Ekspert i cybersikkerhed: Statsministerens pressemøde var en gyserforestilling i skødesløs omgang med it-sikkerhed

Statsministerens pressemøde sidste uge gav et omfattende indblik i, hvordan man på en arbejdsplads, hvor sikkerheden nok burde være i højsædet, forholder sig til den, når det gælder telefoner. Og det blev i sandhed lidt af en gyserforestilling.

Tilbage står indtrykket – minksag eller ej – af et i bedste fald sporadisk niveau på visse områder, og at sikkerheden inden for disse er overladt til den enkelte medarbejder, uden styring fra centralt hold.

Hvorfor slette?

Sms-kommunikation er notorisk kendt for at bygge på gammeldags protokoller med svag eller ingen sikkerhed. Individer eller grupper med ”onde hensigter” har således fine muligheder for at skaffe sig adgang til enten at følge med i informationsstrømme eller sågar fabrikere falske sms’er eller telefonopkald.

God praksis er, at man vurderer og kategoriserer al information og har styr på, hvor og hvordan den opbevares og behandles. 

Rasmus Lau Petersen
Ekspert i cybersikkerhed for Ingeniørforeningen IDA

Det reelle spørgsmål som it-sikkerhedsekspert er altså ikke, om det er en god idé at slette sine gamle beskeder, men om sådanne beskeder overhovedet skulle have været skrevet i første omgang, hvis altså man vurderer, at det vil være forbundet med en betydelig risiko, såfremt de ender i de forkerte hænder.

Sletning kan i bedste fald betyde, at en smule mindre information falder i de forkerte hænder, men det vil være et slags last resort, efter adskillige helt elementære sikkerhedsforanstaltninger er fejlet. Og i værste fald rammer automatisk sletning naturligvis data, der burde have været gemt.

Sund it-sikkerhedshygiejne foreskriver kryptering af telefonens datalager, så information ikke kan udlæses af en tyv med de rette værktøjer, remote wipe af hele telefonen fra centralt hold, så information ikke kommer i tyvens eller hackerens besiddelse og sikker adgangskode, så tyven ikke kan låse den op.

Til allersidst kan man overveje at slette informationen løbende på telefonen, men hvorfor det, hvis man bare kan slette hele telefonen, hvis den bliver stjålet?

Almindelig praksis

På pressemødet bliver det dog mere end antydet, at elementær praksis for god it-sikkerhed på mobiltelefoner ikke er til stede i Statsministeriet.

Lad os derfor dykke ned i, hvad en professionel organisation gør for at imødekomme disse risici og på den måde også demonstrere, hvad Statsministeriet ville have været i stand til med et højere sikkerhedsniveau omkring medarbejdernes telefoner.

God praksis er, at man vurderer og kategoriserer al information og har styr på, hvor og hvordan den opbevares og behandles.

Alt efter hvor kritisk informationen er, fastsætter man forskellige niveauer af sikkerhedsforanstaltninger for alle de lokationer. Selv en organisation med et medium niveau af it-sikkerhed (og man havde jo nok håbet, at Statsministeriets ville være højere) vil have defineret et regelsæt, som er lettilgængeligt, nogenlunde kendt af alle og stramt styret af eksempelvis it-afdelingen.

I det konkrete scenarie fra minksagen ville en organisation med et medium sikkerhedsniveau, og dermed et regelsæt for sikker brug af mobiltelefoner, hurtigt have kunnet forklare, hvordan telefonerne generelt er sikret, herunder om der er en sikkerhedsforanstaltning som automatisk sletning af sms’er efter X antal dage på dem.

Statsministeriet burde være et fyrtårn for den offentlige forvaltning og som en selvfølgelighed have helt styr på dette.

Rasmus Lau Petersen
Ekspert i cybersikkerhed for Ingeniørforeningen IDA

Man ville også hurtigt have kunnet forklare, hvorfor der er behov for denne sikkerhedsforanstaltning, fordi det er en forudsætning for at implementere den, at man har tænkt over, hvilken risiko den nedbringer.  

Det havde også været let at oplyse, hvem der har haft hvilke telefoner hvornår. Og hvordan information fjernes fra mobiltelefonerne igen (eller forhindres i at blive fjernet, hvis det er information, man gerne vil bevare).

Hvis organisationen anvender sms'er til fortrolig information, burde man ikke høre en tidligere medarbejder fortælle, at vedkommende stadig opbevarer ti år gamle sms’er. Og medarbejdere ville formentlig ikke få lov til selv at styre indstillinger for opbevaring af organisationens data.

Orden i eget hus

Endelig bør man faktisk slet ikke anvende sms’er til behandling af fortrolig information, men en krypteret kommunikationsplatform, helst styret af organisationen. Afhængigt af informationens klassificering kunne det være tjenester som Signal og Telegram eller indenfor økosystemer som Microsoft Teams eller Google Chat.

Fra et it-sikkerhedsmæssigt perspektiv håber jeg, at Statsministeriet får orden i eget hus efter denne meta-afsløring i minksagen af et umiddelbart ganske skødesløst forhold til sikkerheden omkring telefoner.

Statsministeriet burde være et fyrtårn for den offentlige forvaltning og som en selvfølgelighed have helt styr på dette.

Og med de mange gode publikationer, der udgår fra blandt andre Digitaliseringsstyrelsen og Center for Cybersikkerhed, skorter det ikke på tilgængelighed af rådgivning, som for længst kunne have løst Statsministeriets udfordring på dette område.