I skal gøre, som vi siger, ikke som vi gør.
Sådan kan de danske efterretningstjenesters ageren opsummeres, når det kommer til at leve op til egne krav til it-sikkerhed.
Center for Cybersikkerhed, der hører under Forsvarets Efterretningstjeneste, og Politiets Efterretningstjeneste dumper begge et website-tjek på sikkerpånettet.dk, som de to sikkerhedstjenester selv står bag.
Konsekvensen kan ifølge eksperter i værste fald være, at fremmede magter kan aflytte beskeder, der kommer ind og ud af tjenesterne.
– Det er svært, men teknisk muligt for fx. fremmede magter at manipulere med deres domæner, så man i sidste ende kan få adgang til deres kommunikation, siger Henrik Kramselund, der er selvstændig sikkerhedsrådgiver i Zencurity.
Professor i Cybersikkerhed ved Aalborg Universitet Jens Myrup Pedersen kalder det ‘mærkeligt’, at sikkerhedstjenesterne ikke lever op til kravene. Ifølge ham bør alle offentlige myndigheder gå forrest på området.
– Der er en risiko for, at man kan omdirigere besøgende, og det er et problem, fordi vi skal have tillid til, at man kan afgive fortrolige informationer til myndighederne, siger han.
Læs analyse af FE-skandalen: Whistlebloweren er sagens mindst synlige figur
Dumper ufravilige krav
De to sikkerhedstjenester repræsenterer henholdsvis Forsvarsministeriet og Justitsministeriet i styregruppen for den nationale strategi for cyber og it-sikkerhed, der skal sikre danske myndigheder mod hacker-angreb.
Desuden er Center for Cybersikkerhed og PET samarbejdspartnere i oplysningsprojektet Sikker Digital, som Digitaliseringsstyrelsen og Erhvervsstyrelsen står bag. Det er her, man finder de 20 tekniske minimumskrav, som alle statslige myndigheder skal leve op til.
Kravene, som er baseret på Center for Cybersikkerheds anbefalinger og best practice, er ‘ufravigelige’ og skal sikre et ‘fælles højt sikkerhedsniveau i staten’. De skulle senest være implementeret i samtlige myndigheder i juli 2020.
På trods af det mangler begge sikkerhedstjenester at få implementeret flere af deres egne anbefalinger til andre statslige myndigheder.
Problemet med sikkerheden hos PET springer i øjnene, da tjenesten for nyligt ytret ønske om at få direkte adgang til en række offentlige registre og databaser. Det fremgår af en rapport om erfaringer med PET-loven fra Justitsministeriet, som ventes af indgå i en forestående revision af selvsamme lov. PET’s argument for at få direkte adgang er, at det er mere sikkert og rummer mindre mulighed for kompromittering af PET’s operationer og virke.
‘Helt horribelt’
En af de vigtigste anbefalinger er indførslen af domænesignaturen DNSSEC, der er et slags færdselspoliti på nettet. Det sikrer, at al datatrafik er autoriseret. På den måde risikerer man ikke at blive omdirigeret til en falsk hjemmeside, når man fx. besøger pet.dk.
Derudover har begge tjenester ikke fået sikret deres websites med HTTPS. Det betyder, at trafik mellem fx. Center for Cybersikkerheds website og besøgende derfor ‘ikke er tilstrækkeligt sikret med kryptering mod aflytningen og manipulation’, som Center for Cybersikkerhed selv skriver i deres anbefaling.
Ifølge sikkerhedsrådgiver Henrik Kramselund kræver det ikke ret meget arbejde at få implementeret de tekniske minimumskrav. Han kalder det ‘helt horribelt’, at de to tjenester fx. ikke har implementeret DNSSEC.
– Det kan være, at de er bange for, at det vil gå galt. Men hvis man er last mover, og det fejler, er det et stort problem, så jeg anbefaler alle mine kunder at implementere det med det samme, siger Henrik Kramselund.
En af de mest vedvarende kritikere af den manglende it-sikkerhed hos myndigheder er Henrik Schack. Han arbejder som it-konsulent i et større mediehus, men har som privatperson gennem mange år forsøgt at råbe myndighederne op. Radar har set flere henvendelser til PET, der kvitterer for beskeden.
Henrik Schack mener, at der mangler konsekvenser for myndighedernes mangelfulde it-sikkerhed.
– Når man ikke beskytter domænet, så har man næsten gjort alt, hvad man kan for at hjælpe de kriminelle. Det udgør en enorm sikkerhedsrisiko, men det har ingen konsekvenser, fordi der ikke er nogen myndighed i Danmark, der reelt håndhæver datalæk, siger Henrik Schack.
PET og Center for Cybersikkerhed: Vi fikser det
Radar har bedt om et interview med Politiets Efterretningstjenestes chef Finn Borch Andersen og Center for Cybersikkerheds chef Thomas Flarup, for at høre, hvordan det hænger sammen, at de to tjenester anbefaler andre myndigheder at leve op til minimumskravene, men at de ikke selv gør det.
En pressemedarbejder hos PET oplyser til Radar, at de er opmærksomme på problemerne med at leve op til minimumskravene, men at de vil fikse det.
‘PET er i gang med at lancere en ny hjemmeside, og i den forbindelse vil problematikkerne vedrørende DNSSEC og HTTPS blive udbedret, så PET lever op til minimumskravene, som gælder for statslige myndigheder omkring it-sikkerhed’, skriver pressemedarbejderen.
En pressemedarbejder hos Center for Cybersikkerhed skriver, at de er opmærksom på ‘udfordringerne’ med leve fuldt op til kriterierne for testen, som de selv har været med til at udvikle.
‘Center for Cybersikkerhed er i løbende dialog med Forsvarsministeriets it-leverandører om at opdatere konfigurationen af koncernens domæner, så de lever fuldt op til de ønskede kriterier. Det er en del af den nødvendige, konstante vedligeholdelse. Det er naturligvis en klar målsætning, at Center for Cybersikkerheds domæner skal leve op til kriterierne,’ skriver pressemedarbejderen til Radar.
