Den danske riksrevisjonen tar et stort oppgjør med total mangel på IT-sikkerhet i mange danske regioner. Blant annet skal 27 000 offentlige ansatte ha lokale administrator-rettigheter på datamaskinene de jobber på i det daglige. Det skriver Version2.
Kjenner du til tilsvarende svakheter i norsk sektor? Tips vår journalist på martin@digi.no.
– Når ingen medarbeidere har begrensede muligheter for å installere ondsinnet programvare, øker det risikoen for at skadelig innhold skal infisere de offentlige IT-systemene, og sette helsedata i fare, skriver den danske riksrevisjonen i en fersk rapport.
Hackere kan få omfattende kontroll
Riksrevisjonen frykter nå at et kyberrangrep kan sette tre danske regioner –tilsvarende en norsk fylkeskommune – ut av spill.
Ikke bare mangler danskene total styring på forvaltning av lokale administrator-rettigheter, de har heller ikke styring på hvem som har administratortilgang på domenenivå i den danske regionen Syddanmark.
– Et kyberrangrep mot disse medarbeiderne vil gi hackerne omfattende kontroll, skriver Riksrevisjonen i sin rapport.
1,2 millioner innbyggere
I praksis betyr det at en angriper i verste fall kan få full kontroll på de danske IT-systemene som styrer rundt 1,2 millioner innbyggeres offentlige tjenester. Mange av systemene det er snakk om er også koblet til internett.
Senest i sommer ble mellom 20 og 30 medarbeidere sperret ute av IT-systemene etter et dataangrep, skriver Version2.
Kjenner du til tilsvarende svakheter i norsk sektor? Tips vår journalist på martin@digi.no.
Men det er ikke bare region Syddanmark som får kritikk. Også regionene Midtjylland og Hovedstaden får så hatten passer av den danske riksrevisjonen.
– Riksrevisjonens vurdering er at IT-systemene i de tre regionene ikke er tilstrekkelig beskyttet. Alle er de tre er truet av kyberrangrep fra utenforstående, men også medarbeidere kan, bevist eller ubevist, utgjøre en stor risiko hvis de misbruker sine tilganger til IT-systemene og dataene som finnes lagret der, fortsetter den danske revisjonen.
Nærmere 8 000 XP-maskiner
I region Hovedstaden og Midtjylland finnes det blant annet 7 800 XP maskiner som fortsatt er koblet til nettverket. Den versjonen av Windows sluttet Microsoft å supportere i fjor høst.
250 gamle servere står også og surrer med programvare som ikke lenger supporteres av noen leverandører, ifølge det danske nyhetsmediet.
Det kanskje grelleste eksempelet på elendige sikkerhetsrutiner manifester seg med at flere passord på system- og servicekontoer på domenet ikke er byttet på nesten ti år.
Selv om alle regionene har gjort tiltak, bemerker den danske Riksrevisjonen at det ikke monner.
– De tre regionene må få bedre styring og kontroll på hvilke medarbeidere som skal ha privilegerte rettigheter. Blant annet bør det innføres løpende kontroll av hvem som har tilgang til hva, konkluderes det ifølge Version2.
Kjenner du til tilsvarende svakheter i norsk sektor? Tips vår journalist på martin@digi.no.
