To svenske sikkerhedsfolk kunne for nylig berette, at de efter aftale med en offentlig it-direktør trængte ind i et svensk ministerium og på under en halv time huggede fortrolige regeringsfiler.
På den baggrund har Computerworld talt med Statens It og spurgt, om noget lignende kunne ske i det statslige it-center med 55 forskellige styrelser og institutioner som Finansministeriet, Miljøministeriet og Erhvervs- og Vækstministeriet som kunder med dertilhørende fortrolige data.
"Vi kan jo højst gardere os til et vist punkt med tyverisikringer, rum-detektorer, gode låse, kameraovervågning og vagtfirma til at passe på os, men vi kan naturligvis ikke fuldstændigt udelukke et angreb udført med social engineering," forklarer vice-direktør Søren Vulff fra Statens It.
Bestilte et indbrud
Han fortæller samtidig, at Statens It i foråret 2011 rent faktisk bestilte et dansk sikkerhedsfirma til at bryde ind på samme måde, som det var tilfældet i Sverige.
"På daværende tidspunkt var vi en masse nye medarbejdere samlet her i huset, og folk kendte ikke hinanden så godt," forklarer Søren Vulff om baggrunden for det bestilte indbrud.
'Indbrudstyvene' fik ved den lejlighed kompromitteret sikkerheden i Statens It på flere punkter.
"Det lykkedes sikkerhedsfirmaet at komme ind i bygningen, at gemme sig for natten i et stillerum, at stjæle fortroligt materiale i papirform fra skriveborde og at installere keyloggere på flere computere, mens medarbejderne var til frokost," beretter vicedirektøren om oplevelsen.
Hele seancen blev optaget på video, og den er siden blevet oploadet på Statens It's intranet, hvor den fungerer som en introduktionsvideo for nye medarbejdere.
"Vi vil gerne skabe awareness blandt vores medarbejdere omkring truslen for social engineering, og hvad de skal være opmærksomme på. Til det formål er det en ganske lærerig video, som alle nye medarbejdere bliver introduceret til," forsikrer Søren Vulff.
Sikkerhedskritik fra Rigsrevisionen
Vicedirektøren fortæller, at Statens It også løbende sikrer sig mod deciderede hackerangreb fra internet med en lang række værktøjer og tests, som han dog ikke vil komme nærmere ind på af sikkerhedsmæssige årsager.
Så intenst bliver Statens It sikkerheds-overvåget
Det sker blandt andet, efter at Statens It blev ramt af et hackerangreb i 2012, og myndigheden har siden intensiveret indsatsen mod sikkerhedstrusler fra det store internet.
Det er dog ikke nogen hemmelighed, at det statslige it-center for nylig fik en ganske grov overhaling på sikkerhedsområdet fra Rigsrevisionen.
Kritikken fra Rigsrevisikonen gik blandt andet på, at der var for mange lokaladministratorer, og der manglede sikkerhed på tværs af kundernes installationer hos Statens It, hvilket Søren Vullf dog ikke helt kan tilslutte sig.
"Lokaladministrator-rettigheder er jo i sidste ende op til vores kunder, og vi var deciderede ærgerlige over kritikken omkring muligheden for at sprede vira på tværs af kundeinstallationerne, da vi netop har bygget vores arkitektur, så det ikke kan ske," forklarer Søren Vullf.
Bliver overvåget grundigt
Udover Rigsrevisionens kig ned i serverne fortæller Søren Vulff, at Statens It's sikkerhed bliver kontrolleret af blandt andre Finansministeriets koncernrevision og et tilsyn i Digitaliseringsstyrelsen.
Dertil kommer en lang række interne kunde-audits og en yderligere sikkerhedsopstramning op til en forventet ISO 27001-certificering, som blandt andet omhandler it-sikkerhed, som Statens It forventer at kunne erhverve sig inden årets udgang.
"Vi må jo være professionelle og tage enhver sikkerhedskritik som et fremskridt, så vi kan få lukket alle huller," lyder det fra Søren Vullf.
Ud over hackerangrebet i 2012 og den løbende sikkerhedskritik har Statens It ifølge Søren Vullf ikke været udsat for nævneværdige it-sikkerhedsbrister, siden myndigheden så dagens lys i 2009.
Om det kan ske? Tja, det må tiden vise.
Læs også:
It-sikkerheden sejler i vigtig statslig it-organisation
