Den 1. januar 2020 er en vigtig dato for statslige myndigheder.
Umiddelbart efter at champagnepropperne er sprunget, og fyrværkerirøgen har lagt sig, skal en række ufravigelige krav nemlig opfyldes for at sikre et fælles højt informationssikkerhedsniveau i staten.
Det handler om en stribe tekniske minimumskrav til sikkerheden i it-løsninger for statslige myndigheder indenfor fem områder: Klienter, mail, mobiltelefoner, netværk og websider.
Du kan finde hele oversigten over alle minimumskrav på sikkerdigital.dk.
De skærpede regler er indført som et led i den nationale cyber- og informationssikkerhedsstrategi, og selv om kravene er tiltænkt statslige myndigheder, så er det et katalog, der også kan være til stor inspiration og hjælp for private virksomheder.
Lavthængende frugter og udfordringer
Hvis man tager de realistiske briller på, så må vi nok erkende, at det for nogle vil være svært at opfylde kravene til den aftalte tid. Men når det er sagt, så bør det være muligt og prioriteret, at der igangsættes løsningsprojekter indenfor alle de områder, som kravene dækker sig over.
For størstedelen af myndighederne vil en lang række af kravene allerede være helt eller delvist opfyldt som eksempelvis brugen af VPN-løsninger, end-point-beskyttelse mod virus og malware eller krav om minimumlængde på adgangskoder.
Derved handler det primært om at lukke de sidste huller i sikkerhedsnettet, hvilket dog langt fra altid er en nem opgave – der samtidig kan være ressourcekrævende.
Et eksempel på det er tvunget kryptering af mail-korrespondance med TLS 1.2 eller højere, som både er en udfordrende og ressourcekrævende opgave.
Kravet lyder, at mellem statslige myndigheder skal der anvendes tvungen (forced) TLS, mens der til øvrige skal sendes TLS, hvis modtager understøtter det.
Mail-servere understøtter normalt enten ”forced” eller ”opportunistic” TLS, hvor ”opportunistic” medfører, at man sender TLS-krypteret, hvis modtager understøtter det.
Det er imidlertid ikke nok til at opfylde Datatilsynets krav, som er det, der er medtaget i de tekniske minimumskrav for statslige myndigheder. Her kræves det – med god grund – at man sikrer sig, at modtageren understøtter TLS 1.2 eller højere, inden man sender følsomme personoplysninger via e-mail.
Det bliver vanskeligt at lave en opsætning af mail-systemet, hvor man både anvender indstillingen ”forced TLS” i forhold til andre statslige myndigheder og ”opportunistic TLS” i forhold til øvrige modtagere. Det kræver i hvert fald, at nogen vedligeholder en autoritativ liste over mail-domæner, der skal understøtte mindst TLS 1.2.
Ikke alt er klar til januar
Et par af kravene har også fået lidt længere deadline, og skal således først være på plads 1. juli 2020.
Det handler blandt andet om DMARC, som er et valideringssystem designet til at forhindre e-mail-spoofing, hvor en afsender udgiver sig for at være en anden. Løsningen er dermed også et værktøj mod afsendelse af spam og phishing, der giver sig ud fra at komme fra myndighedens domæner. Derimod beskytter den ikke mod, at der udsendes falske mails fra brugerkonti, som en angriber har overtaget kontrollen med.
Når man går i gang med sit DMARC-projekt, skal man huske at høste de lavthængende frugter. Alle de webdomæner, man ejer, skal have en DMARC-reject policy - også dem, der ikke anvendes til mail. Der er ingen grund til, at nogen skal kunne misbruge disse domænenavne som falsk afsender. DMARC har også den fordel, at man får rapporter, der giver myndigheden (eller virksomheden) god indsigt i, i hvilket omfang kriminelle forsøger at sende mail i dens navn.
Et andet område, der har fået længere tidsfrist, er afskaffelsen af Flash på myndighedernes websider.
Flash burde for længst have været afskaffet. Teknologien har i årevis været kendt for sine mange sikkerhedsproblemer, og de hyppige sikkerhedsopdateringer har ikke effektivt afhjulpet problemerne, men har indimellem ligefrem introduceret nye sårbarheder.
Flash har ligeledes end-of-life i 2020, hvilket betyder, at der slet ikke kommer flere sikkerhedsopdateringer, så det er på høje tid at få fjernet de sidste afhængigheder af dette forældede plug-in. Men det er selvfølgelig et stykke arbejde at re-designe systemer og websider, så de virker med andre og mere moderne løsninger. Jeg kan kun opfordre til at prioritere opgaven højt, der hvor man stadig anvender Flash.
Det er dog ikke kun tekniske, men i stort omfang også kulturelle omlægninger, der skal til. I nogle organisationer kan det eksempelvis være en stor kulturforandring at fjerne lokaladministrator-rettighederne fra de almindelige brugerkonti. Men det er et nødvendigt tiltag, der styrker sikkerheden markant, og som DKCERT har anbefalet i årevis. Her har man, som tidligere nævnt, dog frem til 1. juli før en alternativ løsning skal være på plads – og der findes forskellige gode løsninger, der kan understøtte kravet.
En god baseline
Der er selvfølgelig altid et pres, når der er tale om ufravigelige krav – og listen kan synes lang. Men det er nødvendigt, at der bliver sat en solid baseline. Så er der nemlig ingen tvivl.
Som rådgiver om informationssikkerhed er det da også min klare overbevisning, at statslige myndigheder efter den 1. januar vil være betydelig mere modstandsdygtige overfor cyberangreb både i forhold til angreb mod viden eller intellektuelle rettigheder og overfor kriminelle, der eksempelvis vil presse penge.
Selv om du ikke arbejder i en statslig myndighed, står du helt sikkert med mange af de samme problemer, så læs kataloget. Det er gode råd, der er helt gratis.
Oprindelig bragt på Computerworld Online den 29. november 2019.