Artikel top billede

Statens It: Vi har da fået stjålet fortrolige filer med vilje

Statens It fortæller her, at indbrudstyve har brudt ind og stjålet fortrolige dokumenter fra myndigheden, der har 55 styrelser og ministerier som kunder. Statens It's vicedirektør mener, at indbruddet var en positiv oplevelse.

To svenske sikkerhedsfolk kunne for nylig berette, at de efter aftale med en offentlig it-direktør trængte ind i et svensk ministerium og på under en halv time huggede fortrolige regeringsfiler.

På den baggrund har Computerworld talt med Statens It og spurgt, om noget lignende kunne ske i det statslige it-center med 55 forskellige styrelser og institutioner som Finansministeriet, Miljøministeriet og Erhvervs- og Vækstministeriet som kunder med dertilhørende fortrolige data.

"Vi kan jo højst gardere os til et vist punkt med tyverisikringer, rum-detektorer, gode låse, kameraovervågning og vagtfirma til at passe på os, men vi kan naturligvis ikke fuldstændigt udelukke et angreb udført med social engineering," forklarer vice-direktør Søren Vulff fra Statens It.

Bestilte et indbrud

Han fortæller samtidig, at Statens It i foråret 2011 rent faktisk bestilte et dansk sikkerhedsfirma til at bryde ind på samme måde, som det var tilfældet i Sverige.

"På daværende tidspunkt var vi en masse nye medarbejdere samlet her i huset, og folk kendte ikke hinanden så godt," forklarer Søren Vulff om baggrunden for det bestilte indbrud.

'Indbrudstyvene' fik ved den lejlighed kompromitteret sikkerheden i Statens It på flere punkter.

"Det lykkedes sikkerhedsfirmaet at komme ind i bygningen, at gemme sig for natten i et stillerum, at stjæle fortroligt materiale i papirform fra skriveborde og at installere keyloggere på flere computere, mens medarbejderne var til frokost," beretter vicedirektøren om oplevelsen.

Hele seancen blev optaget på video, og den er siden blevet oploadet på Statens It's intranet, hvor den fungerer som en introduktionsvideo for nye medarbejdere.

"Vi vil gerne skabe awareness blandt vores medarbejdere omkring truslen for social engineering, og hvad de skal være opmærksomme på. Til det formål er det en ganske lærerig video, som alle nye medarbejdere bliver introduceret til," forsikrer Søren Vulff.

Sikkerhedskritik fra Rigsrevisionen

Vicedirektøren fortæller, at Statens It også løbende sikrer sig mod deciderede hackerangreb fra internet med en lang række værktøjer og tests, som han dog ikke vil komme nærmere ind på af sikkerhedsmæssige årsager.

Så intenst bliver Statens It sikkerheds-overvåget

Det sker blandt andet, efter at Statens It blev ramt af et hackerangreb i 2012, og myndigheden har siden intensiveret indsatsen mod sikkerhedstrusler fra det store internet.

Det er dog ikke nogen hemmelighed, at det statslige it-center for nylig fik en ganske grov overhaling på sikkerhedsområdet fra Rigsrevisionen.

Kritikken fra Rigsrevisikonen gik blandt andet på, at der var for mange lokaladministratorer, og der manglede sikkerhed på tværs af kundernes installationer hos Statens It, hvilket Søren Vullf dog ikke helt kan tilslutte sig.

"Lokaladministrator-rettigheder er jo i sidste ende op til vores kunder, og vi var deciderede ærgerlige over kritikken omkring muligheden for at sprede vira på tværs af kundeinstallationerne, da vi netop har bygget vores arkitektur, så det ikke kan ske," forklarer Søren Vullf.

Bliver overvåget grundigt

Udover Rigsrevisionens kig ned i serverne fortæller Søren Vulff, at Statens It's sikkerhed bliver kontrolleret af blandt andre Finansministeriets koncernrevision og et tilsyn i Digitaliseringsstyrelsen.

Dertil kommer en lang række interne kunde-audits og en yderligere sikkerhedsopstramning op til en forventet ISO 27001-certificering, som blandt andet omhandler it-sikkerhed, som Statens It forventer at kunne erhverve sig inden årets udgang.

"Vi må jo være professionelle og tage enhver sikkerhedskritik som et fremskridt, så vi kan få lukket alle huller," lyder det fra Søren Vullf.

Ud over hackerangrebet i 2012 og den løbende sikkerhedskritik har Statens It ifølge Søren Vullf ikke været udsat for nævneværdige it-sikkerhedsbrister, siden myndigheden så dagens lys i 2009.

Om det kan ske? Tja, det må tiden vise.

Læs også:
It-sikkerheden sejler i vigtig statslig it-organisation

Undskyld, men må vi lige stjæle dine fortrolige filer?




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere