Ensporet og mangler at tage hensyn til andre tiltag.
Sådan lyder reaktionen fra Banedanmark, efter Rigsrevisionen tidligere på måneden fremlagde et notat, der fulgte op på en række anbefalinger, der skulle forbedre it-sikkerheden hos fire myndigheder - herunder Banedanmark.
Ifølge Rigsrevisionen har Banedanmark ikke redegjort for alle de kritikpunkter der blev fremlagt i februar. Derudover har Banedanmark valgt at ignorere flere af de anbefalinger som Rigsrevisionen kom med.
Det kan du læse mere om her: Ministerier vil ikke følge Rigsrevisionens anbefalinger mod ransomware-angreb: "Vil være en uhensigtsmæssig tung byrde"
I notatet fremgik det blandt andet, at Banedanmark ikke har redegjort forom selskabet ville imødekomme Rigsrevisionens anbefalingerne om at forbyde brugen af private emails, og sikre opdateringer af programer leveret af en tredjepart.
Thomas Fænø, områdechef for it hos Banedanmark. Hvorfor har I ikke redegjort for alle de kritikpunkter, som Rigsrevisionen kom med i februar?
“Ja, det spørger jeg sådan set også om. Jeg synes, at vi har været alle de punkter igennem, hvor vi var i rød (hvor Rigsrevisionen mente, at der var mangler i it-sikkerheden red.) og vi har netop redegjort for det ud fra en risikobaseret tilgang, hvilket vi altid gør. Så vi undrer os lidt over, at Rigsrevisionen vælger at gå ud så aggressivt.”
I notatet står der blandt andet, at I ikke vil imødekomme anbefalingen om at forhindre medarbejdernes adgang til private e-mailadresser for at undgå ransomwareangreb. Hvorfor vil I ikke det?
“Det er ud fra en risikovurdering, fordi ellers skal vi jo lukke for hele internettet. Vi går igennem den sikkerhedsfunktion, vi har på vores website, så om man henter et dokument på en tilfældig hjemmeside eller fra en webmail, der vil jeg næsten påstå, at webmailen er mere sikker.”
Ville I ikke stå stærkere ved bare at implementere alle de punkter, som Rigsrevisionen fremlægger?
“Jo, men hvad bliver så det næste? Skal vi så også lukke for adgangen til NemID og DR og for Computerworld.dk, for hvad skal man der i sin arbejdstid? Det bliver meget rigidt,” siger han og fortsætter:
“Der er nogle ting, man er nødt til at gøre i sin arbejdstid, og det kan være alt fra at gå på skoleintra, eller at man får en mail om noget, som man skal reagere på. Så skulle vi bede medarbejderne om at gå ned til bageren og logge på det gratis internet. Det giver ingen mening.”
Men er det ikke trods alt bedre bare at lukke for den adgang, og så har det i det mindste hjulpet lidt?
“Vi bruger et sandkassemiljø, så det er det samme, som hvis man downloader et hvilken som helst andet dokument."
"Jeg vil hellere bruge kræfter på at målrette nogle kampagner mod de relevante medarbejdere, så jeg ved, at de er klædt ordentligt på til det de står overfor. Men at pakke det helt ind og sige, at så må de slet ikke noget, det er også lidt at stikke blår i øjnene på folk og sige, at de er dumme, for at sætte det lidt på spidsen.”
Så du mener ikke, at man bør forhindre medarbejdere I at få adgang til private e-mailadresser?
“Nej. Det er klart at vi blokerer for, at man ikke kan installere en mailklient, og få sine mails direkte ind. Men webmails vil jeg ikke blokere for. Aldrig nogensinde.”
Opdatering af programmer fra tredjepart
Et af de andre kritikpunkter i notatet er, at i ikke har redegjort for, hvordan I har tænkt jer at sikre at tredjepartsprodukter bliver opdateret. Hvorfor har I ikke gjort det?
“Vi har 300 systemer, og jeg tror ikke, at der er nogen der er interesseret i at læse, hvorfor vi for eksempel er nødt til at bruge en lidt ældre version af Adobe på nogle af vores systemer.”
Men er det dig, der skal vurdere, hvad Rigsrevisionen er interesseret i at læse?
“Ja, det bliver det nok i sidste ende. Hvis Rigsrevisionen så har brug for flere oplysninger, så synes jeg at de skulle skrive direkte til mig i stedet for at skrive ud til pressen.”
Her kan du læse hele notatet fra Rigsrevisionen.
“Jeg havde valgt at gøre det på en anden måde”
Thomas Fænø mener ikke, at notatet fra Rigsrevisionen er helt ubrugligt. Han mener dog, at man brude gå mere nuanceret til værks.
“Vi har jo iværksat nogle andre tiltag, som ikke er nævnt i de 22 punkter. Det er for eksempel vores sandkassemiljø, eller at de medarbejdere der bruger en gammel Adobeversion ikke sidder ved en computer, hvor de samtidig har administratorrettigheder,” siger Thomas Fænø.
Derfor ærger det ham også, at Rigsrevisionen ikke tager hensyn til andet end de 22 punkter revisionen selv har fremlagt som almindelige tiltag til at beskytte sig mod ransomware.
“Hånden på hjertet synes jeg, at det er frustrerende. Vi har også en omdømmestrategi, og vil selvfølgelig gerne være compliant, der hvor det er muligt. Og så synes jeg, at en dialog havde været bedre. For Banedanmarks it-sikkerhed er altså mere end 22 punkter. Det er jo en samlet pakke,” siger Thomas Fænø.
Læs også: Derfor har danske kommuner elendig data-sikkerhed: Kompetencerne forsvandt for 10 år siden
Så hvad synes du om den gennemgang, som Rigsrevisionen har lavet?
“Jeg havde valgt at gøre det på en anden måde, lad os bare sige det sådan.”
Statsrevisorerne forventes at kommentere på notatet fra Rigsrevisionen senere i dag.