Sikkerhedsbrist gør Statens IT mere sårbar over for hackerangreb

Statens ITs hjemmesider er sårbare over for angreb fra hackergrupper, som kan opsnappe potentielt fortrolige oplysninger.

Det skyldes, at man kan tilgå siderne med en ikke-krypteret HTTP-anmodning, hvorefter hjemmesiden blot videresendes til den krypterede version kaldet HTTPs gennem en såkaldt 301-omdirigering.

Sådan lyder det fra Peter Kruse, der er ekspert i IT-sikkerhed og partner i sikkerhedsfirmaet CSIS.

”Det er et totalt 'no-go', at man ikke har sikret sig mod det. Det er direkte en katastrofe, at man kan bruge en helt flad HTTP på et weblogin,” siger Peter Kruse.

Altinget opdagede sikkerhedsbristen ved brug af DK Hostmasters domænetest og verificeret med en simpel "Header Status Tjekker", der analyserer, hvordan en HTTP-anmodning bliver behandlet.

Og konkret betyder det ifølge Peter Kruse, at forbindelsen under omdirigeringen er sårbar over for såkaldte ”Man-in-the-Middle”-angreb, hvor hackere kan indsætte sig som skjult mellemmand og dermed opfange og stjæle information, der sendes mellem to enheder.

Problemet kan løses med en indstilling kaldet HSTS, der står for HTTP Strict Transfer Security, der indstillet korrekt afviser ethvert forsøg på at bruge det usikre HTTP og i stedet  gennemtvinger HTTPS.

HSTS så dagens lys allerede i 2009, men Statens IT har endnu til gode at indføre det på alle af deres mere end 500 hjemmesider. Særligt på tjenester med en login-funktion er det altså nødvendigt, og den sikkerhedsfunktion er eksempelvis ikke tilføjet på Statens ITs egen webmail.

”Det burde være relativt nemt at få indført, og man burde have gjort det allerede for fem år siden. Hvis de ikke bruger HSTS eller lignende på deres webmail, så kan uønskede personer aflæse de login-oplysninger, der bliver brugt, og derefter selv logge ind,” siger Peter Kruse og tilføjer:

”Der er så meget potentielt sensitiv information på spil, at Statens IT simpelthen er nødt til at beskytte sig med en kryptering.”

Han undrer sig over, at Statens IT tilsyneladende ikke har en klar politik på området, så systemerne sikres tilstrækkeligt.

”Man burde have en klar policy, hvor man sikrer, at det er HTTPs og intet andet, der bliver brugt. Man skal fuldstændigt fjerne muligheden for at kunne kommunikere gennem HTTP i første omgang.”

Direktør i Statens IT: Vi har bare ikke fået det gjort

Statens ITs direktør, Michael Ørnø, anerkender, at den manglende implementering af HSTS er problematisk. 

”Vi har ikke valgt, ikke at indføre en HSTS-politik, vi har bare ikke fået det gjort,” siger Michael Ørnø og tilføjer:

"Når det er sagt, så er det en god idé at indføre HSTS, og det varer ikke særligt længe, før det kommer på eksempelvis vores webmail, men det vil nok tage lidt længere tid, inden vi har fået det implementeret på de samtlige 500 hjemmesider, som Statens IT varetager.”

Det svar er dog ikke nok til at stille sikkerhedsekspert Peter Kruse tilfreds:

”Vi har altså 2022, det her skulle have været løst tilbage i 2017, der er simpelthen ikke nogen undskyldning,” siger han og fortsætter:

”Vi står i en tid, hvor IT-sikkerhed er altafgørende, det er farligt, det som de har gang i. Alt bliver med tiden bundet op på IT-løsninger, og det kan altså være forbundet med store risici, at der ikke er styr på tingene”

HSTS er ikke det eneste problem

Det er ikke kun manglende HSTS, der anses som et problem for Statens IT. I sidste uge modtog en række myndigheder kritik fra statsrevisorerne for ikke at leve op til de 20 minimumskrav for IT-sikkerhed, som ellers skulle overholdes fra januar 2020.

Statens IT levede op til 18 ud af 20.

Det får Peter Kruse til at skærpe kritikken yderligere:

”Det her er jo kun en lille del af et større billede, ser du det sammenkoblet med den kritik, der er kommet fra statsrevisorerne, så vil elendigheden jo ingen ende tage. Det er hårrejsende læsning, jeg syntes, de burde oppe sig og det gerne lidt hurtigt.”

Det er netop særligt forløbet med minimumskravene, der har taget fokus under arbejdet med sikkerhed i Statens IT, og er dermed også en del af forklaringen på, hvorfor det har taget så lang tid at indføre HSTS på Statens ITs mange hjemmesider og webportaler, forklarer Statens ITs direktør. 

”Der er nok lidt forskellige syn på, hvor vigtige de forskellige tekniske sikkerhedstiltag er. Vi har i første omgang haft fokus på forløbet med blandt andet de 20 tekniske minimumskrav. Man kunne man så spørge sig selv: ’Havde det været smartere at indføre HSTS samtidigt?’ Det havde det måske nok, men vores indstilling har været, at de tyve tekniske minimumskrav var det, vi implementerede først,” siger Michael Ørnø.

{{toplink}}

red@altinget.dk