En rekke statlige organisasjoner slurver med digital sikkerhet, mener sikkerhetsekspert Per Thorsheim.
Per Thorsheim har den siste tiden gjennomgått hvilke sikkerhetstiltak statlige organisasjoner har implementert for nettsider og e-post. Han mener at en rekke aktører slurver med sikkerheten, noe som gjør dem mer sårbare for statlige cyberoperasjoner og økonomisk kriminalitet.
– Med svakhetene som ligger her i disse 59 domenene kan en angriper forårsake et massivt kaos, sier sikkerhetsekspert Per Thorsheim som blant annet arrangerer sikkerhetskonferansen PasswordCon.
Stortinget har blitt utsatt for datainnbrudd to ganger i nyere tid og norske myndigheter mener statlige aktører står bak begge tilfellene. Thorsheim reagerer på at Stortinget og Statsministerens kontor mangler flere sikkerhetstiltak.
– Har man sikkerhetstiltaket DNSSEC blir det vanskeligere for fremmede å omdirigere e-poster til seg selv istedenfor til Stortinget. DNSSEC gjør også at alle som skal inn på Stortingets nettside faktisk kommer inn på stortinget.no, og ikke en falsk side, sier Per Thorsheim, som mener alle burde ha dette i dag.
Clik here to view.
Et annet tiltak, kalt DMARC, er en rapporteringsmekanisme som kan varsle en organisasjon om at noen andre sender mistenkelige e-poster i deres navn. Det kan for eksempel være at noen utgir seg for å være en statssekretær ved Statsministerens kontor og slik øke sannsynligheten at andre åpner virusinfiserte dokumenter.
Dette sikkerhetstiltaket mangler Statsministerens kontor, mens Stortinget har den svakeste formen av tiltaket.
– Hos meg er det ingen tvil om at Stortinget burde ha høyeste nivå av DMARC, og tilsvarende også for Statsministerens kontor. Dette er standarder som har eksistert i mange år, har dokumentert effekt, og har også ligget som anbefalinger fra Digitaliseringsdirektoratet og Nasjonal sikkerhetsmyndighet siden 2018 eller tidligere, sier Thorsheim.
SMK: Tiltak midlertidig nede
– Statsministerens kontor er svært opptatt av IKT-sikkerhet og jobber kontinuerlig med våre samarbeidspartnere for å bedre IKT sikkerheten i alle ledd, skriver Anne Kristin Hjukse som er kommunikasjonssjef ved Statsministerens kontor (SMK).
Hjuske opplyser at Forsvarsdepartementet og Departementenes sikkerhets- og serviceorganisasjon (DSS) drifter deres e-postløsning.
– SMK har tidligere hatt DMARC-oppføring på maildomenet smk.dep.no, men på grunn av noen tekniske utfordringer rundt oppføringen valgte man å ta dette ned igjen midlertidig. Forsvarsdepartementet jobber med å løse disse og igjen sette på DMARC-oppføring, skriver Hjuske.
– Når det kommer til den andre tjenesten som omhandler DNS, så administreres dette av DSS. SMK vil følge opp dette med DSS og sørge for at vi hele tiden har den sikkerheten man til enhver tid bør ha på de forskjellige tjenestene.
DSS opplyser til NRK at de jobber med å innføre DNSSEC og at arbeidet er prioritert.
Stortinget: – Vil vurdere ytterligere tiltak
– Vi vil se nærmere på innspillene og undersøkelsene som Per Thorsheim har gjort og vurdere ytterligere tiltak, skriver stortingsdirektør Marianne Andreassen.
Clik here to view.
Thorsheim reagerer også på at Stortinget ikke har gjort det slik at man må ha en engangskode, gjerne kalt to-faktor, i tillegg til passord for å logge seg inn på systemet for å administrere DNS. Man kan tenke på DNS som en telefonkatalog for datamaskiner og manipulerer man systemet kan maskiner lures til å kommunisere med ondsinnede aktører.
Andreassen oppgir at tiltakene Thorsheim påpeker er på deres agenda, men at de ikke er fullt implementert enda.
– Vi har også ansett risikoen rundt manglene Thorsheim påpeker for å være begrenset. Vi analyserer faktisk bruk av løsningene fortløpende for å understøtte de implementerte sikkerhetsløsningene, samt for å oppdage forsøk på misbruk, skriver Andreassen.
Jobber du med IT-sikkerhet og har tips om datainnbrudd eller sårbarheter? Ta kontakt med oss på martin.gundersen@nrk.no eller 47 75 65 15 (Signal).
Skuffet over mangler
Per Thorsheim er skuffet over at arbeidet med å innføre slik sikkerhetsfunksjonalitet ikke har gått raskere, spesielt siden organisasjonene ikke følger statens egne anbefalinger. NSM anbefaler nemlig selv organisasjoner om å ha DNSSEC og DMARC.
- 21 mangler DNSSEC
- 14 mangler DMARC
- 41 mangler to-faktor for administrering av DNS
- 4 mangler SPF
Testene ble gjort i slutten av september og starten av oktober.
NRK har forelagt de overordnede resultatene for seniorrådgiver Håkon Styri i Nasjonal sikkerhetsmyndighet (NSM).
– Hvis vi litt rufsete kaller det for digitale skolisser som er knyttet eller ikke, så er det selvfølgelig uheldig at folk går med skolissene åpne og kan snuble, men det er andre tiltak som vil spille inn her. Det er derfor nødvendigvis ikke like alvorlig for alle virksomhetene, sier Styri.
Styri påpeker at det finnes kommersielle løsninger som tar for seg de samme utfordringene uten at de vil bli talt i en undersøkelse som dette.
Det er i tillegg slik at NSM og samfunnskritiske virksomheter må sikre en rekke andre systemer og håndtere nye sårbarheter som jevnlig oppdages.
– Det er ikke alltid vi løpet etter det som er lettest synlig. Om det er noe annet må vi prioritere det, sier Styri.
TEST SELV: En EU-tjeneste lar deg teste sikkerheten på e-posttjenesten du bruker. Det tar kun ett minutt.
UDI: Stiller krav
Utlendingsdirektoratet (UDI) er en av organisasjonene Thorsheim ønsker å positivt trekke frem. De har implementert alle sikkerhetstiltakene.
Informasjonssikkerhetsleder Anders Nordseth og IT-sikkerhetsansvarlig Niklas Myklebost forklarer at UDI har lykkes med sikkerhetsarbeidet fordi de har jobbet med det systematisk over tid og hatt støtte i hele organisasjonen.
Clik here to view.
– Om alle sitter på hver sin maurtue kommer vi ingen vei, sier Myklebost som forteller at de har prioritert å følge standardene som anbefales av ulike faginstanser og rydde opp i gamle systemer. Deretter har de stilt krav til andre.
– Vi har aktivt nådd ut til våre samarbeidspartnere og leverandører om hva vi forventer av dem vi jobber sammen med. Da har vi sagt: «Dette er minimumskravene for dem vi jobbet sammen med. Holder dere ikke dette nivået er dere mindre aktuelle for å levere tjenester til UDI», sier Myklebost.