning og vagtfirma til at passe på os, men vi kan naturligvis ikke fuldstændigt udelukke et angreb udført med social engineering," forklarer vice-direktør Søren Vulff fra Statens It.

Bestilte et indbrud

Han fortæller samtidig, at Statens It i foråret 2011 rent faktisk bestilte et dansk sikkerhedsfirma til at bryde ind på samme måde, som det var tilfældet i Sverige.

"På daværende tidspunkt var vi en masse nye medarbejdere samlet her i huset, og folk kendte ikke hinanden så godt," forklarer Søren Vulff om baggrunden for det bestilte indbrud.

'Indbrudstyvene' fik ved den lejlighed kompromitteret sikkerheden i Statens It på flere punkter.

"Det lykkedes sikkerhedsfirmaet at komme ind i bygningen, at gemme sig for natten i et stillerum, at stjæle fortroligt materiale i papirform fra skriveborde og at installere keyloggere på flere computere, mens medarbejderne var til frokost," beretter vicedirektøren om oplevelsen.

Hele seancen blev optaget på video, og den er siden blevet oploadet på Statens It's intranet, hvor den fungerer som en introduktionsvideo for nye medarbejdere.

"Vi vil gerne skabe awareness blandt vores medarbejdere omkring truslen for social engineering, og hvad de skal være opmærksomme på. Til det formål er det en ganske lærerig video, som alle nye medarbejdere bliver introduceret til," forsikrer Søren Vulff.

Sikkerhedskritik fra Rigsrevisionen

Vicedirektøren fortæller, at Statens It også løbende sikrer sig mod deciderede hackerangreb fra internet med en lang række værktøjer og tests, som han dog ikke vil komme nærmere ind på af sikkerhedsmæssige årsager.

Så intenst bliver Statens It sikkerheds-overvåget

Det sker blandt andet, efter at Statens It blev ramt af et hackerangreb i 2012, og myndigheden har siden intensiveret indsatsen mod sikkerhedstrusler fra det store internet.

Det er dog ikke nogen hemmelighed, at det statslige it-center for nylig fik en ganske grov overhaling på sikkerhedsområdet fra Rigsrevisionen.

Kritikken fra Rigsrevisikonen gik blandt andet på, at der var for mange lokaladministratorer, og der manglede sikkerhed på tværs af kundernes installationer hos Statens It, hvilket Søren Vullf dog ikke helt kan tilslutte sig.

"Lokaladministrator-rettigheder er jo i sidste ende op til vores kunder, og vi var deciderede ærgerlige over kritikken omkring muligheden for at sprede vira på tværs af kundeinstallationerne, da vi netop har bygget vores arkitektur, så det ikke kan ske," forklarer Søren Vullf.

Bliver overvåget grundigt

Udover Rigsrevisionens kig ned i serverne fortæller Søren Vulff, at Statens It's sikkerhed bliver kontrolleret af blandt andre Finansministeriets koncernrevision og et tilsyn i Digitaliseringsstyrelsen.

Dertil kommer en lang række interne kunde-audits og en yderligere sikkerhedsopstramning op til en forventet ISO 27001-certificering, som blandt andet omhandler it-sikkerhed, som Statens It forventer at kunne erhverve sig inden årets udgang.

"Vi må jo være professionelle og tage enhver sikkerhedskritik som et fremskridt, så vi kan få lukket alle huller," lyder det fra Søren Vullf.

Ud over hackerangrebet i 2012 og den løbende sikkerhedskritik har Statens It ifølge Søren Vullf ikke været udsat for nævneværdige it-sikkerhedsbrister, siden myndigheden så dagens lys i 2009.

Om det kan ske? Tja, det må tiden vise.

Læs også:
It-sikkerheden sejler i vigtig statslig it-organisation

Undskyld, men må vi lige stjæle dine fortrolige filer?




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere