Regjeringens IT-sikkerhet og driften av datasystemene deres ble stemplet som «amatørmessig». Alvorlige sikkerhetshull, bruk av utdatert programvare og en svært snakkesalig brannmur ble avslørt i en serie artikler i Aftenposten i høst.
Bak kartleggingen sto den nederlanske organisasjonen QCIC. De er en samling uavhengige spesialister i informasjonsbeskyttelse, som tidligere skal ha jobbet for en rekke virksomheter og myndigheter.
Engasjementet til QCIC i denne saken stikker dypere enn å bare avdekke problemene.
Den hemmelighetsfulle organisasjonen sier til digi.no at de ikke har for vane å søke offentlighetens lys, men at de ønsker å tilby bistand til norske myndigheter.
I november sendte de e-posthenvendelser til ledere i Fornyingsdepartementet (FAD), Departementenes servicesenter (DSS) og Nasjonal sikkerhetsmyndighet (NSM). Senere henvendte de seg direkte til IT-statsråd Rigmor Aasrud.
Fortsatt har ingen svart dem.
- Vi ønsker å gi verdifull informasjon om hvordan de selv raskt kan fikse noen alvorlige problemer, uten kostnad, forklarer George Bondegard, et dekknavn i QCIC til digi.no.
Dette er særlig vesentlig fordi regjeringens IT-systemer flere måneder etter avsløringene fremdeles er sårbare, mener han.
- Kan du være mer konkret?
- Det er bare å kjøre en rask skanning av port 80/443 på deres to /16 subnett, så får du et lite inntrykk, foreslår eksperten.
«Vi har gode systemer»
Fornyingsminister Rigmor Aasrud og underliggende etat DSS, som er ansvarlig for drift av regjeringsapparatets IT-infrastruktur, har tidligere fått hard kritikk for forholdene. Riksrevisjonen har stemplet sikkerheten som sjokkerende dårlig.
Etter høstens avsløringer om hvor ille det stod til gikk direktør Ivar Gammelmo av med øyeblikket virkning.
Hvordan står det nå til med IT-sikkerheten i regjeringskvartalet, spør vi hans etterfølger.
- Det har vært arbeidet mye med hensyn til det tekniske sikkerhetsnivået, men vi har utfordringer med dokumentasjon og det systematiske arbeidet. Samtidig har vi utfordringer med god systematikk og dokumentasjon samt oppfølging av rutiner mv., sier DSS-direktør Jon Blaalid til digi.no.
- Men er sikkerheten god nok rent teknisk?
- Vi har gode systemer for sikring mot virus og annen skadevare. Videre har vi gode mekanismer for å håndtere unormal og skadelig trafikk. Samtidig vil det alltid være utfordringer i et system der brukerne har tilgang til ekstern kommunikasjon. Det gjenstår blant annet en del arbeid med å optimalisere løsningene, herunder dokumentasjon, rutiner og regelsett. Det gjenstår også noe arbeid med å fase ut enkelte eldre systemer. Dette vil bli sluttført i løpet av 1 halvår 2011, sier Blaalid.
QCIC fnyser av disse uttalelsene.
- De har rett og slett ikke peiling på tingenes tilstand, og langt mindre hvordan problemene kan rettes, sier Bondegard til digi.no.
Advarer mot monokultur
Organisasjonen han representerer mener at leverandørene av IT-sikkerhetstjenester representerer en farlig monokultur.
QCIC mener at konsulentbistand som regjeringen leier inn fra virksomheter som Ergogroup, Watchcom, NSM og lignende alle er del av den samme skolen.
- De gir alle de samme utdaterte, teoretiske og byråkratiske anbefalingene, som virker mot sin hensikt i møtet med komplekse IT-systemer i rask endring, hevder Bondegard.
- Sannheten er at det er relativt enkelt å sikre regjeringens IT-infrastruktur. Alt som trengs er litt skikkelig opplæring av driftsavdelingen og de som er ansvarlig for systemene, heter det henvendelsen deres overfor myndighetene.
Vil ikke svare
- Hva er bakgrunnen for at DSS ikke svarer på henvendelsene fra QCIC. Man skulle tro at de sitter på verdifull informasjon etter sårbarhetene de har avdekket?
- Jeg kjenner ikke til hvorfor henvendelsen fra QCIC til DSS ikke er besvart. For øvrig får statlige virksomheter en strøm av henvendelser fra konsulenter som tilbyr sine tjenester, sier direktør Blaalid.
Han påpeker at det er vanlig praksis er å tildele konsulentoppdrag etter en åpen konkurranse mellom aktuelle tilbydere.
Fornyingsdepartementet er heller ikke interessert i å høre hva QCIC kan bidra med.
- Departementet mottar daglig tilbud fra en rekke leverandører om ulike produkter og tjenester. Vi har i denne sammenheng valgt å benytte en ekstern konsulent i tillegg til NSM. Denne konsulenten ble valgt etter en ordinær anbudskonkurranse der alle kunne delta, sier kommunikasjonssjef Frode Jacobsen.
QCIC har liten forståelse for at norske myndigheter ikke er interessert i kontakt med dem.
«Hvorfor er det ingen som bryr seg med å finne ut mer om hvilke IT-problemer vi har avdekket i systemene, både teknisk og av organisatorisk art?» spør de.
- FAD er i høyeste grad opptatt av å følge opp IKT-sikkerheten i regjeringskvartalet. I den sammenheng har vi satt i gang en rekke tiltak overfor Departementenes servicesenter og engasjert Nasjonal sikkerhetsmyndighet til å gjennomføre en grundig gjennomgang av systemene. Vi har også leid inn en ekstern konsulent som skal bistå Fornyingsdepartementet i oppfølgingen av DSS, svarer Frode Jacobsen i FAD.
- Løgn og ansvarsfraskrivelse
Ifølge QCIC er det dokumentert at norske myndigheter ikke er i stand til å håndtere sin egen IT-sikkerhet.
- Deres representanter velger å lyve om situasjonen, eller de lover å fikse problemene uten å gjøre noe, skriver organisasjonen i en e-postmelding.
- Dette har vi ingen kommentar til, sier Jacobsen.
Les også:
- [23.01.2013] Ikke lenger pill råtten IT-sikkerhet?
- [19.01.2011] Kur mot regjeringens IT-mareritt
- [01.12.2010] - Norges kyberforsvar kraftig svekket
- [26.11.2010] Alvorlig dataangrep mot regjeringen
- [25.11.2010] - Lett å hacke regjeringen
- [24.11.2010] Åpne hull i Regjeringens IT
- [25.10.2010] Aner ikke hva hackerne gjorde
- [22.10.2010] - Regjeringens datarot en skandale
- [21.10.2010] Holdt tett om dataangrep mot regjeringen
- [19.10.2010] Slakter regjeringens IT-sikkerhet