En rekke statlige organisasjoner slurver med digital sikkerhet, mener sikkerhetsekspert Per Thorsheim.
Per Thorsheim har den siste tiden gjennomgått hvilke sikkerhetstiltak statlige organisasjoner har implementert for nettsider og e-post. Han mener at en rekke aktører slurver med sikkerheten, noe som gjør dem mer sårbare for statlige cyberoperasjoner og økonomisk kriminalitet.
– Med svakhetene som ligger her i disse 59 domenene kan en angriper forårsake et massivt kaos, sier sikkerhetsekspert Per Thorsheim som blant annet arrangerer sikkerhetskonferansen PasswordCon.
Stortinget har blitt utsatt for datainnbrudd to ganger i nyere tid og norske myndigheter mener statlige aktører står bak begge tilfellene. Thorsheim reagerer på at Stortinget og Statsministerens kontor mangler flere sikkerhetstiltak.
– Har man sikkerhetstiltaket DNSSEC blir det vanskeligere for fremmede å omdirigere e-poster til seg selv istedenfor til Stortinget. DNSSEC gjør også at alle som skal inn på Stortingets nettside faktisk kommer inn på stortinget.no, og ikke en falsk side, sier Per Thorsheim, som mener alle burde ha dette i dag.
Et annet tiltak, kalt DMARC, er en rapporteringsmekanisme som kan varsle en organisasjon om at noen andre sender mistenkelige e-poster i deres navn. Det kan for eksempel være at noen utgir seg for å være en statssekretær ved Statsministerens kontor og slik øke sannsynligheten at andre åpner virusinfiserte dokumenter.
Dette sikkerhetstiltaket mangler Statsministerens kontor, mens Stortinget har den svakeste formen av tiltaket.
– Hos meg er det ingen tvil om at Stortinget burde ha høyeste nivå av DMARC, og tilsvarende også for Statsministerens kontor. Dette er standarder som har eksistert i mange år, har dokumentert effekt, og har også ligget som anbefalinger fra Digitaliseringsdirektoratet og Nasjonal sikkerhetsmyndighet siden 2018 eller tidligere, sier Thorsheim.
SMK: Tiltak midlertidig nede
– Statsministerens kontor er svært opptatt av IKT-sikkerhet og jobber kontinuerlig med våre samarbeidspartnere for å bedre IKT sikkerheten i alle ledd, skriver Anne Kristin Hjukse som er kommunikasjonssjef ved Statsministerens kontor (SMK).
Hjukse opplyser at Forsvarsdepartementet og Departementenes sikkerhets- og serviceorganisasjon (DSS) drifter deres e-postløsning.
– SMK har tidligere hatt DMARC-oppføring på maildomenet smk.dep.no, men på grunn av noen tekniske utfordringer rundt oppføringen valgte man å ta dette ned igjen midlertidig. Forsvarsdepartementet jobber med å løse disse og igjen sette på DMARC-oppføring, skriver Hjukse.
– Når det kommer til den andre tjenesten som omhandler DNS, så administreres dette av DSS. SMK vil følge opp dette med DSS og sørge for at vi hele tiden har den sikkerheten man til enhver tid bør ha på de forskjellige tjenestene.
DSS opplyser til NRK at de jobber med å innføre DNSSEC og at arbeidet er prioritert.
Stortinget: – Vil vurdere ytterligere tiltak
– Vi vil se nærmere på innspillene og undersøkelsene som Per Thorsheim har gjort og vurdere ytterligere tiltak, skriver stortingsdirektør Marianne Andreassen.
Thorsheim reagerer også på at Stortinget ikke har gjort det slik at man må ha en engangskode, gjerne kalt to-faktor, i tillegg til passord for å logge seg inn på systemet for å administrere DNS. Man kan tenke på DNS som en telefonkatalog for datamaskiner og manipulerer man systemet kan maskiner lures til å kommunisere med ondsinnede aktører.
Andreassen oppgir at tiltakene Thorsheim påpeker er på deres agenda, men at de ikke er fullt implementert ennå.
– Vi har også ansett risikoen rundt manglene Thorsheim påpeker for å være begrenset. Vi analyserer faktisk bruk av løsningene fortløpende for å understøtte de implementerte sikkerhetsløsningene, samt for å oppdage forsøk på misbruk, skriver Andreassen.
Jobber du med IT-sikkerhet og har tips om datainnbrudd eller sårbarheter? Ta kontakt med oss på [email protected] eller 47 75 65 15 (Signal).
Skuffet over mangler
Per Thorsheim er skuffet over at arbeidet med å innføre slik sikkerhetsfunksjonalitet ikke har gått raskere, spesielt siden organisasjonene ikke følger statens egne anbefalinger. NSM anbefaler nemlig selv organisasjoner om å ha DNSSEC og DMARC.
- 21 mangler DNSSEC
- 14 mangler DMARC
- 41 mangler to-faktor for administrering av DNS
- 4 mangler SPF
Testene ble gjort i slutten av september og starten av oktober.
NRK har forelagt de overordnede resultatene for seniorrådgiver Håkon Styri i Nasjonal sikkerhetsmyndighet (NSM).
– Hvis vi litt rufsete kaller det for digitale skolisser som er knyttet eller ikke, så er det selvfølgelig uheldig at folk går med skolissene åpne og kan snuble, men det er andre tiltak som vil spille inn her. Det er derfor nødvendigvis ikke like alvorlig for alle virksomhetene, sier Styri.
Styri påpeker at det finnes kommersielle løsninger som tar for seg de samme utfordringene uten at de vil bli talt i en undersøkelse som dette.
Det er i tillegg slik at NSM og samfunnskritiske virksomheter må sikre en rekke andre systemer og håndtere nye sårbarheter som jevnlig oppdages.
– Det er ikke alltid vi løper etter det som er lettest synlig. Om det er noe annet må vi prioritere det, sier Styri.
TEST SELV: En EU-tjeneste lar deg teste sikkerheten på e-posttjenesten du bruker. Det tar kun ett minutt.
UDI: Stiller krav
Utlendingsdirektoratet (UDI) er en av organisasjonene Thorsheim ønsker å positivt trekke frem. De har implementert alle sikkerhetstiltakene.
Informasjonssikkerhetsleder Anders Nordseth og IT-sikkerhetsansvarlig Niklas Myklebost forklarer at UDI har lykkes med sikkerhetsarbeidet fordi de har jobbet med det systematisk over tid og hatt støtte i hele organisasjonen.
– Om alle sitter på hver sin maurtue kommer vi ingen vei, sier Myklebost som forteller at de har prioritert å følge standardene som anbefales av ulike faginstanser og rydde opp i gamle systemer. Deretter har de stilt krav til andre.
– Vi har aktivt nådd ut til våre samarbeidspartnere og leverandører om hva vi forventer av dem vi jobber sammen med. Da har vi sagt: «Dette er minimumskravene for dem vi jobbet sammen med. Holder dere ikke dette nivået er dere mindre aktuelle for å levere tjenester til UDI», sier Myklebost.
Stortinget har gjort tiltak…
dnssec-analyzer.verisignlabs.com/stortinget.no
mecsa.jrc.ec.europa.eu/en/finderRequest/52621dff731ca82ef153ecb324aa506f
I godt over 30 år har vi hatt internasjonale standarder for digital signering av epost, slik at du kan være sikker på at avsender er den han gir seg ut for å være.
Bruken er helt enkel: Avsender må skaffe seg et digitalt sertifikat – av samme type som brukes for HTTPS og andre TLS-baserte protokoller – og dobbeltklikke sertifikatfila så den registreres i post-systemet. Det er alt. Alle vanlige epost-systemer kan handtere slike sertifikater, og kontrollere sigeringen. Mekanismen dekker også kryptering av innholdet (kjent som SMIME).
Men vi ‘gidder ikke’ bruke disse mekanismene, selv om de har vært tilgjengelig siden før de fleste av oss fikk sin første PC. Vi bruker mer energi på å finne unnskyldninger enn vi ville brukt på å ta i bruk det som ligger klart rett foran nesa vår.
Som man sier på nynorsk: You Asked For It, You Got It. … Her i forstand ‘forfalskede eposter’.
I teorien har du rett, men nå har vel ikke dette vært 100% på stell hele tiden. Rogue certs og utstedere som ikke har gjort jobben sin mm.
Det har vært brukt «trusted representatives» for at kjøpere av sertifikat skal møte opp og dokumentere at de er den man gir seg ut for og gradert «trust» om man ikke identifiserer seg fysisk.
Det er noen år siden jeg gadd å gå den løypa der, og sertifikatene var relativt høyt priset om man ønsket noe som er «100% sikkert».
Buypass leverer vel kun businessløsninger når det gjelder sertifikater nå. De praktiserte henting på post mot idverifikasjon med pass om jeg ikke husker feil, og det var ikke helt billig sammenlignet med hva folk er villige til å betale for programvare o.l.
En del løsninger «kan garantere» at det er en epost som er sendt fra «oppgitt epostkonto», men det sier ikke nødvendigvis noe om hvorvidt kontoen er «falsk» eller, om den er ekte, hvem som faktisk sender.
I gruppen avsendere finner man også mange privatpersoner, og majoriteten skjønner ikke bæra og melder seg ut før du kommer til HTT..
Skal slike løsninger fungere effektivt må løsningene i likhet med kryptering av epost være helt helt banale i sin enkelhet for brukerne.
Nå snakker du om å gjøre det beste til det godes fiende.
Ingenting er perfekt. De fleste låser kan dirkes opp. Går du av den grunn ut og erklærer høylydt: ‘Kutt ut å låse inngangsdøra di, sykkelen din, eller bildørene! Noen kan klare å bryte seg inn uansett, så der har ingen hensikt!’
Naturligvis gjør du ikke det. Du vet at låste dører stopper svært mange uønskede innbrytere. Låser har en verdi – selv om de i prinsipp kan dirkes opp.
Blant en viss gruppe datafolk har det blitt mote/prestisje å kunne peke på super-obskure spesialtilfeller der ‘låsen kan dirkes opp’. Det er flott at ekstreme ‘corner cases’ blir identifisert. Problemet er når disse ekstrem-tilfellene blir brukt som argument mot at folk flest skal låse døra, men la den stå åpen. Mot kryptering av e-post, slik at folk sender den i åpen klartekst, istedetfor 99,99% sikkert (selv om det ikke er 100%). Og så videre.
Hvis 100% av eposten hadde vært 99,99% sikkert kryptert/signert ville det ikke vært kost-effektivt å etablere en ‘industri’ for å angripe den siste 0,01%. Forsåvidt gjelder det samme i dag: Hvis jeg og fem kamerater snder SMIME epost oss imellom, er det ikke kost-effektivt for en email-spammer å bryte den beskyttelsen. Det finnes nok av lavere hengende frukt.
Dessverre, fordi altfor mange IT-sikkerhetsfolk argumenterer i reting av at ‘Det er jo ikke absolutt 100% sikkert, og da er det verdiløst’ gir vi innbryterne så mye lavthengende frukt at det er super-attraktivt for dem å fortsette sin aktivitet.
Og når disse sikkerehetsfolkene har fått så godt som alle bort fra å skaffe seg et epost-sertifikat, så har ikke vi som reelt bryr oss om praktisk, ikke teoretisk, sikkerhet nevneverdig mulighet for sikker kommunikasjon. Det fungerer kun mellom aktører som ikke har gått på den myten som promoteres om at ‘Det er verdiløst å låse døra di når du forlater huset; den kommer til å bli dirket opp uansett, så la døra stå ulåst!’
Det bør være en selvfølge at bedrifter og organsisasjoner blir tilbudt og kjøper løsninger som har meget god sikkerhet, men kompetansen blant SMB-selskaper er høyst varierende – gjerne så som så. Eksempelvis kjenner jeg godt til et forholdsvis stort revisjonsselskap som er helt prisgitt løsningene fra deres leverandør. De kan fint lite selv.
Når det gjelder privatpersoner kan man på ingen måte anta at det er en overvekt av brukere med tilstrekkelig kompetanse til å besørge god sikkerhet selv.
Derfor er det en forutsetning for generell sikkerhet at løsningene som tilbys i markedet har nødvendig sikkerhet og at dette påtvinges brukerne.
Det kan man bare gjøre om løsningene er helt banalt enkle å bruke for alle, selv brukere helt uten kunnskap.
Brukere kan ikke en døyt om brannmurer, derfor blir dette håndtert av utstyrsleverandørene. Superenkelt dersom utstyrsleverandørene gjør jobben sin og opptrer etisk.
Tutanotas håndtering av krypteringen i epostklienten deres er superenkel – både å forstå og bruke.
Så det går helt åpenbart an å levere sikre løsninger som kan brukes av alle.
Løsninger som Signal er litt anderledes. Der er det litt mer komplisert å sikre seg ettersom det ikke er helt åpenbart hvilke konsekvenser oppsett og endringer begått av bruker får. Brukernes håndtering av løsningens sikkerhet er basert på og derved prisgitt sterk tillit til leverandøren.
Å pakke inn problemstillingene i en ball og skrive latskap på den er ikke riktig, og det hjelper heller ingen.
Det er 2 ting som hjelper: Superenkel bruk av sikre løsninger og lover/forskrifter som både sikrer brukerne og har meget sterke sanksjonsmuligheter ovenfor leverandørene, og som benyttes aktivt.