Sikkerheden halter på alle punkter hos den offentlige virksomhed Energinet.dk, som står for den danske el- og gasinfrastruktur. En intern rapport, som Energinet.dk har fået udarbejdet, viser, at organisationen er langt bagefter tilsvarende organisationer i andre lande. Det skal der nu rettes op på.

Hos Energinet.dk forsøger it-direktør Morten Gade Christensen ikke at bortforklare, at organisationen er bagud i forhold til branchens generelle niveau.

»Erkendelsen er, at vi er kommet for sent ud af starthullerne,« siger Morten Gade Christensen til Version2.

Energinet.dk har derfor lagt en plan, som i løbet af de næste tre år skal bringe sikkerhedsniveauet op mindst det samme niveau som resten af branchen og i det hele taget været bedre i stand til at imødegå sikkerhedstrusler.

»Målet er, at vi konstant skal udvikle os, så vores planer skal være på et sådant niveau, at de kan håndtere en ny situation,« siger Morten Gade Christensen.

Ambitionen er således, at Energinet.dk ikke blot i 2017 skal være på et tilfredsstillende niveau set fra 2014-perspektiv, men også være klar til at håndtere, hvad der måtte ligge ud i fremtiden af trusler mod organisationens infrastruktur.

PWC, som har udarbejdet rapporten for Energinet.dk, har vurderet sikkerheden hos Energinet.dk i forhold til målepunkter i ISO-27001-standarden, og her opnår Energinet.dk et gennemsnit på 2,0. Det ligger væsentligt under gennemsnittet i branchen, som er mere end 3,0. Det er den tærskel, som Energinet.dk vil op på allerede i 2015, og i 2017 skal niveauet ligge på mindst 4,0. Det teoretiske optimum er 5,0.

Da det er på samtlige punkter, Energinet.dk skal stramme op, så er det også et ambitiøst projekt til trods for en tidshorisont på tre år.

»Vi gør mange ting. Vi har allerede investeret 110 millioner kroner i at udskifte vores SCADA-system til et mere tidssvarende,« siger Morten Gade Christensen.

SCADA-systemer, som bruges til at styre industrielle systemer, kom for alvor i søgelyset i 2010, da Stuxnet-ormen ramte en række virksomheder. Indtil da havde branchen været klar over, at der eksisterede problemer, fordi der især manglede en praksis for løbende sikkerhedsopdatering af SCADA-systemerne, men truslen havde været teoretisk.

Et væsentligt kritikpunkt i PWC-rapporten om Energinet.dk er problemer med adgangsstyringen, hvor der i dag mangler overblik over, hvilke brugere der har hvilke rettigheder til hvilke systemer.

»Det er ikke tilfredsstillende. Det rydder vi op i,« siger Morten Gade Christensen.

En del af forbedringerne vil Energinet.dk dog ikke gå i detaljer med af hensyn til sikkerheden. Derfor vil Morten Gade Christensen eksempelvis ikke uddybe, hvilke løsninger der vil blive anvendt til at få styr på adgangsstyringen.

Til gengæld er der andre aspekter af sikkerheden, som ikke er hemmelige.

»Vi gør en del ud af at træne adfærden hos vores brugere. Ligesom man kan få en phishing-mail, der ser ud til at komme fra Skat, så ser vi mange trusler i samme boldgade, så adfærden er essentiel,« fortæller Morten Gade Christensen.

Rapporten påpeger også, at der i mange kontrakter med leverandørerne ikke er tilstrækkelig beskrevet forholdene vedrørende it-sikkerhed. Det skal der også strammes op på i det omfang, det er muligt for Energinet.dk, som dog ifølge Morten Gade Christensen også bruger en del standardkontrakter for staten, som bruges af eksempelvis SKI.

Risikoen for hackerangreb eller cyberkrigsførelse mod kritisk infrastruktur som elforsyningen har været et varmt emne i sikkerhedskredse gennem flere år, men bortset fra nogle mindre hændelser i USA har der trods kritik af sikkerheden ikke været konstateret angreb.

Det mest omtalte eksempel var Stuxnet, som efter al sandsynlighed var et målrettet angreb mod et iransk uranforarbejdningsanlæg, som tilfældigvis også endte med at inficere andre virksomheder, dog uden at gøre alvorlig skade.

Stuxnet demonstrerede dog, at det var muligt at skade et anlæg gennem et målrettet angreb, også selvom selve de kritiske systemer ikke havde forbindelse til internettet, hvilket ellers havde været ét af argumenterne for, at risikoen ikke var stor.

Erhvervsstyrelsen, som teleregulering hører under, vil have afklaret TDC, Telias og Telenors praksis med automatisk at videresende også hemmelige mobilnumre til det, teleselskaberne har beskrevet som udvalgte samarbejdspartnere.

I går, tirsdag 4. november, kunne direktør i teleselskabernes branchesamarbejde Jakob Willer meddelelse, at praksissen med automatisk at medsende mobilnumre ville høre inde senest i løbet af i dag onsdag, 5. november. Og den melding glæder kontorchef i Erhvervsstyrelsen Brian Wessel:

»Vi har været i dialog med Jakob Willer om problemstillingen. Og vi er glade for, at branchen har kigget på det,« siger han.

Men når det er sagt, så kan Brian Wessel ikke på nuværende tidspunkt sige, om selskabernes praksis med at medsende numre til samarbejdspartnere, herunder hemmelige numre, har været ulovlig.

»Det er for tidligt at sige. Nu skal vi følge op på, om de stopper med at medsende numrene, og så skal vi have afklaret, hvad der præcist er foregået,« siger han.

Erhvervsstyrelsen, som teleregulering hører under, vil have afklaret TDC, Telias og Telenors praksis med automatisk at videresende også hemmelige mobilnumre til det, teleselskaberne har beskrevet som udvalgte samarbejdspartnere.

I går, tirsdag 4. november, kunne direktør i teleselskabernes branchesamarbejde Jakob Willer meddelelse, at praksissen med automatisk at medsende mobilnumre ville høre inde senest i løbet af i dag onsdag, 5. november. Og den melding glæder kontorchef i Erhvervsstyrelsen Brian Wessel:

»Vi har været i dialog med Jakob Willer om problemstillingen. Og vi er glade for, at branchen har kigget på det,« siger han.

Men når det er sagt, så kan Brian Wessel ikke på nuværende tidspunkt sige, om selskabernes praksis med at medsende numre til samarbejdspartnere, herunder hemmelige numre, har været ulovlig.

»Det er for tidligt at sige. Nu skal vi følge op på, om de stopper med at medsende numrene, og så skal vi have afklaret, hvad der præcist er foregået,« siger han.

I forbindelse med det amerikanske midtvejsvalg, der fandt sted tirsdag, har flere valgkredse meldt om it-relaterede problemer. Det skriver Ars Technica.

IT-problemerne tirsdag inkluderede 11 stemmemaskiner ved stemmestederne Virginia Beach og Newport News i delstaten Virginia. I en udtalelse fra Virginia Department of Elections fremgår det, at maskiner af typen AccuVote TSX Touch Screen ændrede stemmerne til noget andet end det, vælgeren havde i sinde.

I meddelelsen står der også, at de berørte stemmesteder har haft tilstrækkeligt med maskiner i reserve til at de tekniske problemer ikke har påvirket valghandlingen.

»Touch screen-stemmemaskine vælgere har mulighed for at gennemse deres valg og lave endelige rettelser på en opsummeringsskærm inden deres stemme bliver afgivet. Hvis en maskine ikke afspejler vælgerens valg, så bør vælgeren gør en valgtilforordnet opmærksom på det inden stemmen bliver afgivet,« står der blandt andet i udtalelsen ifølge Ars Technica.

Flere andre problemer har ramt midtvejsvalget. Et andet eksempel er fra Connecticut, hvor guvernør Dan Malloy har forlænget flere valgsteders åbningstider som følge af ikke nærmere specificerede it-problemer. Og North Carolina var der eksempler på, at de forkerte lister med stemmeberettigede var blevet læst ind på USB-nøgler.

Ifølge Ars Technica, så er elektronisk stemmeafgivelse i USA på retur, fordi vælgere og valgtilforordnede har dalende tillid til de elektroniske stemmesystemer.

I forbindelse med det amerikanske midtvejsvalg, der fandt sted tirsdag, har flere valgkredse meldt om it-relaterede problemer. Det skriver Ars Technica.

IT-problemerne tirsdag inkluderede 11 stemmemaskiner ved stemmestederne Virginia Beach og Newport News i delstaten Virginia. I en udtalelse fra Virginia Department of Elections fremgår det, at maskiner af typen AccuVote TSX Touch Screen ændrede stemmerne til noget andet end det, vælgeren havde i sinde.

I meddelelsen står der også, at de berørte stemmesteder har haft tilstrækkeligt med maskiner i reserve til at de tekniske problemer ikke har påvirket valghandlingen.

»Touch screen-stemmemaskine vælgere har mulighed for at gennemse deres valg og lave endelige rettelser på en opsummeringsskærm inden deres stemme bliver afgivet. Hvis en maskine ikke afspejler vælgerens valg, så bør vælgeren gør en valgtilforordnet opmærksom på det inden stemmen bliver afgivet,« står der blandt andet i udtalelsen ifølge Ars Technica.

Flere andre problemer har ramt midtvejsvalget. Et andet eksempel er fra Connecticut, hvor guvernør Dan Malloy har forlænget flere valgsteders åbningstider som følge af ikke nærmere specificerede it-problemer. Og North Carolina var der eksempler på, at de forkerte lister med stemmeberettigede var blevet læst ind på USB-nøgler.

Ifølge Ars Technica, så er elektronisk stemmeafgivelse i USA på retur, fordi vælgere og valgtilforordnede har dalende tillid til de elektroniske stemmesystemer.

Austin, USA: Det er ofte sikkerhedsfrygt, der afholder it-chefer fra at køre virksomheden i retning af mere mobility og cloud-teknologi. Det viser en ny international undersøgelse lavet af Dell.

Undersøgelsen blev i går fremlagt på it-konferencen Dell World, der lige nu udspiller sig i it-gigantens hjemby Austin, Texas. 2000 it-chefer fra mellemstore virksomheder fordelt over hele verden blev adspurgt. Sikkerhed endte som den hyppigst angivne grund til, at virksomheder undlader at investere i cloud-teknologi og øget mobilitet.

Læs også Version2s Insight magasin om IT-sikkerhed og Bring Your Own Device.

Prasad Thrikutam er teknologichef for Dell Services, og han forstår godt bekymringen for at gøre virksomhedernes medarbejdere mere mobile.

»Sikkerhed er det største problem ved mobilitet. Mange adopterer ikke mobile teknologier af frygt for at tabe data. Vi har lært at sikre desktoppen. Men det er mobile har helt andre aspekter. Alene det at forstå, hvor sårbarhederne kan være, er blevet mere komplekst,« forklarer han.

Prasad Thrikutam understreger, at det langt fra kun er i brugernes hænder, der kan ske sikkerhedsbrud, når firmaplatformen bliver tilgængelig på smartphone og tablet. Dell-chefen nævner som eksempel et firma, der sikrede sig på brugersiden blandt andet med to-faktor verifikation, for efterfølgende at blive angrebet gennem ’back end’-systemet.

Mangler information for at håndtere sikkerhedsbrud

Langt størstedelen af It-cheferne angiver i undersøgelsen, at de mangler den tilstrækkelige information til at tage beslutninger om sikkerhedsrisici. Under en tredjedel mener, at de har den rette information til at tage risikobaserede beslutninger.

Den manglende information betyder også, at mange virksomheder ikke er klar til at reagere på et cyberangreb, lyder det fra Dell. Blot en ud af fire virksomheder har planer for at håndtere alle former for sikkerhedsbrud.

Men den viden er til stede, hvis it-cheferne leder det rigtig sted, mener Prasad Thrikutam. Han anbefaler, at man som it-chef danner sig et overblik over, hvilke kendte, relevante svagheder, der eksisterer. Derefter kan man lave en analyse af, hvordan svaghederne gør sig gældende for virksomheden.

Dells undersøgelse viser desuden, at tilliden til sikkerhedsbeslutninger er betydeligt højere i virksomheder, hvor ledelsen involverer sig i problemstillingen. I de fleste tilfælde er ledelsen dog fraværende, når det kommer til sikkerhed i selskabet.

Versions2’s rejseomkostninger i forbindelse med Dell World er betalt af Dell. 

Austin, USA: Det er ofte sikkerhedsfrygt, der afholder it-chefer fra at køre virksomheden i retning af mere mobility og cloud-teknologi. Det viser en ny international undersøgelse lavet af Dell.

Undersøgelsen blev i går fremlagt på it-konferencen Dell World, der lige nu udspiller sig i it-gigantens hjemby Austin, Texas. 2000 it-chefer fra mellemstore virksomheder fordelt over hele verden blev adspurgt. Sikkerhed endte som den hyppigst angivne grund til, at virksomheder undlader at investere i cloud-teknologi og øget mobilitet.

Læs også Version2s Insight magasin om IT-sikkerhed og Bring Your Own Device.

Prasad Thrikutam er teknologichef for Dell Services, og han forstår godt bekymringen for at gøre virksomhedernes medarbejdere mere mobile.

»Sikkerhed er det største problem ved mobilitet. Mange adopterer ikke mobile teknologier af frygt for at tabe data. Vi har lært at sikre desktoppen. Men det er mobile har helt andre aspekter. Alene det at forstå, hvor sårbarhederne kan være, er blevet mere komplekst,« forklarer han.

Prasad Thrikutam understreger, at det langt fra kun er i brugernes hænder, der kan ske sikkerhedsbrud, når firmaplatformen bliver tilgængelig på smartphone og tablet. Dell-chefen nævner som eksempel et firma, der sikrede sig på brugersiden blandt andet med to-faktor verifikation, for efterfølgende at blive angrebet gennem ’back end’-systemet.

Mangler information for at håndtere sikkerhedsbrud

Langt størstedelen af It-cheferne angiver i undersøgelsen, at de mangler den tilstrækkelige information til at tage beslutninger om sikkerhedsrisici. Under en tredjedel mener, at de har den rette information til at tage risikobaserede beslutninger.

Den manglende information betyder også, at mange virksomheder ikke er klar til at reagere på et cyberangreb, lyder det fra Dell. Blot en ud af fire virksomheder har planer for at håndtere alle former for sikkerhedsbrud.

Men den viden er til stede, hvis it-cheferne leder det rigtig sted, mener Prasad Thrikutam. Han anbefaler, at man som it-chef danner sig et overblik over, hvilke kendte, relevante svagheder, der eksisterer. Derefter kan man lave en analyse af, hvordan svaghederne gør sig gældende for virksomheden.

Dells undersøgelse viser desuden, at tilliden til sikkerhedsbeslutninger er betydeligt højere i virksomheder, hvor ledelsen involverer sig i problemstillingen. I de fleste tilfælde er ledelsen dog fraværende, når det kommer til sikkerhed i selskabet.

Versions2’s rejseomkostninger i forbindelse med Dell World er betalt af Dell. 

Forestil dig, at du skal købe ny bil. Forestil dig, at du skal vælge, om du vil have den med eller uden automatgear. Med eller uden aircondition. Med eller uden soltag. Alene med disse tre valgmuligheder kan du lave otte forskellige variationer af bilen. Havde du 33 valgmuligheder, ville antallet af mulige variationer overstige antallet af mennesker på Jorden.

Forestil dig nu en produktfamilie som for eksempel Apples iPhones og iPads. Eller Android-styresystemet. Antallet af mulige variationer nærmer sig det uendelige, og en reel analyse af dem alle har ifølge IT-Universitetet i København (ITU) været umulig. Indtil nu. For det er her, Claus Brabrand og resten af teamet, ledet af Eric Bodden fra TU Darmstadt, har hævet barren med deres analysesoftware, SPL-lift.

Sådan skriver IT-Universitetet i København i en pressemeddelelse.

»Hidtil har man genereret alle kombinationsmuligheder inden for et stykke software og analyseret dem enkeltvis, hvis det har været muligt. Men der skal ikke være ret mange kombinationsmuligheder, før det bliver praktisk umuligt, og derfor har man groft sagt genereret et repræsentativt udsnit af varianterne i stedet og er så gået ud fra, at resten ville opføre sig i virkeligheden som i teorien,« siger Claus Brabrand.

Dette efterlader naturligvis producenten – og i sidste ende forbrugeren – med en risiko for, at der kan være fejl eller sikkerhedshuller et eller andet sted i koden, som ikke opdages i stikprøven. Huller, der i værste tilfælde kan føre til for eksempel læk af information.

»De huller kan opdages med SPL-lift, for nu er det blevet muligt at analysere hele familier af programmer på én gang. Og vi kan gøre det på minutter i stedet for år,« fortæller Claus Brabrand, der udgjorde den danske del af det internationale forskerteam med tyskerne Eric Bodden og Mira Mezini og brasilianerne Márcio Ribeiro, Társis Tolêdo og Paulo Borba.

Deutscher IT-Sicherheitspreis uddeles hvert andet år af Horst Görtz Fonden. I år blev der sat rekord med 66 kandidater, hvoraf 11 blev nominerede. Priserne gives for innovation inden for blandt andet it-sikkerhed, kryptografi og forsvar mod cyberangreb samt projekternes markedsrelevans, og med en samlet præmiesum på 200.000 euro er den en af de største privatfinansierede videnskabspriser.

Forestil dig, at du skal købe ny bil. Forestil dig, at du skal vælge, om du vil have den med eller uden automatgear. Med eller uden aircondition. Med eller uden soltag. Alene med disse tre valgmuligheder kan du lave otte forskellige variationer af bilen. Havde du 33 valgmuligheder, ville antallet af mulige variationer overstige antallet af mennesker på Jorden.

Forestil dig nu en produktfamilie som for eksempel Apples iPhones og iPads. Eller Android-styresystemet. Antallet af mulige variationer nærmer sig det uendelige, og en reel analyse af dem alle har ifølge IT-Universitetet i København (ITU) været umulig. Indtil nu. For det er her, Claus Brabrand og resten af teamet, ledet af Eric Bodden fra TU Darmstadt, har hævet barren med deres analysesoftware, SPL-lift.

Sådan skriver IT-Universitetet i København i en pressemeddelelse.

»Hidtil har man genereret alle kombinationsmuligheder inden for et stykke software og analyseret dem enkeltvis, hvis det har været muligt. Men der skal ikke være ret mange kombinationsmuligheder, før det bliver praktisk umuligt, og derfor har man groft sagt genereret et repræsentativt udsnit af varianterne i stedet og er så gået ud fra, at resten ville opføre sig i virkeligheden som i teorien,« siger Claus Brabrand.

Dette efterlader naturligvis producenten – og i sidste ende forbrugeren – med en risiko for, at der kan være fejl eller sikkerhedshuller et eller andet sted i koden, som ikke opdages i stikprøven. Huller, der i værste tilfælde kan føre til for eksempel læk af information.

»De huller kan opdages med SPL-lift, for nu er det blevet muligt at analysere hele familier af programmer på én gang. Og vi kan gøre det på minutter i stedet for år,« fortæller Claus Brabrand, der udgjorde den danske del af det internationale forskerteam med tyskerne Eric Bodden og Mira Mezini og brasilianerne Márcio Ribeiro, Társis Tolêdo og Paulo Borba.

Deutscher IT-Sicherheitspreis uddeles hvert andet år af Horst Görtz Fonden. I år blev der sat rekord med 66 kandidater, hvoraf 11 blev nominerede. Priserne gives for innovation inden for blandt andet it-sikkerhed, kryptografi og forsvar mod cyberangreb samt projekternes markedsrelevans, og med en samlet præmiesum på 200.000 euro er den en af de største privatfinansierede videnskabspriser.

Det halter med især brugervenligheden på de offentlige it-tjenester.

Sådan lyder dommen fra flere hundrede it-professionelle, som fagforeningen IDA har bedt om at vurdere digitaliseringsindsatsen i det offentlige.

Samlet har digitaliseringen af det offentlige fået den mangelfulde karakter 4,9 på 12-skalaen, men brugervenligheden rangerer endnu lavere end sikkerheden på tjenesterne.

Konfronteret med undersøgelsen, indrømmer direktøren for Digitaliseringsstyrelsen, at brugervenligheden i det offentlige ikke er god nok endnu.

»Den offentlige sektor på nettet udstiller meget det, som vi er: Et meget lagdelt univers med ekstremt mange niveauer og forskellige myndigheder,« siger Lars Frelle-Petersen til Version2 og fortsætter:

»Det kan ikke være meningen, at det er borgeren, der skal finde ud af, hvordan den offentlige sektor fungerer. Det er os, der skal komme borgeren i møde, og det er ikke lykkedes for os endnu. Der er ingen tvivl om, at det, der rider os som en mare, er brugervenligheden.«

Læs hele interviewet med Lars Frelle-Petersen i Version2′s Insightmagasin. Magasinet beskriver udviklingen inden for eGov i henholdsvis Estland, England og Danmark.

Selvom nogle af de offentlige tjenester kan se imødekommende ud på overfladen, så gemmer der sig ofte et virvar af forskellige services fra forskellige myndigheder nedenunder, hvilket kan virke forvirrende.

Borgerportalen borger.dk findes ganske vist i en mobilversion, men lige så snart man kommer ind under overfladen og eksempelvis skal registrere en flytning, bliver man ledt over til et eksternt site, hvor der ikke er nogen mobilversion.

»Det kunne være rart at sige, at vi gør det på én samlet måde, når vi udstiller så mange selvbetjeningsløsninger på borger.dk i stedet for, at hver myndighed har mulighed for at vælge sit eget layout, setup osv.,« siger Lars Frelle-Petersen og uddyber:

»Den offentlige sektor på nettet er ikke særlig moden endnu, og det udtryk vi kunne have over for borgeren kunne være langt mere ensrettet. Vi kan aldrig blive Apple, men vi kan nå et langt stykke.«

Digitaliseringsstyrelsen er i øjeblikket ved at forberede Danmarks næste digitaliseringsstrategi for det offentlige, der vil træde i kraft fra 2016. Og her er det især webløsninger til mobiler på tværs af de offentlige tjenester, som er på tegnebrættet ifølge Lars Frelle-Petersen.

Digital Post kan være på vej til din almindelige email

Digital Post scorer med karakteren 4,9 også meget lavt på brugervenlighed i undersøgelsen.

Tjenesten har især været kritiseret for at være besværlig at bruge, fordi man skal logge ind på en selvstændig email service som e-boks.dk eller borger.dk, hver gang man skal kommunikere med det offentlige eller bare læse den nyeste lønseddel.

Men det kan ændre sig i en senere udgave af Digital Post ifølge Lars Frelle-Petersen, der i den kommende digitaliseringsstrategi vil kigge på, om borgerne fremover skal kunne modtage emails fra det offentlige i den private indbakke som eksempelvis Gmail.

Forskellen fra e-boks og en almindelig emailtjeneste er, ifølge selskabet bag e-boks, at alle mails internt i systemet bliver krypteret og således håndteres i et sikkert univers.

Af samme grund har det også været kritiseret, at man ikke kunne bruge platformen til at sende sikre emails til andre brugere og eksempelvis ens bankrådgiver – nu hvor man alligevel er tvunget til at bruge den.

»Det er meget udsigtsløst, at man har lavet infrastruktur til sikker digital post, og så kan man ikke sende det til hinanden,« siger FreeBSD-udvikler og Version2-bloggger Poul-Henning Kamp.

Hos e-boks vil man ikke udelukke, at det kan komme på tale i fremtiden, men udsigterne er knap så lyse, hvis der ikke er nok brugere, der efterspørger det:

»Det er klart nogle af de nye ting, vi kaster os over. Men det er altid en afvejning om, hvad der kan give mest værdi og bliver efterspurgt af flest brugere,” siger e-boks’ kommunikationschef, Susanne Søndahl Wolff.

Det er allerede muligt, at bruge e-boks til at sende mails til eksempelvis ens bankrådgiver eller andre private virksomheder, der abonnerer på tjenesten ifølge Susanne Søndahl, der dermed sender noget af kritikken videre til bankerne.

Det er nemlig op til den enkelte virksomhed, om den vil acceptere tovejskommunikation med borgeren via tjenesten. Og det er ikke alle, der har valgt det, oplyser hun.

Vidste du, at Estland slår Danmark på adskillige fronter, når det gælder digitaliseringen af den offentlige sektor? Læs mere om landets spektakulære tiltag, og hvad vi kan forvente os i Danmark fremover i vores Insightmagasin om eGov. Det er gratis og kan downloades her.

Magasinet byder blandt andet på længere interview med Danmark og Estlands it-direktører, der også kommer kommer og taler til IDA’s Driving IT-konference om eGov, privacy, startups og cool tech. Konferencen løber af stablen den 14. november – læs mere og tilmeld dig her.