Finansudvalget 2015-16
FIU Alm.del Bilag 4
Offentligt
1554183_0001.png
1/2015
Beretning om
adgangen til it-systemer, der under-
støtter samfundsvigtige opgaver
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0002.png
1/2015
Beretning om
adgangen til it-systemer, der under-
støtter samfundsvigtige opgaver
Statsrevisorerne fremsender denne beretning
med deres bemærkninger til Folketinget og
vedkommende minister, jf. § 3 i lov om
statsrevisorerne og § 18, stk. 1, i lov om
revisionen af statens regnskaber m.m.
København 2015
Denne beretning til Folketinget skal behandles ifølge lov om revisionen af statens regnskaber, § 18:
Statsrevisorerne fremsender med deres eventuelle bemærkninger Rigsrevisionens beretning til Folketinget og vedkommende
minister.
Finansministeren, justitsministeren, sundheds- og ældreministeren, transport- og bygningsministeren og energi-, forsynings-
og klimaministeren afgiver en redegørelse til beretningen.
Rigsrevisor afgiver et notat med bemærkninger til ministrenes redegørelser.
På baggrund af ministrenes redegørelser og rigsrevisors notat tager Statsrevisorerne endelig stilling til beretningen, hvilket
forventes at ske i februar 2016.
Ministrenes redegørelser, rigsrevisors bemærkninger og Statsrevisorernes eventuelle bemærkninger samles i Statsreviso-
rernes Endelig betænkning over statsregnskabet, som årligt afgives til Folketinget i februar måned – i dette tilfælde Endelig-
betænkning over statsregnskabet 2015, som afgives i februar 2017.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
Henvendelse vedrørende
denne publikation rettes til:
Statsrevisorerne
Folketinget
Christiansborg
1240 København K
Telefon: 33 37 59 87
Fax: 33 37 59 95
E-mail: [email protected]
Hjemmeside: www.ft.dk/statsrevisorerne
Yderligere eksemplarer kan
købes ved henvendelse til:
Rosendahls-Schultz Distribution
Herstedvang 10
2620 Albertslund
Telefon: 43 22 73 00
Fax: 43 63 19 69
E-mail: [email protected]
Hjemmeside: www.rosendahls.dk
ISSN 2245-3008
ISBN 978-87-7434-474-2
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0004.png
STATSREVISORERNES BEMÆRKNING
Statsrevisorernes bemærkning
Statsrevisorerne,
den 7. oktober 2015
BERETNING OM ADGANGEN TIL IT-SYSTEMER, DER UNDERSTØTTER
SAMFUNDSVIGTIGE OPGAVER
Alle it-systemer kan tilgås med udvidede administratorrettigheder, som betegner det
højeste niveau af rettigheder, adgang og kontrol over it-systemer og data. Mangelfuld
styring og kontrol af de udvidede administratorrettigheder betyder, at personer uret-
mæssigt kan få adgang til statslige institutioners it-systemer og data. Det medfører ri-
siko for spionage og øget trussel fra kriminelle eller politisk motiverede hackere eller
fra ansatte, der ubevidst eller bevidst bryder sikkerheden. Konsekvensen kan fx være
tyveri af data eller infektion med skadelig software.
I beretningen har Rigsrevisionen opstillet 16 kriterier til, hvordan de udvidede admi-
nistratorrettigheder, der giver adgang til statslige it-systemer, bør håndteres. På bag-
grund af disse kriterier er det undersøgt, hvordan 6 institutioner med samfundsvigtige
opgaver styrer, kontrollerer og logger de udvidede administratorrettigheder. De 6 in-
stitutioner er Energinet.dk, Banedanmark, National Sundheds-it, Statens It, Direkto-
ratet for Kriminalforsorgen og Rigspolitiets Koncern IT.
Statsrevisorerne finder det kritisabelt og foruroligende, at en række samfunds-
vigtige opgaver er udsat for alvorlige it-sikkerhedsmæssige risici, der kan true
opgavernes løsning og kompromittere fortrolige data.
Statsrevisorerne fremhæver, at ingen af de 6 undersøgte institutioner har hånd-
teret de udvidede administratorrettigheder med den nødvendige professiona-
lisme. Institutionerne har derfor ikke efterlevet en række anerkendte anbefalin-
ger om god it-sikkerhedspraksis til beskyttelse af adgangen til it-systemer og
data.
Statsrevisorerne finder det tilfredsstillende, at institutionerne har oplyst, at de har gen-
nemført kompenserende foranstaltninger og er i færd med at planlægge, igangsætte
og gennemføre tiltag, der skal rette op på de konstaterede mangler.
Peder Larsen
Henrik Thorup
Klaus Frandsen
Lennart Damsbo-
Andersen
Lars Barfoed
Søren Gade
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0005.png
Beretning til Statsrevisorerne om
adgangen til it-systemer, der under-
støtter samfundsvigtige opgaver
Rigsrevisionen har selv taget initiativ til denne un-
dersøgelse og afgiver derfor beretningen til Stats-
revisorerne i henhold til § 17, stk. 2, i rigsrevisor-
loven, jf. lovbekendtgørelse nr. 101 af 19. januar
2012. Beretningen vedrører finanslovens § 7. Fi-
nansministeriet, § 11. Justitsministeriet, § 16. Mi-
nisteriet for Sundhed og Forebyggelse (nu Sund-
heds- og Ældreministeriet), § 28. Transportmini-
steriet (nu Transport- og Bygningsministeriet) og
§ 29. Klima-, Energi- og Bygningsministeriet (nu
Energi-, Forsynings- og Klimaministeriet).
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0006.png
Indholdsfortegnelse
1.
 
Introduktion og konklusion ............................................................................................ 1
 
1.1.
 
Formål og konklusion ............................................................................................ 1
 
1.2.
 
Baggrund .............................................................................................................. 3
 
1.3.
 
Revisionskriterier, metode og afgrænsning .......................................................... 5
 
Styring, kontrol og logning af udvidede administratorrettigheder .................................. 8
 
2.1.
 
Styring og kontrol af betroede it-medarbejderes udvidede administrator-
rettigheder ............................................................................................................. 8
 
2.2.
 
Styring og kontrol af udvidede administratorrettigheder for system- og
servicekonti ......................................................................................................... 11
 
2.3.
 
Sikring af logning af udvidede administratorrettigheder ...................................... 13
2.
 
Bilag 1. Metode ................................................................................................................... 19
 
Bilag 2. Ordliste ................................................................................................................... 23
 
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0007.png
Beretningen vedrører finanslovens § 7. Finansministeriet, § 11. Justitsministeriet,
§ 16. Ministeriet for Sundhed og Forebyggelse (nu Sundheds- og Ældreministe-
riet), § 28. Transportministeriet (nu Transport- og Bygningsministeriet) og § 29.
Klima-, Energi- og Bygningsministeriet (nu Energi-, Forsynings- og Klimaministe-
riet).
I undersøgelsesperioden har der været følgende ministre:
Finansministeriet:
Bjarne Corydon: oktober 2011 - juni 2015
Claus Hjort Frederiksen: juni 2015 -
Justitsministeriet:
Mette Frederiksen: oktober 2014 - juni 2015
Søren Pind: juni 2015 -
Sundheds- og Ældreministeriet:
Nick Hækkerup: februar 2014 - juni 2015
Sophie Løhde: juni 2015 -
Transport- og Bygningsministeriet:
Magnus Johannes Heunicke: februar 2014 - juni 2015
Hans Christian Schmidt: juni 2015 -
Energi-, Forsynings- og Klimaministeriet:
Rasmus Helveg Petersen: februar 2014 - juni 2015
Lars Christian Lilleholt: juni 2015 -
Beretningen har i udkast været forelagt Finansministeriet, Justitsministeriet, Sund-
heds- og Ældreministeriet, Transport- og Bygningsministeriet og Energi-, Forsy-
nings- og Klimaministeriet, hvis bemærkninger er afspejlet i beretningen.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0008.png
INTRODUKTION OG KONKLUSION
1
1. Introduktion og konklusion
1.1. Formål og konklusion
1. Denne beretning handler om, hvad en række statslige institutioner gør for at beskytte ad-
gangen til it-systemer og data, som understøtter samfundsvigtige opgaver, via de såkaldte
udvidede administratorrettigheder. Rigsrevisionen har selv taget initiativ til undersøgelsen.
2. It-systemer, der understøtter samfundsvigtige opgaver, kan – ligesom andre it-systemer
– tilgås med udvidede administratorrettigheder. Disse rettigheder giver det højeste niveau
af rettigheder, adgang og kontrol over institutionernes it-systemer og data, som styres i bru-
geradministrationssystemet Active Directory (AD). Desuden kan rettighederne give mulig-
hed for at omgå institutionernes sikkerhedsforanstaltninger. I nogle tilfælde kan de udvide-
de administratorrettigheder – afhængigt af institutionens systemopbygning – også give ad-
gang til andre væsentlige it-systemer og data, der ikke styres i AD.
3. Beretningen vedrører følgende 6 institutioner: Energinet.dk (under Energi-, Forsynings- og
Klimaministeriet), Banedanmark (under Transport- og Bygningsministeriet), National Sund-
heds-it (under Sundheds- og Ældreministeriet), der varetager it-drift for Sundheds- og Ældre-
ministeriet, Statens It (under Finansministeriet), der varetager it-drift for en række minister-
områder, samt Direktoratet for Kriminalforsorgen og Rigspolitiets Koncern IT (under Justits-
ministeriet). De 6 institutioner dækker tilsammen en bred vifte af forskellige samfundsvigti-
ge opgaver.
4. Institutionernes opgaveløsning er afhængig af en velfungerende og sikker it-understøt-
telse. Det er derfor afgørende, at institutionerne styrer og kontrollerer de udvidede admini-
stratorrettigheder, dels mod internt misbrug, hvor betroede it-medarbejdere misbruger de-
res udvidede administratorrettigheder eller håndterer rettighederne uforsigtigt, dels mod eks-
ternt misbrug, hvor fx en hacker, der har haft held til at komme ind i institutionens it-syste-
mer, overtager og misbruger de udvidede administratorrettigheder. En hacker kan fx få ad-
gang til institutionens it-systemer og data, der styres i AD. Det er også vigtigt, at institutio-
nerne sikrer en tilstrækkelig logning af anvendelsen af de udvidede administratorrettigheder
med henblik på at opdage og opklare misbrug og kompromittering af it-systemer og data.
5. Det fremgår af ”Efterretningsmæssig Risikovurdering 2014” fra Forsvarets Efterretnings-
tjeneste, at den teknologiske udvikling gør, at risikoen for at blive hacket øges, og at risiko-
billedet ændrer sig løbende. Det stiller ifølge risikovurderingen store krav til sikkerhedsfor-
anstaltningerne. Desuden fremgår det af risikovurderingen fra 2013, at truslen fra ansatte,
der ubevidst eller bevidst bryder sikkerheden på deres arbejdsplads, vokser.
Active Directory (AD)
er et
brugeradministrationssystem,
hvori institutionen styrer og kon-
trollerer adgang og rettigheder
til it-systemer og data.
Sikkerhedsforanstaltninger
skal bidrage til at forhindre el-
ler opdage misbrug og kompro-
mittering af it-systemer og da-
ta. Det er fx tekniske regler i it-
systemerne, der kan forhindre
uønskede handlinger.
Misbrug og kompromittering
af it-systemer og data
inde-
bærer, at en person uretmæs-
sigt kan få adgang til en række
af institutionens it-systemer og
data. Der kan fx være tale om,
at personen uretmæssigt afbry-
der eller ændrer datakørsler, el-
ler at personen uretmæssigt
ændrer, sletter eller læser/stjæ-
ler data.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0009.png
2
INTRODUKTION OG KONKLUSION
6. Misbrug og kompromittering af institutionernes it-systemer og data vil kunne påvirke og
forstyrre institutionernes opgaveløsning. Derudover kan misbrug og kompromittering af it-
systemer og data for nogle institutioner true en sikker opbevaring af fortrolige personoplys-
ninger og øvrige fortrolige data. Konsekvenserne af misbrug og kompromittering af institu-
tionernes it-systemer og data varierer på tværs af institutionerne afhængigt af deres opgave-
portefølje.
Institutionerne har oplyst, at de har forskellige kompenserende foranstaltninger, der bidra-
ger til at begrænse risikoen for og konsekvensen af uretmæssig adgang via de udvidede
administratorrettigheder og misbrug og kompromittering af it-systemer og data. Ifølge institu-
tionerne betyder det fx, at misbrug af de udvidede administratorrettigheder i de undersøg-
te AD ikke kan påvirke forsyningssikkerhed af el og gas og sikkerheden af togdriften. Des-
uden er det ifølge institutionerne fx heller ikke muligt via de udvidede administratorrettighe-
der i de undersøgte AD at skaffe sig adgang til it-systemer og data, der bruges i den direk-
te patientbehandling, og heller ikke til flere af Rigspolitiets kritiske it-systemer og data.
7. Beretningen sætter fokus på den væsentlige risiko, der er ved en mangelfuld styring og
kontrol af de udvidede administratorrettigheder, hvilket indebærer, at personer uretmæs-
sigt kan få adgang til institutionernes it-systemer og data. Rigsrevisionen har ikke under-
søgt, hvad den uberettigede adgang specifikt kan udnyttes til i institutionernes konkrete it-
systemer og data.
8. Undersøgelsen, som beretningen bygger på, er baseret på it-revisioner, som Rigsrevi-
sionen har udført i første halvdel af 2015.
9. Rigsrevisionen har undtagelsesvist besluttet at anonymisere resultaterne ud fra et it-sik-
kerhedshensyn, da revisionen har påvist en række alvorlige mangler, der udgør en it-sikker-
hedsrisiko, indtil institutionerne har rettet op på manglerne.
Rigsrevisionen finder det vigtigt at offentliggøre de resultater, som beretningen indeholder,
for at bidrage til at forbedre it-sikkerheden i staten generelt, idet resultaterne kan gøre sig
gældende for en større kreds af statslige institutioner end de 6 institutioner, som beretnin-
gen omhandler.
10. Formålet med undersøgelsen er at vurdere, om de statslige institutioner følger anbefa-
linger om god it-sikkerhedspraksis for at beskytte adgangen til it-systemer og data, som un-
derstøtter samfundsvigtige opgaver. Vi har derfor undersøgt, hvordan institutionerne styrer
og kontrollerer de udvidede administratorrettigheder, herunder hvordan institutionerne sikrer
logning af anvendelsen af udvidede administratorrettigheder.
KONKLUSION
Rigsrevisionen vurderer samlet, at de 6 institutioner på undersøgelsestidspunktet ik-
ke har efterlevet en række anerkendte anbefalinger om god it-sikkerhedspraksis for at
beskytte adgangen til it-systemer og data, som understøtter samfundsvigtige opga-
ver. Særligt 2 institutioner har ikke efterlevet anbefalingerne.
De 6 institutioners manglende efterlevelse af anbefalingerne kan øge risikoen for, at
personer uberettiget kan få adgang til institutionernes it-systemer og data, der styres
i AD. Det kan påvirke og forstyrre løsningen af de samfundsvigtige opgaver og kan
true en sikker opbevaring af fortrolige data, som institutionerne har ansvaret for.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0010.png
INTRODUKTION OG KONKLUSION
3
Undersøgelsen viser, at der i alle institutionerne er en række mangler i styringen og
kontrollen af de udvidede administratorrettigheder. Rigsrevisionen vil særligt fremhæ-
ve, at institutionerne ikke i tilstrækkelig grad har begrænset tildelingen af disse ret-
tigheder. Desuden har ingen af institutionerne skiftet ikke-personlige passwords år-
ligt, og størstedelen af de pågældende passwords er op til 7 år gamle. Enkelte pass-
words er ikke blevet skiftet siden slutningen af 1990’erne.
Undersøgelsen viser også, at der er en række væsentlige mangler i institutionernes
logning af anvendelsen af de udvidede administratorrettigheder. Fx har 4 institutio-
ner ikke sikret funktionsadskillelse i adgangen til logfilerne, hvilket gør det muligt at
slette sine spor i loggen. Desuden gennemgår 5 institutioner ikke logfilerne regelmæs-
sigt. Det hæmmer muligheden for at opdage og opklare misbrug af de udvidede ad-
ministratorrettigheder og it-sikkerhedsbrud.
Rigsrevisionen finder i lyset af risikobilledet vedrørende it-sikkerhed i staten, at insti-
tutionerne bør forbedre deres styring, kontrol og logning af de udvidede administra-
torrettigheder for at modvirke misbrug og kompromittering af it-systemer og data, der
styres i AD. Institutionerne bør desuden jævnligt tage aktivt stilling til tilstrækkelighe-
den af deres styring, kontrol og logning af de udvidede administratorrettigheder, da
risikobilledet ændrer sig løbende.
Rigsrevisionen vurderer, at flere af de konstaterede mangler i styringen, kontrollen
og logningen af de udvidede administratorrettigheder er forholdsvist lette at rette op
på, mens andre er mere omfattende og omkostningsfulde. Det er derfor Rigsrevisio-
nens vurdering, at der er behov for ledelsesmæssig fokus og prioritering for at rette
op på de konstaterede forhold.
Institutionerne har oplyst, at de har forskellige kompenserende foranstaltninger, og
at de, siden undersøgelsen blev gennemført, har planlagt, igangsat og gennemført
tiltag, der retter op på en række af de konstaterede mangler.
1.2. Baggrund
11. Rigsrevisionen har tidligere udarbejdet en beretning om forebyggelse af hackerangreb
og en beretning om statens behandling af fortrolige oplysninger.
Denne beretning handler om beskyttelse af adgangen til it-systemer og data via de udvide-
de administratorrettigheder med henblik på at undgå internt og eksternt misbrug af rettighe-
derne og uberettiget adgang til it-systemer og data.
12. De udvidede administratorrettigheder knytter sig i denne undersøgelse dels til betroede
it-medarbejdere, der skal anvende deres eget personlige password for at anvende rettighe-
derne og tilgå it-systemer og data, dels til såkaldte system- og servicekonti, der er bruger-
uafhængige og derfor ikke er personhenførbare, jf. boks 1.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0011.png
4
INTRODUKTION OG KONKLUSION
BOKS 1. SYSTEM- OG SERVICEKONTI
System- og servicekonti anvendes bl.a. til automatiserede kørsler i it-driften. Det kan fx være perio-
diske overførsler af store mængder data, backupkørsler og overvågning af it-driften.
System- og servicekonti har tilknyttet nogle rettigheder, som bestemmer, hvad de kan bruges til. De
system- og servicekonti, der er omfattet af undersøgelsen, har udvidede administratorrettigheder.
System- og servicekonti er brugeruafhængige. Hver system- og servicekonto har ét password, som
betroede it-medarbejdere har kendskab til. System- og servicekonti anvendes dermed ikke med per-
sonlige passwords. Al anvendelse af system- og servicekonti, herunder misbrug, er derfor ikke per-
sonhenførbar.
13. AD er en helt central og kritisk del af institutionernes it-infrastruktur. Her styres adgang
og rettigheder til en række af institutionernes it-systemer og data, jf. figur 1.
Figur 1. Styring og kontrol af adgang og rettigheder til it-systemerne og data i AD
Betroet
it-medarbejder
System- og
servicekonti
Almindelige it-medarbejdere
1
2
3
4
5
6
Betroet
it-medarbejder
System- og
servicekonti
Almindelige it-medarbejdere
System 1
System 2
System 3
System 4
System 5
System 6
It-systemer og data
Kilde: Rigsrevisionen.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0012.png
INTRODUKTION OG KONKLUSION
5
Det fremgår af figur 1, at AD helt forenklet kan ses som et nøgleskab med nøgler, der giver
adgang og rettigheder til institutionens it-systemer og data, som styres i AD. Almindelige it-
medarbejdere får kun adgang (nøgle) til specifikke it-systemer og data. Betroede it-medarbej-
dere og system- og servicekonti, der får tildelt udvidede administratorrettigheder i AD, har i
kraft af disse rettigheder adgang (nøgler) til alle institutionens it-systemer og data, som sty-
res i AD.
14. Kompromittering af AD kan også føre til kompromittering af it-systemer og data i institu-
tionens øvrige it-miljø, da AD kan udgøre grundlaget for autentificering (login), autorisation
(rettighedstildeling) og sikkerhedspolitikker for tilkoblede systemer. Med uhindret adgang til
AD kan en hacker tage kontrol over den del af it-miljøet, der styres i AD, og udgive sig for at
være en hvilken som helst bruger (dvs. overtage vedkommendes brugeridentitet). Desuden
vil hackeren i nogle tilfælde – afhængigt af institutionens systemopsætning – kunne skaffe
sig adgang til andre af institutionens it-systemer og data. Det er derfor Rigsrevisionens op-
fattelse, at det må forventes, at statslige institutioner prioriterer sikkerhedsindsatsen meget
højt i forhold til udvidede administratorrettigheder og AD.
15. Problemstillingen om styring, kontrol og logning af udvidede administratorrettigheder er
aktuel, da det fremgår af ”Efterretningsmæssig Risikovurdering 2014” fra Forsvarets Efter-
retningstjeneste, at danske myndigheder er truet af en omfattende og voksende spionage
via internettet fra statsstøttede aktører. Kriminelle og politisk motiverede hackere udgør og-
så en trussel, om end denne trussel er mindre. Den teknologiske udvikling gør, at risikoen
for at blive hacket øges, og at risikobilledet ændrer sig løbende. Det stiller ifølge risikovur-
deringen store krav til sikkerhedsforanstaltningerne. Det fremgår samtidig af risikovurderin-
gen fra 2013, at truslen fra ansatte, der ubevidst eller bevidst bryder sikkerheden på deres
arbejdsplads, vokser. Sådanne sikkerhedsbrud kan fx betyde tyveri af data eller infektion
med skadelig software (malware), som hackere kan udnytte. Det kan fx ske på grund af et
svagt fokus på it-sikkerhed i institutionen eller som følge af en bevidst handling med det for-
mål at stjæle eller lække data.
16. Ifølge Center for Cybersikkerhed og it-sikkerhedsfirmaet FortConsult skal virksomheder
og myndigheder i dag arbejde ud fra den antagelse, at de allerede – uden at der er synlige
tegn på det – er blevet angrebet af en hacker og dermed kan have fået en hacker eller mal-
ware inden for murene, der i ubemærkethed forsøger at tiltvinge sig adgang til kritiske it-sy-
stemer og data, fx ved at overtage en medarbejders udvidede administratorrettigheder. In-
stitutionerne bør derfor indrette deres it-sikkerhed derefter, så de kan imødegå disse trusler.
Malware
er en sammentræk-
ning af de engelske ord mali-
cious software. Malware er en
fællesbetegnelse for ondsinde-
de computerprogrammer, der
gør skadelige eller uønskede
handlinger på brugerens com-
puter.
Center for Cybersikkerhed
er en del af Forsvarets Efter-
retningstjeneste under For-
svarsministeriet.
1.3. Revisionskriterier, metode og afgrænsning
Revisionskriterier
17. Informationssikkerhedsstandarden ISO 27001 er udarbejdet som et værktøj til ledelse
af informationssikkerhed, som de statslige institutioner har skullet følge fra januar 2014, og
som de skal have færdigimplementeret primo 2016. Standarden er overordnet og giver ik-
ke konkrete it-sikkerhedsmæssige anvisninger, fx til et minimum for antallet af karakterer
for administratorpasswords eller et maksimalt antal it-medarbejdere med udvidede admini-
stratorrettigheder. Der er således ikke centralt udmeldte konkrete standarder og krav.
Derfor har vi til brug for undersøgelsen opstillet mere konkrete revisionskriterier. Vi har ta-
get udgangspunkt i de anbefalinger, som producenten af AD (dvs. Microsoft) har formule-
ret, og øvrige anerkendte internationale anbefalinger formuleret af branchen (fx SANS In-
stitute). Nogle af revisionskriterierne er desuden baseret på logvejledningen fra Center for
Cybersikkerhed.
Microsoft
er producenten af
AD, som beretningen fokuse-
rer på. Microsoft har udarbej-
det en række anbefalinger, der
medvirker til en sikker anven-
delse af AD.
SANS Institute
er et ameri-
kansk privat forsknings- og ud-
dannelsesinstitut, som arbej-
der med en lang række offent-
lige og private aktører. SANS
Institute har udarbejdet en liste
med vigtige fokusområder til
brug for it-sikkerhedskontroller
(SANS CSC – Critical Security
Controls).
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0013.png
6
INTRODUKTION OG KONKLUSION
Anbefalingerne, som revisionskriterierne har afsæt i, beskriver, hvad en institution bør gøre
for at styre, kontrollere og logge de udvidede administratorrettigheder (god it-sikkerheds-
praksis). Anbefalingerne er anerkendte og offentligt tilgængelige. Efter Rigsrevisionens op-
fattelse bør de ansvarlige i institutionerne for styring, kontrol og logning af udvidede admi-
nistratorrettigheder derfor kende disse anbefalinger og anvende dem i overvejelserne om,
hvordan institutionen i praksis styrer, kontrollerer og logger de udvidede administratorret-
tigheder på en tilstrækkelig måde.
Vi har desuden defineret, hvad der skal til, for at et revisionskriterium er opfyldt, delvist op-
fyldt eller ikke opfyldt (målepunkter). Vi har fx fastsat et minimum for antallet af karakterer
for administratorpasswords og en maksimal grænse for antal it-medarbejdere med udvide-
de administratorrettigheder. Vi har baseret definitionen af målepunkter på de samme aner-
kendte anbefalinger og på vores erfaringer fra it-revisionen generelt. Målepunkterne er så-
ledes efter Rigsrevisionens opfattelse et udtryk for god praksis på området.
18. Vi har drøftet revisionskriterier og målepunkter med Center for Cybersikkerhed og it-sik-
kerhedsfirmaet FortConsult for at kvalificere dem yderligere. Revisionskriterierne og måle-
punkterne fremgår af bilag 1.
19. Rigsrevisionen understreger, at revisionskriterierne/målepunkterne og de anbefalinger,
de har afsæt i, ikke er statiske. Da risikobilledet ændrer sig løbende, vil anbefalinger til god
praksis også ændre sig. Opfyldelse af revisionskriterierne er dermed ikke nødvendigvis ens-
betydende med et tilstrækkeligt it-sikkerhedsniveau fremover.
20. De udvalgte institutioner har forskellige risikobilleder og forskellige opsætninger af AD.
Institutionernes konkrete tekniske løsninger vil derfor alt andet lige afspejle disse forskel-
lige rammevilkår. Det er dog Rigsrevisionens opfattelse, at de opstillede revisionskriterier
og målepunkter kan anvendes på tværs af de 6 institutioner.
Metode
21. Undersøgelsen er baseret på 6 it-revisioner, som Rigsrevisionen har udført i perioden
januar-juni 2015. Undersøgelsen har bestået af revisionsbesøg hos hver institution og op-
følgende møder. For at sikre sammenlignelighed på tværs af institutionerne har vi ved de
6 it-revisioner undersøgt, om institutionerne opfylder de samme revisionskriterier, jf. bilag 1.
Vores dokumentation bygger primært på kopier af skærmbilleder fra systemgennemgan-
gen og dataudtræk fra AD. Vi har også indhentet og gennemgået relevant skriftligt materiale
fra institutionerne.
Herudover har vi været i dialog med Center for Cybersikkerhed og gjort brug af konsulent-
bistand fra it-sikkerhedsfirmaet FortConsult for at kvalificere undersøgelsen yderligere.
Da resultaterne som nævnt er anonymiseret, benævnes institutionerne med numre i tabel-
lerne i kap. 2. Desuden varierer institutionernes numre på tværs af tabellerne. Beretningen
kæder derfor ikke de enkelte institutioner og deres konkrete resultater sammen og viser hver-
ken de enkelte resultater eller det samlede billede for hver institution.
22. Revisionen er udført i overensstemmelse med god offentlig revisionsskik, jf. boks 2.
BOKS 2. GOD OFFENTLIG REVISIONSSKIK
God offentlig revisionsskik er baseret på de grundlæggende revisionsprincipper i rigsrevisionernes
internationale standarder (ISSAI 100-999).
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0014.png
INTRODUKTION OG KONKLUSION
7
Afgrænsning
23. Beretningen tegner et øjebliksbillede af, hvordan de 6 institutioner på dagen for it-revi-
sionsbesøget styrede, kontrollerede og loggede de udvidede administratorrettigheder, der
giver adgang til it-systemer og data, som understøtter samfundsvigtige opgaver.
Institutionerne har efterfølgende gjort opmærksom på, at de har planlagt, igangsat og gen-
nemført flere initiativer, der forbedrer en række af de forhold, som Rigsrevisionen konstate-
rede i forbindelse med it-revisionen, og som fremgår af beretningen.
24. De undersøgte institutioner varetager selv driften af en del af deres egne væsentlige it-
systemer. Undersøgelsen omfatter det it-miljø, som institutionerne selv varetager driften af.
Beretningen handler om institutionernes styring, kontrol og logning af de udvidede admini-
stratorrettigheder i AD og ikke om institutionernes konkrete it-systemer.
25. Beretningen omfatter 16 revisionskriterier, som er en del af en større it-revision. Rigs-
revisionen anser de 16 kriterier som væsentlige ud fra en it-sikkerhedsmæssig vurdering.
26. Bilag 2 indeholder en ordliste, der forklarer udvalgte ord og begreber.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0015.png
8
STYRING, KONTROL OG LOGNING AF UDVIDEDE ADMINISTRATORRETTIGHEDER
2. Styring, kontrol og logning af udvidede
administratorrettigheder
2.1. Styring og kontrol af betroede it-medarbejderes udvidede administrator-
rettigheder
27. Vi har undersøgt, hvordan de statslige institutioner har styret og kontrolleret de udvide-
de administratorrettigheder, der knytter sig til konkrete betroede it-medarbejdere, jf. tabel 1.
Tabel 1. Styring og kontrol af betroede it-medarbejderes udvidede administratorrettigheder
Institution 1
Institutionen har et begrænset
antal medarbejdere, der perma-
nent har udvidede administra-
torrettigheder.
Institutionen har implementeret
en regelmæssig kontrol af udvi-
dede administratorrettigheder.
Institutionen har implementeret
en procedure, der sikrer, at ud-
videde administratorrettigheder
inddrages ved fratrædelse.
Institutionen har sikret, at per-
sonlige administratorpasswords
følger god praksis (har en læng-
de på mindst 9 karakterer, er
komplekse, fx små og store bog-
staver og tal, og skiftes inden
90 dage).
Institutionen har sikret, at medar-
bejdere med udvidede admini-
stratorrettigheder ikke kan tilgå
internettet, når de er logget på
med udvidede administratorret-
tigheder.
Institution 2
Institution 3
Institution 4
Institution 5
Institution 6















Ikke opfyldt.
Delvist opfyldt.
Opfyldt.
Kilde: Rigsrevisionen.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0016.png
STYRING, KONTROL OG LOGNING AF UDVIDEDE ADMINISTRATORRETTIGHEDER
9
Nedenfor følger en uddybning af resultaterne, som fremgår af tabel 1.
Begrænsning af antal betroede it-medarbejdere med udvidede administratorrettig-
heder
28. Da de udvidede administratorrettigheder giver omfattende adgang og beføjelser til it-
systemer og data, bør institutionerne ud fra et it-sikkerhedshensyn begrænse antallet af it-
medarbejdere med udvidede administratorrettigheder, så kun ganske få betroede it-medar-
bejdere har disse rettigheder permanent og/eller kun får dem tildelt, når det er nødvendigt.
Jo flere it-medarbejdere, der har permanent udvidede administratorrettigheder, desto større
er risikoen for misbrug af rettighederne alt andet lige.
Derfor har Rigsrevisionen ud fra et it-sikkerhedshensyn undersøgt, om institutionerne har
et meget begrænset antal (under 5) betroede it-medarbejdere med permanent udvidede ad-
ministratorrettigheder. Institutionerne kan dog i deres risikovurderinger have taget ledelses-
mæssigt stilling til antallet af it-medarbejdere med udvidede administratorrettigheder og ac-
cepteret et højere antal ud fra en afvejning af driftshensyn og risikovillighed. Rigsrevisio-
nen har ikke undersøgt dette, men har alene set på antallet af betroede it-medarbejdere
med udvidede administratorrettigheder ud fra et it-sikkerhedshensyn.
29. Det fremgår af tabel 1, at ingen af de 6 institutioner har opfyldt kriteriet om at have et
begrænset antal betroede it-medarbejdere, der permanent har udvidede administratorret-
tigheder. Der er dog stor variation i antallet heraf på tværs af de 6 institutioner, da de har
mellem 8 og 151 it-medarbejdere, som permanent har fået tildelt disse rettigheder.
Det er på baggrund af undersøgelsen Rigsrevisionens opfattelse, at institutionernes stør-
relse ikke har betydning for antallet af it-medarbejdere, som permanent har udvidede ad-
ministratorrettigheder.
Regelmæssig kontrol med udvidede administratorrettigheder
30. Institutionerne bør sikre, at betroede it-medarbejdere ikke har rettigheder og adgang til
flere it-systemer og data, end de har et arbejdsbetinget behov for. Når de udvidede admini-
stratorrettigheder ikke bruges mere, bør de inddrages. Institutionerne bør derfor foretage re-
gelmæssig dokumenteret brugerrettighedskontrol af de tildelte udvidede administratorrettig-
heder mindst én gang om året.
31. Det fremgår af tabel 1, at 3 ud af de 6 institutioner foretager en regelmæssig og doku-
menteret brugerrettighedskontrol mindst én gang om året. 2 af disse institutioner har auto-
matiserede kontroller, hvilket letter processen.
Én af de øvrige 3 institutioner kan sandsynliggøre, men ikke dokumentere, at institutionen
har foretaget brugerrettighedskontrol mindst én gang om året. 2 ud af de 3 institutioner har
ikke foretaget brugerrettighedskontrol mindst én gang om året. De 2 institutioner har hen-
holdsvis 39 og 59 betroede it-medarbejdere med udvidede administratorrettigheder. Det hø-
je antal øger vigtigheden af at føre kontrol med, om der er it-medarbejdere med udvidede
administratorrettigheder, der ikke har et arbejdsbetinget behov for de tildelte rettigheder.
Inddragelse af udvidede administratorrettigheder ved fratrædelse
32. Institutionerne bør have implementeret en procedure, der sikrer, at de udvidede admi-
nistratorrettigheder altid inddrages/deaktiveres, umiddelbart efter at betroede it-medarbej-
dere fratræder deres stilling i institutionen, så forhenværende it-medarbejdere ikke kan få
adgang til institutionens it-systemer og data.
33. Det fremgår af tabel 1, at alle 6 institutioner har implementeret en procedure, der sikrer,
at udvidede administratorrettigheder inddrages ved fratrædelse.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0017.png
10
STYRING, KONTROL OG LOGNING AF UDVIDEDE ADMINISTRATORRETTIGHEDER
Systemunderstøttelse
er en
regel i AD, der ikke kan afvi-
ges. Hvis institutionen fx har im-
plementeret systemunderstøt-
telse af en passwordlængde
på mindst 8 karakterer, er det
ikke muligt at formulere pass-
words på færre karakterer.
Systemunderstøttelse af krav til god praksis for passwords
34. Da de udvidede administratorrettigheder giver omfattende adgang og beføjelser til it-sy-
stemer og data, bør institutionerne ved hjælp af systemunderstøttelse sikre, at passwords
til anvendelse af disse rettigheder følger god praksis for antal karakterer, kompleksitet og
regelmæssige skift. På den måde kan institutionerne mindske risikoen for, at passwords
brydes, og uvedkommende personer derved kan tildele sig rettigheder og tiltvinge sig ad-
gang til it-systemer og data. Administratorpasswords bør derfor have en længde på mindst
9 karakterer, være komplekse (fx små og store bogstaver og tal) og skiftes inden 90 dage.
Der findes i dag en række værktøjer på internettet til at bryde passwords. Antallet af karak-
terer i passwords har stor betydning for, hvor lang tid det tager at bryde et password. Der-
udover er det sværere at bryde komplekse passwords. Endelig reducerer hyppige skift af
passwords risikoen for, at de bliver brudt, da der er kortere tid til rådighed til at bryde dem.
35. Det fremgår af tabel 1, at 5 ud af de 6 institutioner delvist systemunderstøtter god prak-
sis for administratorpasswords. Disse 5 institutioner har komplekse passwords og skifter
dem inden 90 dage, men deres systemunderstøttelse tillader administratorpasswords på
ned til 8 karakterer, som er anbefalingen for passwords til almindelige brugere. De har så-
ledes ikke stillet skærpede krav til antallet af karakterer for passwords til de udvidede ad-
ministratorrettigheder, dvs. krav om mindst 9 karakterer.
Den sidste institution systemunderstøtter ikke god praksis for administratorpasswords. In-
stitutionen skifter dem inden 90 dage, men institutionens systemunderstøttelse tillader ad-
ministratorpasswords på ned til kun 6 karakterer og passwords, der ikke er komplekse. In-
stitutionen tillader dermed svage passwords, som er lette at bryde.
Adgang til internettet med udvidede administratorrettigheder
36. I dag sker mange hackerangreb via hjemmesider, der er inficeret med malware, som
spreder sig til de besøgende på hjemmesiden. Hvis en betroet it-medarbejder er logget på
med sine udvidede administratorrettigheder og tilgår en inficeret hjemmeside, kan malware
eller hackere overtage rettighederne og få adgang til institutionens it-systemer og data.
Derfor bør institutionerne sikre, at betroede it-medarbejdere ikke kan tilgå internettet, når de
er logget på med de udvidede administratorrettigheder. Som hovedregel er der ingen grund
til, at de kan tilgå internettet med disse rettigheder.
37. Det fremgår af tabel 1, at én af de 6 institutioner har sikret, at betroede it-medarbejdere
ikke kan tilgå internettet med udvidede administratorrettigheder. De øvrige 5 institutioner har
begrænset adgangen til internettet for it-medarbejdere, der er logget på med udvidede ad-
ministratorrettigheder.
Komplekse passwords
inde-
holder fx både små og store
bogstaver og tal.
Segmentering af netværk
be-
tyder, at institutionen har opdelt
netværket i afgrænsede områ-
der. Det medvirker fx til at sikre,
at hackerangreb og malware ik-
ke kan sprede sig til alle it-sy-
stemer og data, men kun ram-
mer en begrænset del af net-
værket.
Én af de 5 institutioner, der har begrænset adgangen til internettet, har dog ikke segmente-
ret sit netværk. Derfor er risikoen større, hvis der fx kommer malware ind i institutionens it-
miljø i forbindelse med, at betroede it-medarbejdere tilgår internettet, når de er logget på
med udvidede administratorrettigheder. Rigsrevisionen anser dette som en væsentlig man-
gel, og institutionen opfylder derfor ikke kriteriet.
Resultater
38. Undersøgelsen viser, at der generelt er flere væsentlige mangler i institutionernes sty-
ring og kontrol af betroede it-medarbejderes udvidede administratorrettigheder, som giver
adgang til og kontrol over institutionernes it-systemer og data, der styres i AD.
Rigsrevisionen vurderer, at manglerne øger risikoen for misbrug og uretmæssig adgang til
institutionernes it-systemer og data, der styres i AD.
39. Rigsrevisionen vurderer, at alle de konstaterede mangler som udgangspunkt er forholds-
vist lette at rette op på. Dog kan det i nogle tilfælde være mere tidskrævende og omkost-
ningsfuldt at rette op på de pågældende forhold på grund af ældre teknologi.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0018.png
STYRING, KONTROL OG LOGNING AF UDVIDEDE ADMINISTRATORRETTIGHEDER
11
2.2. Styring og kontrol af udvidede administratorrettigheder for system- og
servicekonti
40. Vi har undersøgt, hvordan de statslige institutioner har styret og kontrolleret de udvide-
de administratorrettigheder, der knytter sig til system- og servicekonti, som er brugeruafhæn-
gige og derfor ikke er personhenførbare, jf. tabel 2.
Tabel 2. Styring og kontrol med udvidede administratorrettigheder for system- og servicekonti
Institution 1
Institutionen har begrænset an-
tallet af system- og servicekonti
med udvidede administratorret-
tigheder.
Institutionen har sikret, at sy-
stem- og servicekonti med ud-
videde administratorrettigheder
ikke kan anvendes til at logge
på lokalt, dvs. at de ikke kan
tilgå netværket fra en hvilken
som helst arbejdsstation eller
server i institutionen.
Institutionen har sikret, at pass-
words til system- og servicekon-
ti bliver skiftet mindst én gang
om året.
Institutionen har sikret, at pass-
words til system- og servicekon-
ti altid skiftes, når betroede it-
medarbejdere fratræder.
Institutionen har sikret, at pass-
words til system- og servicekon-
ti er komplekse (fx små og store
bogstaver og tal) og på mindst
15 karakterer.
Institution 2
Institution 3
Institution 4
Institution 5
Institution 6















Ikke opfyldt.
Delvist opfyldt.
Opfyldt.
Kilde: Rigsrevisionen.
Nedenfor følger en uddybning af resultaterne, som fremgår af tabel 2.
Begrænsning af antallet af udvidede administratorrettigheder
41. System- og servicekonti med udvidede administratorrettigheder giver samme omfatten-
de adgang og beføjelser til it-systemer og data, som de udvidede administratorrettigheder,
der knytter sig til betroede it-medarbejdere. Derfor bør institutionerne ud fra et it-sikkerheds-
hensyn begrænse antallet af system- og servicekonti med disse rettigheder til højst 5, og
som udgangspunkt bør de ikke have udvidede administratorrettigheder.
42. Det fremgår af tabel 2, at kun én af de 6 institutioner har begrænset antallet af system-
og servicekonti med udvidede administratorrettigheder, da denne institution kun har 4. De
øvrige 5 institutioner har mellem 8 og 44 system- og servicekonti med udvidede administra-
torrettigheder og opfylder derfor ikke kriteriet.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0019.png
12
STYRING, KONTROL OG LOGNING AF UDVIDEDE ADMINISTRATORRETTIGHEDER
Nogle af institutionerne har oplyst, at de har system- og servicekonti med udvidede admini-
stratorrettigheder på grund af ældre teknologi, som kræver disse rettigheder for at fungere
korrekt.
Rigsrevisionen finder, at institutionerne i stedet for at acceptere et reduceret sikkerhedsni-
veau bør overveje at udskifte eller opgradere teknologien.
Sikring af, at system- og servicekonti med udvidede administratorrettigheder ikke
kan logge på lokalt
43. I de tilfælde, hvor det er nødvendigt, at system- og servicekonti har udvidede administra-
torrettigheder (fx på grund af ældre teknologi), bør institutionerne sikre, at disse konti kun
kan anvendes til deres specifikke formål, dvs. kun kan logge på de relevante servere i it-mil-
jøet. Institutionerne bør derfor via ”regler” i AD have sikret, at system- og servicekonti med
udvidede administratorrettigheder ikke kan anvendes til at logge på lokalt, fx på andre com-
putere og andre servere i it-miljøet.
44. Det fremgår af tabel 2, at 2 ud af de 6 institutioner har sikret, at system- og servicekonti
med udvidede administratorrettigheder ikke kan anvendes til at logge på lokalt, fx på andre
computere og andre servere i it-miljøet.
De øvrige 4 institutioner har ingen ”regler”, som forhindrer dette. Det øger risikoen for, at de
udvidede administratorrettigheder kan blive misbrugt, uden at det efterfølgende kan opkla-
res, hvem der har gjort det, da rettighederne ikke er personhenførbare.
Skift af passwords til system- og servicekonti mindst én gang om året
45. Institutionerne bør sikre, at passwords til system- og servicekonti skiftes mindst én gang
om året. Det reducerer risikoen for, at passwords bliver brudt, da den, der forsøger at bry-
de passwordet, dermed har kortere tid til rådighed.
46. Det fremgår af tabel 2, at ingen af de 6 institutioner årligt har skiftet de passwords, der
giver adgang til system- og servicekonti med udvidede administratorrettigheder. Største-
delen af disse passwords er mellem 2 og 7 år gamle. 3 af institutionerne har enkelte pass-
words, der ikke er skiftet siden slutningen af 1990’erne.
Flere af institutionerne har oplyst, at de ikke har skiftet passwords til system- og servicekon-
ti, da de forventer, at det kan indebære en risiko for alvorlige driftsforstyrrelser i it-systemer,
der understøtter samfundsvigtige opgaver, dvs. at it-systemerne i større eller mindre grad
ikke virker.
47. Det er Rigsrevisionens opfattelse, at manglende skift af passwords til system- og ser-
vicekonti med udvidede administratorrettigheder er forbundet med væsentlige it-sikkerheds-
mæssige risici. Rigsrevisionen finder derfor, at institutionerne bør analysere og vurdere ri-
sikoen ved henholdsvis at skifte og ikke skifte passwords.
Skift af passwords til system- og servicekonti, når betroede it-medarbejdere fratræder
48. Institutionerne bør sikre, at passwords til system- og servicekonti med udvidede admi-
nistratorrettigheder altid skiftes, når betroede it-medarbejdere med kendskab til disse pass-
words fratræder deres stilling. Hvis forhenværende it-medarbejdere er i besiddelse af disse
passwords, er der risiko for, at personer uden for institutionen kan få adgang til institutionens
it-systemer og data. Det kan være de tidligere it-medarbejdere selv eller andre personer, der
får fat i de pågældende passwords via en tidligere medarbejder.
49. Det fremgår af tabel 2, at ingen af de 6 institutioner har skiftet passwords til system- og
servicekonti, når betroede it-medarbejdere med kendskab til passwordet er fratrådt.
Andre personer kan fx få fat i
passwords, som tidligere it-
medarbejdere er i besiddelse
af, ved hjælp af afpresning, be-
drag (social engineering) eller
hacking af en tidligere medar-
bejders private mailkonto, som
ved en fejl eller af uforsigtighed
kan indeholde oplysninger om
passwords.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0020.png
STYRING, KONTROL OG LOGNING AF UDVIDEDE ADMINISTRATORRETTIGHEDER
13
Sikring af, at passwords til system- og servicekonti er komplekse og lange
50. Institutionerne bør sikre, at passwords til system- og servicekonti er komplekse (fx små
og store bogstaver og tal) og på mindst 15 karakterer for at reducere risikoen for, at de bli-
ver brudt. Passwords for system- og servicekonti bør have flere karakterer end de person-
lige administratorpasswords, da de skiftes sjældnere end personlige administratorpasswords.
Det fremgår af tabel 2, at ingen af de 6 institutioner fuldt ud opfylder kriteriet om tilstrække-
ligt lange og komplekse passwords. Det gør det lettere at bryde dem og kan dermed give
mulighed for at få adgang til institutionernes it-systemer og data.
Resultater
51. Undersøgelsen viser, at der generelt er en række væsentlige mangler i styringen og kon-
trollen med system- og servicekonti med udvidede administratorrettigheder.
52. Rigsrevisionen vurderer, at manglerne i styringen og kontrollen med system- og service-
konti med udvidede administratorrettigheder øger risikoen for misbrug og uretmæssig ad-
gang til institutionernes it-systemer og data, der styres i AD. Da system- og servicekonti ik-
ke er personhenførbare, er det vanskeligt for institutionerne at opdage og/eller opklare et
eventuelt misbrug af it-systemer og data, hvilket efter Rigsrevisionens opfattelse er en skær-
pende omstændighed i forhold til de konstaterede mangler.
53. Rigsrevisionen vurderer, at én af de konstaterede mangler er forholdsvist let at rette op
på. Det gælder opsætning af regler i AD, der hindrer, at system- og servicekonti med udvi-
dede administratorrettigheder kan logge på lokalt.
2.3. Sikring af logning af udvidede administratorrettigheder
54. Vi har undersøgt, hvordan de statslige institutioner har sikret logningen af anvendelsen
af de udvidede administratorrettigheder med henblik på at opdage og opklare misbrug, jf. ta-
bel 3.
Med det nuværende risikobillede kan statslige institutioner ikke forvente at kunne forhindre
alle angreb. Derfor er det vigtigt, at institutionerne er i stand til at opdage sikkerhedshæn-
delser hurtigst muligt, hvilket logning bidrager til.
Da de udvidede administratorrettigheder som nævnt giver det højeste niveau af rettigheder
og adgang til institutionens it-systemer og data, der styres i AD, er det særligt vigtigt, at in-
stitutionerne sikrer en tilstrækkelig logning af anvendelsen af disse rettigheder med henblik
på at kunne opdage og opklare misbrug af disse rettigheder og sikkerhedshændelser.
En
sikkerhedshændelse
er en
uventet hændelse i it-miljøet,
der indikerer, at der er eller kan
være noget galt.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0021.png
14
STYRING, KONTROL OG LOGNING AF UDVIDEDE ADMINISTRATORRETTIGHEDER
Tabel 3. Logning af udvidede administratorrettigheder
Institution 1
Institutionen har sikret, at log-
ning i AD følger god praksis
(logning af validering af brugere,
administration af brugerkonti,
sikkerhedsgruppernes tildeling
af rettigheder, ændring af regler
i AD, låsning af konti ved mislyk-
kede adgangsforsøg mv.).
Institutionen har sikret, at alle
computere, der får tildelt en IP-
adresse, logges.
Institutionen har sikret, at admi-
nistratorer, der logges, ikke har
adgang til AD-loggen (funktions-
adskillelse).
Institutionen har sikret, at AD-
logfiler opbevares i en tilstræk-
kelig lang periode med henblik
på opklaring af sikkerhedshæn-
delser mv.
Institutionen har sikret, at AD-
logfiler gennemgås regelmæs-
sigt med henblik på at opdage
uautoriserede ændringer eller
uhensigtsmæssigheder i it-mil-
jøet.
Institutionen har etableret en
overvågning af anomalier i it-
miljøet, dvs. en hændelses-
overvågning, der kan koble in-
formationer fra forskellige syste-
mer sammen, så institutionen
kan handle proaktivt på hæn-
delser.
Institution 2
Institution 3
Institution 4
Institution 5
Institution 6




















Ikke opfyldt.
Delvist opfyldt.
Opfyldt.
Kilde: Rigsrevisionen.
Nedenfor følger en uddybning af resultaterne, som fremgår af tabel 3.
Efterlevelse af god praksis for logning i AD
55. Logning i AD har primært 2 anvendelsesformål – dels alarmering om en given uventet
hændelse, så institutionerne bliver klar over, at der er noget galt og kan gribe ind, dels ef-
terfølgende opklaring af, hvad der er sket, og hvem der har gjort det.
Institutionerne bør sikre, at logningen i AD lever op til god praksis, så loggen er så anven-
delig som muligt. Loggen bør give information om, at en person har logget sig på institutio-
nens AD eller har forsøgt på det uden held. Loggen bør også give information om, hvad per-
sonen har foretaget sig i AD, fx om personen har anvendt de udvidede administratorrettig-
heder i AD til at ændre i sikkerhedsgrupper eller ændre i rettigheder og regler.
Logningen i AD bør leve op til
”Stronger Recommendation” i
god praksis i henhold til Micro-
softs ”Audit Policy Recommen-
dations” og Center For Cyber-
sikkerheds logvejledning.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0022.png
STYRING, KONTROL OG LOGNING AF UDVIDEDE ADMINISTRATORRETTIGHEDER
15
56. Det fremgår af tabel 3, at 2 ud af de 6 institutioner har sikret, at logning i AD følger god
praksis. De øvrige 4 institutioner har mangler i deres logning, som kan begrænse mulighe-
den for at opklare sikkerhedshændelser.
3 ud af de 4 institutioner foretager fx ikke logning af mislykkede adgangsforsøg, hvor de på-
gældende konti efterfølgende låses. Det gør det vanskeligt at opdage, hvis fx en hacker for-
søger at overtage konti med udvidede administratorrettigheder.
3 ud af de 4 institutioner logger desuden ikke ændringer foretaget for sikkerhedsgrupper i
AD. Det gør det vanskeligt at opdage og opklare, om nogen – og i så fald hvem – har tildelt
sig selv eller andre udvidede administratorrettigheder i AD.
Herudover foretager én af de 4 institutioner ikke logning af ændringer i regler i AD. Dermed
kan regler i AD ændres, uden at institutionen opdager det. Fx kan en intern betroet it-med-
arbejder med udvidede administratorrettigheder eller en hacker ændre i logningsreglerne
med det formål at sløre sine spor.
Logning af computere med IP-adresse
57. Institutionerne bør logge alle computere, der har fået tildelt en IP-adresse, så de til en-
hver tid kan se, hvilken IP-adresse en given computer har haft på et givent tidspunkt. Den
information er vigtig i forbindelse med opklaring af sikkerhedshændelser.
58. Det fremgår af tabel 3, at 5 ud af de 6 institutioner logger computere, der får tildelt en
IP-adresse. Den sidste institution logger også dette, men gemmer ikke logfilerne i mere end
7 dage. Det svækker muligheden for at anvende logfilerne til opklaring betydeligt. Derfor
opfylder institutionen ikke kriteriet.
Funktionsadskillelse i adgang til AD-logfiler
59. Logfilerne er et vigtigt redskab til at opklare eventuelle sikkerhedshændelser. Hvis en
person (enten en betroet it-medarbejder med udvidede administratorrettigheder eller en
hacker, der har overtaget disse rettigheder) har misbrugt it-systemer eller data, vil vedkom-
mende typisk forsøge at sløre sine spor i logfilerne. Institutionerne bør derfor sikre, at der
er funktionsadskillelse i loggen af de udvidede administratorrettigheder, dvs. at udvidede
administratorrettigheder ikke giver adgang til logfiler. Logfilerne bør hurtigst muligt overfø-
res til et skrivebeskyttet program, som hverken tillader ændring eller sletning i logfilerne.
Herved kan institutionen undgå, at der enten tilsigtet eller utilsigtet slettes eller ændres i
logfilerne, hvilket kan forhindre eller forsinke opklaringen.
60. Det fremgår af tabel 3, at 2 ud af de 6 institutioner har sikret funktionsadskillelse i for-
hold til adgang til logfilerne. De 2 institutioner har valgt en løsning, hvor de gemmer en kopi
af logfilerne og gemmer den uden for AD, så de betroede it-medarbejdere med udvidede
administratorrettigheder ikke har adgang til loggen.
De øvrige 4 institutioner har ikke sikret funktionsadskillelse i adgangen til logfilerne. Dermed
har betroede it-medarbejdere mulighed for at slette i loggen og derved slette deres spor –
enten ved at anvende deres egne eller en system- og servicekontos udvidede administra-
torrettigheder. Ligeledes kan en hacker, som har overtaget disse rettigheder, slette i logfi-
ler, hvilket vanskeliggør opklaring af sikkerhedshændelser.
Én af de 4 institutioner har en logningsløsning, hvor de betroede it-medarbejdere med ud-
videde administratorrettigheder eller en hacker, som har overtaget disse rettigheder, ikke
blot kan slette i loggen, men også kan ændre i loggen og dermed plante falske spor.
Sikkerhedsgrupper
er grupper
i AD, hvorigennem institutionen
tildeler og administrerer rettig-
heder til it-systemer og data.
En
IP-adresse
er computerens
”identitet” eller ”afsenderadres-
se” på netværket. Ved hjælp af
IP-adressen kan man identifi-
cere, hvilken computer der har
udført en given handling på et
givent tidspunkt.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0023.png
16
STYRING, KONTROL OG LOGNING AF UDVIDEDE ADMINISTRATORRETTIGHEDER
APT-angreb
(Advanced Per-
sistent Threat) betegner trus-
len fra hackere, der forsøger
at opnå uautoriseret adgang til
en udvalgt myndighed eller et
virksomhedsnetværk. Angre-
bet gennemføres som regel
med spionage for øje og forbe-
redes normalt grundigt. Hack-
erne bruger en bred vifte af an-
grebsmetoder til at forsøge at
skaffe sig adgang, og når de
først er inde, kan de operere
skjult gennem længere tid, fx
flere år.
Opbevaring af AD-logfiler
61. Institutionerne bør opbevare AD-logfilerne længe nok til, at de kan anvendes til at op-
klare eventuelle sikkerhedshændelser. Center for Cybersikkerhed har oplyst, at der for vis-
se angrebstyper, fx APT-angreb, typisk går op til 18 måneder, fra sikkerhedshændelsen sker,
til institutionen opdager det. Rigsrevisionen finder derfor, at institutionerne bør gemme AD-
logfilerne i mere end 18 måneder.
Nogle af institutionerne har oplyst, at de er usikre på, om dette er i overensstemmelse med
bestemmelsen i sikkerhedsbekendtgørelsen om logning. Rigsrevisionen har drøftet dette
med Datatilsynet, jf. boks 3.
BOKS 3. OPBEVARING AF LOGFILER
Logning, jf. persondatalovens § 41, stk. 3
Ifølge persondatalovens § 41, stk. 3, skal den dataansvarlige træffe de fornødne tekniske og organi-
satoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes
eller forringes, og mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behand-
les i strid med loven. Tilsvarende gælder for databehandlere.
Datatilsynet har oplyst, at det er den dataansvarlige myndighed, der i første omgang må vurdere og
beslutte, om der som led i myndighedens tilvejebringelse af de fornødne sikkerhedsforanstaltninger
er behov for AD-logning, og hvor længe det i givet fald er nødvendigt at opbevare AD-logfilerne.
Lov nr. 429 af 31. maj 2000 om
behandling af personoplysnin-
ger (persondataloven).
Bekendtgørelse nr. 528 af 15.
juni 2000 om sikkerhedsforan-
staltninger til beskyttelse af per-
sonoplysninger, som behand-
les for den offentlige forvaltning
(sikkerhedsbekendtgørelsen).
Logning, jf. sikkerhedsbekendtgørelsens § 19, stk. 1
For visse behandlinger (behandlinger omfattet af anmeldelsespligten til Datatilsynet) kræves der imid-
lertid en særlig logning efter bestemmelsen i sikkerhedsbekendtgørelsens § 19, stk. 1. Det fremgår
af bestemmelsen, at der skal foretages maskinel registrering (logning) af alle anvendelser af person-
oplysninger. Registreringen skal mindst indeholde oplysning om tidspunkt, bruger, type af anvendel-
se og angivelse af den person, de anvendte oplysninger vedrørte, eller det anvendte søgekriterium.
Loggen skal opbevares i 6 måneder, hvorefter den skal slettes. Myndigheder med et særligt behov
kan opbevare loggen i op til 5 år.
Datatilsynet har oplyst, at det er de enkelte myndigheder, der vurderer, om der er et særligt behov
for at opbevare en sådan log, der dannes efter sikkerhedsbekendtgørelsens § 19, stk. 1, i længere
tid end 6 måneder. Opbevaring af en sådan log i op til 5 år kræver således ikke forelæggelse for
Datatilsynet.
På baggrund af oplysningerne fra Datatilsynet er det Rigsrevisionens opfattelse, at der ikke
er noget til hinder for i den nævnte lovgivning, at institutionerne gemmer de nødvendige log-
filer i mere end 18 måneder for at kunne opklare eventuelle sikkerhedshændelser.
62. Det fremgår af tabel 3, at 3 ud af de 6 institutioner gemmer deres logfiler i mere end 18
måneder. De øvrige 3 institutioner gemmer kun deres logfiler i 6-18 måneder. Herved er der
en risiko for, at institutionerne ikke kan opklare sikkerhedshændelser, fordi de gemmer log-
filerne i for kort tid.
Regelmæssig gennemgang af AD-logfiler
63. I lyset af det øgede risikobillede og i lyset af, at de udvidede administratorrettigheder
giver omfattende adgang og beføjelser til it-systemer og data, bør institutionerne gennem-
gå AD-logfilerne regelmæssigt – enten via medarbejdere, der er uddannet i at gennemgå
logfiler, eller via automatiserede overvågningssystemer. På den måde kan institutionerne
opdage adfærd og hændelser i it-miljøet, der ikke er, som de bør eller plejer at være.
64. Det fremgår af tabel 3, at kun én af de 6 institutioner gennemgår logfilerne regelmæs-
sigt. De øvrige 5 institutioner foretager ingen regelmæssig gennemgang af logfilerne. Det
medfører en risiko for, at der kan ske misbrug af institutionernes it-systemer eller data, uden
at institutionerne opdager det.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0024.png
STYRING, KONTROL OG LOGNING AF UDVIDEDE ADMINISTRATORRETTIGHEDER
17
Én af disse 5 institutioner har dog opsat en række alarmkriterier, der automatisk udløser
en alarm i it-sikkerhedsafdelingen. Det sker fx, hvis en betroet it-medarbejder med udvide-
de administratorrettigheder – eller en hacker, der har overtaget disse rettigheder – sletter i
loggen eller tildeler sig selv større rettigheder i AD.
Overvågning af anomalier i it-miljøet
65. Anomalier er adfærd eller hændelser i it-miljøet, der ikke er, som de bør eller plejer at
være. Anomalier kan derfor være tegn på hackerangreb eller andre sikkerhedsbrud. Insti-
tutionerne bør derfor overvåge anomalier i it-miljøet og fx opsætte alarmkriterier, så anoma-
lier automatisk udløser en alarm i it-sikkerhedsafdelingen. Herved kan institutionerne tidligt
opdage og begrænse hackerangreb eller andre sikkerhedsbrud. Boks 4 viser eksempler på
anomalier i it-miljøet, som institutionerne kan overvåge.
BOKS 4. EKSEMPLER PÅ ANOMALIER I IT-MILJØET, SOM KAN INDGÅ I OVERVÅGNINGEN
Anomalier er atypiske hændelser eller atypisk adfærd i it-miljøet. Eksempler herpå kan være:
at der logges på netværket med udvidede administratorrettigheder fra en IP-adresse i et andet land,
samtidig med at den pågældende it-medarbejder er logget på netværket fra en IP-adresse i Dan-
mark
at en betroet it-medarbejder med udvidede administratorrettigheder logger på en server, som ved-
kommende aldrig har været logget på før, og/eller logger på i et tidsrum, hvor vedkommende nor-
malt ikke er aktiv, fx om natten
at en betroet it-medarbejder med udvidede administratorrettigheder logger på 8 forskellige com-
putere inden for 10 sekunder
at unormalt store mængder data uploades til en ekstern server, fx Dropbox eller Google Drive,
søndag eftermiddag.
66. Det fremgår af tabel 3, at ingen af de 6 institutioner overvåger anomalier i it-miljøet.
Manglende overvågning af anomalier kan betyde, at der fx kan ske ikke-godkendte æn-
dringer i it-systemerne eller hos brugerne, som ikke bliver opdaget og standset i tide.
67. Nogle af institutionerne har gjort opmærksom på, at de ikke finder kriteriet om overvåg-
ning af anomalier rimeligt, fordi det ikke er almindelig praksis i dag, og fordi der ikke er ud-
viklet systemer, der muliggør dette.
68. Rigsrevisionen noterer sig, at en række institutioner har oplyst, at de allerede har påbe-
gyndt arbejdet med at anskaffe og implementere logningssystemer, der kan håndtere og
analysere store mængder af logfiler, så de på sigt kan udføre automatiske kontroller, her-
under overvåge anomalier. Rigsrevisionen anerkender, at det kræver en vis indsats at bli-
ve i stand til at overvåge anomalier, da det bl.a. forudsætter, at institutionerne definerer,
hvad der er atypiske hændelser.
Det er Rigsrevisionens opfattelse, at det er et ambitiøst, men ikke urealistisk revisionskrite-
rium. Rigsrevisionen anerkender, at overvågning af anomalier ikke er almindeligt udbredt i
dag. I lyset af at institutionerne varetager samfundsvigtige opgaver, må det dog med rimelig-
hed forventes, at institutionernes sikkerhedsmæssige foranstaltninger modsvarer det øge-
de risikobillede, som statslige institutioner ifølge risikovurderinger fra Forsvarets Efterret-
ningstjeneste står over for. Ifølge en trusselsvurdering fra Center for Cybersikkerhed fra
2013 bør it-systemer og netværk kontinuerligt overvåges for at fastholde en acceptabel sik-
kerhed.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0025.png
18
STYRING, KONTROL OG LOGNING AF UDVIDEDE ADMINISTRATORRETTIGHEDER
Resultater
69. Undersøgelsen viser, at der er variation på tværs af institutionerne, men at der generelt
er flere mangler i de undersøgte institutioners logning af udvidede administratorrettigheder.
70. Rigsrevisionen vurderer, at manglerne i logningen hæmmer institutionernes mulighed
for at opdage og opklare sikkerhedsbrud og misbrug af de udvidede administratorrettighe-
der. Rigsrevisionen vurderer, at flere af de konstaterede mangler er forholdsvist lette at ret-
te op på. Det gælder fx sikring af, at logning i AD følger god praksis, og at logfilerne opbe-
vares i en tilstrækkelig lang periode.
Rigsrevisionen, den 30. september 2015
Lone Strøm
/Mads Nyholm Jacobsen
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0026.png
METODE
19
Bilag 1. Metode
Undersøgelsens forløb og aktiviteter
Undersøgelsen, som beretningen bygger på, er baseret på it-revisioner hos 6 institutioner,
som Rigsrevisionen har udført i perioden januar-juni 2015.
Som led i it-revisionerne har vi foretaget revisionsbesøg hos hver institution. Via gennem-
gangen af en række revisionskriterier har vi foretaget en systematisk gennemgang, primært
af brugeradministrationssystemet Active Directory (AD), hos hver institution. Vi har doku-
menteret resultaterne af gennemgangen i form af kopier af skærmbilleder og dataudtræk
fra AD.
Ved at undersøge, om institutionerne har opfyldt de samme revisionskriterier, har vi sikret
sammenlignelighed på tværs af institutionerne. Beretningen omfatter 16 revisionskriterier,
som er en del af en større it-revision. Rigsrevisionen anser de 16 revisionskriterier som væ-
sentlige ud fra en it-sikkerhedsmæssig vurdering.
Ud over revisionsbesøgene har vi afholdt supplerende møder med institutionerne i forbin-
delse med it-revisionen og i forbindelse med udarbejdelsen af beretningen.
Derudover har vi indhentet og gennemgået relevant skriftligt materiale fra institutionerne, fx
risikovurderinger, systemoversigter og netværkstegninger.
Revisionskriterier og målepunkter
Der findes flere centralt udmeldte vejledninger og standarder, som handler om it-sikkerhed
generelt, men ikke om opsætningen af AD og styring og kontrol af udvidede administrator-
rettigheder specifikt.
Det gælder fx den internationale informationssikkerhedsstandarden ISO 27001, som de
statslige institutioner skulle følge fra januar 2014, og som de skal have færdigimplemente-
ret primo 2016. ISO 27001 afløser den tidligere sikkerhedsstandard DS484. ISO 27001 skal
ifølge Digitaliseringsstyrelsen bidrage til en enklere sikkerhedsstyring og stiller færre binden-
de krav til institutionerne.
Kontrolmålene og kontrollerne i ISO 27001 er ikke konkrete, men udgør en overordnet ram-
me. Fx fremgår det, at ”tildeling og anvendelse af privilegerede adgangsrettigheder
1)
skal
begrænses og styres”, og at ”systemer til administration af adgangskoder skal sikre ad-
gangskoder med god kvalitet”, uden at det er uddybet, hvad det indebærer.
Da der ikke er centralt udmeldte standarder og krav, har Rigsrevisionen opstillet mere kon-
krete revisionskriterier til brug for revisionen. Vi har taget udgangspunkt i de anbefalinger,
som leverandøren af AD (dvs. Microsoft) har formuleret, og øvrige anerkendte internatio-
nale anbefalinger formuleret af branchen (fx SANS Institute). Nogle af revisionskriterierne
er desuden baseret på logvejledningen fra Center for Cybersikkerhed.
Anbefalingerne, som revisionskriterierne har afsæt i, beskriver, hvad en institution bør gøre
for at styre, kontrollere og logge de udvidede administratorrettigheder (god it-sikkerheds-
praksis). Anbefalingerne er anerkendte og offentligt tilgængelige. Efter Rigsrevisionens op-
fattelse bør de ansvarlige i institutionerne for styring, kontrol og logning af udvidede admi-
nistratorrettigheder derfor kende disse anbefalinger og anvende dem i overvejelserne om,
hvordan institutionen i praksis styrer, kontrollerer og logger de udvidede administratorret-
tigheder på en tilstrækkelig måde.
1)
Svarende til det, vi i beretningen betegner som udvidede administratorrettigheder.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0027.png
20
METODE
Vi har desuden defineret, hvad der skal til, for at et revisionskriterium er opfyldt, delvist op-
fyldt eller ikke opfyldt (målepunkter). Vi har fx fastsat et minimum for antallet af karakterer
for administratorpasswords og en maksimal grænse for antal it-medarbejdere med udvide-
de administratorrettigheder. Vi har baseret definitionen af målepunkter på de samme aner-
kendte anbefalinger og på vores erfaringer fra it-revisionen generelt. Målepunkterne er så-
ledes efter Rigsrevisionens opfattelse et udtryk for god praksis på området.
Vi har drøftet revisionskriterier og målepunkter med Center for Cybersikkerhed og it-sikker-
hedsfirmaet FortConsult for at kvalificere dem yderligere.
Med de opstillede revisionskriterier har vi undersøgt, hvordan institutionerne styrer, kontrol-
lerer og logger de udvidede administratorrettigheder, da der efter Rigsrevisionens opfattel-
se er en væsentlig risiko forbundet med mangler heri.
Vi har således ikke undersøgt, om institutionerne opfylder ISO 27001, og om institutioner-
ne har taget stilling til risici forbundet med den måde, de styrer, kontrollerer og logger de
udvidede administratorrettigheder.
Oversigten nedenfor viser de revisionskriterier, som indgår i beretningen, og de tilhørende
målepunkter.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0028.png
METODE
21
Revisionskriterier
Institutionen har et begrænset antal
medarbejdere, der permanent har
udvidede administratorrettigheder.
Institutionen har implementeret en
regelmæssig kontrol af udvidede ad-
ministratorrettigheder.
Målepunkter
Over 9 medarbejdere har permanent udvidede administratorrettigheder.
5-9 medarbejdere har permanent udvidede administratorrettigheder.
Under 5 medarbejdere har permanent udvidede administratorrettigheder.
Institutionen har ikke udført brugerrettighedskontrol mindst én gang om året.
Institutionen kan sandsynliggøre, at de har foretaget brugerrettighedskontrol
mindst én gang om året, men kan ikke dokumentere det.
Institutionen har foretaget regelmæssig dokumenteret brugerrettighedskontrol
mindst én gang om året.
Udvidede administratorrettigheder inddrages/deaktiveres ikke ved fratrædelse.
Udvidede administratorrettigheder inddrages/deaktiveres i forbindelse med
brugerrettighedskontrol.
Udvidede administratorrettigheder inddrages/deaktiveres altid umiddelbart efter
fratrædelse.
Passwords er på under 8 karakterer og komplekse eller er på mindst 8 karak-
terer og ikke komplekse eller skiftes sjældnere end 90 dage (skal være system-
understøttet).
Passwords er på 8 karakterer, er komplekse og skiftes inden 90 dage (skal være
systemunderstøttet).
Passwords er på mindst 9 karakterer, er komplekse og skiftes inden 90 dage
(skal være systemunderstøttet).
Medarbejdere med udvidede administratorrettigheder kan godt tilgå internettet,
når de er logget på med disse rettigheder.
Medarbejdere med udvidede administratorrettigheder kan i meget begrænset
omfang tilgå internettet, når de er logget på med disse rettigheder.
Medarbejdere med udvidede administratorrettigheder kan ikke tilgå internettet,
når de er logget på med disse rettigheder.
Over 9 system- og servicekonti med udvidede administratorrettigheder.
6-9 system- og servicekonti med udvidede administratorrettigheder.
0-5 system- og servicekonti med udvidede administratorrettigheder.
System- og servicekonti med udvidede administratorrettigheder kan logge på
lokalt.
Ingen system- og servicekonti med udvidede administratorrettigheder kan logge
på lokalt.
Institutionen har implementeret en
procedure, der sikrer, at udvidede ad-
ministratorrettigheder inddrages ved
fratrædelse.
Institutionen har sikret, at personlige
administratorpasswords følger god
praksis (har en længde på mindst 9
karakterer, er komplekse, fx små og
store bogstaver og tal, og skiftes in-
den 90 dage).
Institutionen har sikret, at medarbejde-
re med udvidede administratorrettig-
heder ikke kan tilgå internettet, når de
er logget på med udvidede administra-
torrettigheder.
Institutionen har begrænset antallet af
system- og servicekonti med udvidede
administratorrettigheder.
Institutionen har sikret, at system- og
servicekonti med udvidede administra-
torrettigheder ikke kan anvendes til at
logge på lokalt, dvs. at de ikke kan tilgå
netværket fra en hvilken som helst ar-
bejdsstation eller server i institutionen.
Institutionen har sikret, at passwords
til system- og servicekonti bliver skif-
tet mindst én gang om året.
Institutionen har sikret, at passwords
til system- og servicekonti altid skiftes,
når betroede it-medarbejdere fratræder.
Passwords skiftes ikke mindst én gang om året.
Passwords skiftes mindst én gang om året.
Passwords skiftes ikke, når betroede it-medarbejdere med kendskab til pass-
words fratræder.
Passwords skiftes nogle gange, når betroede it-medarbejdere med kendskab
til passwords fratræder.
Passwords skiftes altid, når betroede it-medarbejdere med kendskab til pass-
words fratræder.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0029.png
22
METODE
Revisionskriterier
Institutionen har sikret, at passwords
til system- og servicekonti er komplek-
se (fx små og store bogstaver og tal)
og på mindst 15 karakterer.
Målepunkter
Der er passwords på under 8 karakterer eller simple passwords.
Alle passwords er på 8-14 karakterer og komplekse (fx små og store bogstaver
og tal).
Alle passwords er på mindst 15 karakterer og komplekse (fx små og store bog-
staver og tal).
Ingen logning i AD eller logning, der ikke lever op til ”Windows Default” i god
praksis, jf. Microsofts ”Audit Policy Recommendations” og Center for Cyber-
sikkerheds logvejledning.
Logning i AD, der lever op til ”Baseline Recommendation” i god praksis, jf.
Microsofts ”Audit Policy Recommendations” og Center for Cybersikkerheds
logvejledning.
Logning i AD, der lever op til ”Stronger Recommendation” i god praksis, jf.
Microsofts ”Audit Policy Recommendations” og Center for Cybersikkerheds
logvejledning.
DHCP (Dynamic Host Configuration Protocol) logdata genereres ikke eller over-
skrives efter få dage.
DHCP (Dynamic Host Configuration Protocol) logdata genereres, og der tages
en daglig backup.
Ingen funktionsadskillelse på loggen for administratorkonti.
Funktionsadskillelse på loggen for administratorkonti.
Institutionen har sikret, at logning i AD
følger god praksis (logning af valide-
ring af brugere, administration af bru-
gerkonti, sikkerhedsgruppernes tilde-
ling af rettigheder, ændring af regler i
AD, låsning af konti ved mislykkede
adgangsforsøg mv.).
Institutionen har sikret, at alle compu-
tere, der får tildelt en IP-adresse, log-
ges.
Institutionen har sikret, at administra-
torer, der logges, ikke har adgang til
AD-loggen (funktionsadskillelse).
Institutionen har sikret, at AD-logfiler
opbevares i en tilstrækkelig lang perio-
de med henblik på opklaring af sikker-
hedshændelser mv.
Institutionen har sikret, at AD-logfiler
gennemgås regelmæssigt med hen-
blik på at opdage uautoriserede æn-
dringer eller uhensigtsmæssigheder i
it-miljøet.
Institutionen har etableret en overvåg-
ning af anomalier i it-miljøet, dvs. en
hændelsesovervågning, der kan koble
informationer fra forskellige systemer
sammen, så institutionen kan handle
proaktivt på hændelser.
Backup af logfiler opbevares og kan genskabes i op til 6 måneder.
Backup af logfiler opbevares og kan genskabes i 6-18 måneder.
Backup af logfiler opbevares og kan genskabes i mere end 18 måneder.
Ingen regelmæssig gennemgang eller overvågning af AD-logfiler.
Delvis gennemgang eller overvågning af AD-logfiler.
Regelmæssig og systematisk gennemgang og overvågning af AD-logfiler.
Ingen overvågning af anomalier i it-miljøet.
Delvis overvågning af anomalier i it-miljøet.
Hele it-miljøet overvåges for anomalier.
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0030.png
ORDLISTE
23
Bilag 2. Ordliste
Active Directory (AD)
Administratorpassword
APT-angreb
(Advanced Persistent Threat)
Et brugeradministrationssystem, hvori institutionen styrer og kontrollerer adgang og rettig-
heder til it-systemer og data.
Password, som en betroet it-medarbejder skal benytte, når vedkommende skal anven-
de sine udvidede administratorrettigheder.
Betegner truslen fra hackere, der forsøger at opnå uautoriseret adgang til en udvalgt myn-
dighed eller et virksomhedsnetværk. Angrebet gennemføres som regel med spionage for
øje og forberedes normalt grundigt. Hackerne bruger en bred vifte af angrebsmetoder
til at forsøge at skaffe sig adgang, og når de først er inde, kan de operere skjult gennem
længere tid, fx flere år.
It-medarbejder, der har udvidede administratorrettigheder.
Hvad en institution bør gøre for at styre, kontrollere og logge de udvidede administrator-
rettigheder med udgangspunkt i de anbefalinger, leverandøren af AD (dvs. Microsoft)
har formuleret, øvrige anerkendte internationale anbefalinger formuleret af branchen (fx
SANS Institute) og logvejledningen fra Center for Cybersikkerhed.
Betegner i denne beretning en ukendt og uautoriseret person, der foretager en ulovlig
handling ved i det skjulte at skaffe sig adgang til og/eller anvende andres it-systemer
eller data. Formålet med hacking og de anvendte metoder afhænger af de personer el-
ler organisationer, der står bag, dvs. om det er fremmede stater, kriminelle organisatio-
ner eller individer, som på egen hånd misbruger institutionens svagheder.
Computerens ”identitet” eller ”afsenderadresse” på netværket. Ved hjælp af IP-adressen
kan man identificere, hvilken computer der har udført en given handling på et givent tids-
punkt.
Den internationale informationssikkerhedsstandard, som de statslige institutioner skulle
følge fra januar 2014, og som de skal have færdigimplementeret primo 2016. ISO 27001
afløser den tidligere sikkerhedsstandard DS484.
De filer, hvori institutionen gemmer registreringerne af oplysninger om anvendelse af og
hændelser i institutionens it-systemer og data.
Registrering af oplysninger om anvendelse af og hændelser i institutionens it-systemer
og data i en fil. Logning i AD af anvendelsen af de udvidede administratorrettigheder bør
fx give information om, at en person har logget sig på institutionens it-systemer eller har
forsøgt det uden held og om, hvad personen har anvendt de udvidede administratorret-
tigheder til.
En sammentrækning af de engelske ord malicious software. Malware er en fællesbeteg-
nelse for ondsindede computerprogrammer, der gør skadelige eller uønskede handlin-
ger på brugerens computer.
Indebærer, at en person uretmæssigt kan få adgang til en række af institutionens it-sy-
stemer og data. Der kan fx være tale om, at personen uretmæssigt afbryder eller ændrer
datakørsler, eller at personen uretmæssigt ændrer, sletter eller læser/stjæler data.
Det er muligt at se, hvilken bruger der har foretaget en given handling i institutionens it-
systemer.
Risikoen for misbrug og kompromittering af it-systemer og data (både risikoen for hacker-
angreb, spionage og tyveri af data over internettet samt truslen fra ansatte, der ubevidst
eller bevidst bryder sikkerheden på deres arbejdsplads).
Betyder, at institutionen har opdelt netværket i afgrænsede områder. Det medvirker fx
til at sikre, at hackerangreb og malware ikke kan sprede sig til alle it-systemer og data,
men kun rammer en begrænset del af netværket.
Betroet it-medarbejder
God it-sikkerhedspraksis
Hacker
IP-adresse
ISO 27001
Logfiler/log
Logning
Malware
Misbrug og kompromittering af
it-systemer og data
Personhenførbar
Risikobillede
Segmentering af netværk
 FIU, Alm.del - 2015-16 - Bilag 4: Beretning nr. 1/2015 om adgangen til it-systemer, der understøtter samfundsvigtige opgaver
1554183_0031.png
24
ORDLISTE
Sikkerhedsbrud
Sikkerhedsforanstaltninger
Sikkerhedsgrupper
Sikkerhedshændelse
System- og servicekonti
Betyder, at en intern eller en ekstern person forsætligt eller uforsætligt har foretaget en
handling, der truer it-sikkerheden.
Skal bidrage til at forhindre eller opdage misbrug og kompromittering af it-systemer og
data. Det er fx tekniske regler i it-systemerne, der kan forhindre uønskede handlinger.
Grupper i AD, hvorigennem institutionen tildeler og administrerer rettigheder til it-systemer
og data.
En uventet hændelse i it-miljøet, der indikerer, at der er eller kan være noget galt.
Anvendes bl.a. til automatiserede kørsler i it-driften. Det kan fx være periodiske overfør-
sler af store mængder data, backupkørsler og overvågning af it-driften. System- og ser-
vicekonti har tilknyttet nogle rettigheder, som bestemmer, hvad kontoen kan bruges til.
De system- og servicekonti, der er omfattet af undersøgelsen, har udvidede administra-
torrettigheder. System- og servicekonti er brugeruafhængige. Hver system- og service-
konto har ét password, som betroede it-medarbejdere har kendskab til. System- og ser-
vicekonti anvendes dermed ikke med personlige passwords. Al anvendelse af system-
og servicekonti, herunder misbrug, er derfor ikke personhenførbar.
En regel i AD, der ikke kan afviges. Hvis institutionen fx har implementeret systemunder-
støttelse af en passwordlængde på mindst 8 karakterer, er det ikke muligt at formulere
passwords på færre karakterer.
Det højeste niveau af rettigheder, adgang og kontrol over institutionens it-systemer og
data, der styres i AD. Desuden kan de udvidede administratorrettigheder give mulighed
for at omgå institutionens sikringsforanstaltninger. I nogle tilfælde kan de udvidede ad-
ministratorrettigheder – afhængigt af institutionens systemopbygning – også give adgang
til andre væsentlige it-systemer og data.
Udvidede administratorrettigheder betegner i denne beretning de it-medarbejdere og/eller
system- og servicekonti, der er medlem af ”Domain Admins-gruppen” i AD.
Systemunderstøttelse
Udvidede administrator-
rettigheder