To svenske sikkerhedsfolk kunne for nylig berette, at de efter aftale med en offentlig it-direktør trængte ind i et svensk ministerium og på under en halv time huggede fortrolige regeringsfiler.
På den baggrund har Computerworld talt med Statens It og spurgt, om noget lignende kunne ske i det statslige it-center med 55 forskellige styrelser og institutioner som Finansministeriet, Miljøministeriet og Erhvervs- og Vækstministeriet som kunder med dertilhørende fortrolige data.
“Vi kan jo højst gardere os til et vist punkt med tyverisikringer, rum-detektorer, gode låse, kameraovervågning og vagtfirma til at passe på os, men vi kan naturligvis ikke fuldstændigt udelukke et angreb udført med social engineering,” forklarer vice-direktør Søren Vulff fra Statens It.
Bestilte et indbrud
Han fortæller samtidig, at Statens It i foråret 2011 rent faktisk bestilte et dansk sikkerhedsfirma til at bryde ind på samme måde, som det var tilfældet i Sverige.
“På daværende tidspunkt var vi en masse nye medarbejdere samlet her i huset, og folk kendte ikke hinanden så godt,” forklarer Søren Vulff om baggrunden for det bestilte indbrud.
‘Indbrudstyvene’ fik ved den lejlighed kompromitteret sikkerheden i Statens It på flere punkter.
“Det lykkedes sikkerhedsfirmaet at komme ind i bygningen, at gemme sig for natten i et stillerum, at stjæle fortroligt materiale i papirform fra skriveborde og at installere keyloggere på flere computere, mens medarbejderne var til frokost,” beretter vicedirektøren om oplevelsen.
Hele seancen blev optaget på video, og den er siden blevet oploadet på Statens It’s intranet, hvor den fungerer som en introduktionsvideo for nye medarbejdere.
“Vi vil gerne skabe awareness blandt vores medarbejdere omkring truslen for social engineering, og hvad de skal være opmærksomme på. Til det formål er det en ganske lærerig video, som alle nye medarbejdere bliver introduceret til,” forsikrer Søren Vulff.
Sikkerhedskritik fra Rigsrevisionen
Vicedirektøren fortæller, at Statens It også løbende sikrer sig mod deciderede hackerangreb fra internet med en lang række værktøjer og tests, som han dog ikke vil komme nærmere ind på af sikkerhedsmæssige årsager.
Fortsættes …
Leave a Reply