Direkte til sidens indhold

It-sikkerheden sejler: Radar kunne sende mails som forskningsminister

Radar har sendt mails som så ud til at komme fra uddannelses- og forskningsminister Jesper Petersen (S). Det sker for at vise, at ministeriet ikke lever op til statens egne krav til it-sikkerhed.

Photo by Morten Fauerby // MONTGOMERY Mobile +45 20997076 www.montgomery.dk

Radar har kunne sende mails som forsknings- og uddannelsesminister Jesper Petersen i flere omgange.

Det skyldes en simpel sikkerhedsbrist, der for længst skulle være blevet fikset som et af de 20 tekniske minimumskrav, som alle statslige myndigheder skulle leve op til senest i 2020.

Radar sendte først en mail som Jesper Petersen til Henrik Kramselund, der er it-sikkerhedsrådgiver i Zencurity.

– Ja, den går fint igennem, fortæller han, da mailen lander i hans indbakke.

– Det gør mig bekymret på deres sikkerheds vegne, at de ikke har fikset en simpel revne. Det er noget, man har kendt til i mange år, så det er virkelig sløvt, fortæller han.

Problemet opstår, fordi ministeriet ikke har implementeret DMARC, der kort fortalt sikre, at fupmails ikke ender i modtagerens indbakke, men bliver smidt væk i et spamfilter.

‘En katastrofe’

Radar har testet om fupmails fra ministeren også kan havne i folketingsmedlemmers indbakke. Vi har derfor sendt en mail til it-ordfører Christoffer Aagaard Melson (V) på vores eget initiativ.

– Jeg har fået en mail fra Jesper Petersen. Det er scary, og jeg er ved at sige, at det er en katastrofe, at det er så let at hacke sig ind i den officielle ministermail, siger Christoffer Aagaard Melson til Radar.

I marts spurgte han og Troels Lund Poulsen (V) ind til implementeringen af de tekniske minimumskrav på et samråd med Finansminister Nicolai Wammen. Her forklarede ministeren, at de tekniske minimumskrav skulle være implementeret inden sommerferien i ministerierne.

– Hellere i dag, end i morgen, sagde finansministeren på samrådet.

Men ikke kun Uddannelses- og Forskningsministeriet halter bagud. Det samme gælder Social- og Ældreministeriet og Transport- og Boligministeriet, viser Radars tests.

Christoffer Aagaard Melson vil derfor spørge ind til situationen på det kommende samråd om nedbruddet i MitID.

– Vi er blevet lovet af Regeringen, at de her ting skulle der være styr på. Så i lyset af den nuværende situation med krig, er det ikke særligt betryggende, siger Christoffer Aagaard Melson.

Radar har modtaget en besked fra Jesper Petersens ministersekretær om, at den afsendte mail bliver betragtet som en sikkerhedshændelse, der nu undersøges nærmere.

It-ekspert Sofie Freja Christensen fra cybersikkerhedsvirksomheden Dubex mener, at sikkerhedsbristen i ministeriet viser, at der er brug for, at myndigheder fører mere kontrol med ministerier, som man også gør med private virksomheder.

– Det er selvfølgelig ikke godt nok, at et ministerium ikke har styr på det her. Det bliver hele tiden stillet højere og højere krav til cybersikkerhed. Det her viser, at vi har brug for at føre mere kontrol med offentlige myndigheder og ministerier. Det tærer på autoriteten og tilliden, siger hun.

Radar har kontaktet Forskning- og Uddannelsesministeriet som har sendt følgende besked gennem presseafdelingen:

– Ministeriet ser på sagen med den allerstørste alvor. Der pågår lige nu en undersøgelse med relevante parter for at få rettet op på sikkerheden omkring ministeriets mails hurtigst muligt.

Sådan gjorde vi

Spoofing eller fupmail giver sig ud for at komme fra en troværdig myndighed eller person med henblik på at få adgang til privat oplysninger – som dit brugernavn og password eller netbanksoplysninger.

I det her tilfælde ville ondsindede hackere kunne bruge en ministers mail til at skaffe oplysninger fra eksterne leverandører eller sprede misinformation.

Radar har testet de forskellige ministeriers domæner på sikkerpånettet.dk for at finde frem til bristen.

Radar har gjort samtlige modtagere opmærksomme på, at vi ville sende en fupmail. I mailen skrev vi, at der var tale om et forsøg, der havde til formål at afprøve it-sikkerheden i ministeriet.

Radar har ladet sig inspirere af et lignende projekt hos Sveriges Radio.

DMARC REJECT-policy

Formålet med kravet er give mailmodtagere mulighed for at opdage forsøg på e-mail-spoofing, hvor en afsender udgiver sig for at være en anden. Ved at implementere DMARC på alle domæner reduceres risikoen for, at myndighedens domænenavne kan misbruges til udsendelse af phishing- eller spam-mails.

Kilde: Sikkerdigital.dk

Kom til debat med faderen, der startede Chromebook-sagen
Digitalisering

Kom til debat med faderen, der startede Chromebook-sagen

Jesper Graugaard startede hele Chromebook-sagen, der tog Helsingør Kommune på sengen tæt på skolestart. Her fortæller han om sin aktivisme, og vi tager den større debat om cloud-løsninger, privacy-problemer og tredjelandsoverførsler.

AFLYTTET #1: Pegasus og den forcromede bog
Ind i algoritmen

AFLYTTET #1: Pegasus og den forcromede bog

Her er den første udgave af det nye Aflyttet, som Radar og Anders Kjærulff har genstartet med den garvede techkritiker og journalist bag mikrofonen. Denne gang tester vi aktivisters telefoner for Pegasus og dykker ned i Chromebook-sagen og mere.