Stortinget vedgår at det kunne «vært ønskelig» å styrke e-post-sikkerheten tidligere

Noen dager etter fjorårets datainnbrudd, bestemte Stortinget seg for å styrke postsikkerheten. Etter seks måneder og nok et IT-angrep skal de endelig være i mål.

SKULLE I ETTERTID ØNSKET Å HA DET FØR: Samtidig har utrullingen av tofaktorsertifisering på Stortingets e-post-systemer vært utfordrende å implementere, og pandemien har forsterket tidsbruken, ifølge stortingspresident Marianne Andreassen.

Stian Lysberg Solum
  • Karl Wig
Publisert:

Tidsbruken skyldes blant annet at det ble «krevende» å få løsningen til å fungere sømløst på tvers av de ulike plattformene, ifølge stortingsdirektør Marianne Andreassen.

Men hun er ikke helt avvisende på spørsmål om Stortinget nå vil ta selvkritikk for tiden det har tatt å få på plass totrinnsverifisering – som både IT-eksperter og Nasjonal sikkerhetsmyndighet (NSM) har anbefalt i flere år:

– I lys av våre erfaringer kunne det vært ønskelig at vi hadde innført tofaktor på hele løsningen tidligere, skriver Andreassen til E24.

Stortingsdirektøren understreker samtidig at sikkerhetstiltaket «ikke hadde hindret det angrepet vi nå er utsatt for».

Men det kunne det fort ha gjort, ifølge IT-eksperter E24 har snakket med. De beskriver den manglende e-post-sikkerheten som et grunnleggende sikkerhetshull i Stortingets systemer.

– Microsoft påpeker selv at 99.9 prosent av alle identitetsrelaterte angrep kan stoppes ved implementing av tofaktorautentisering, sier Marius Sandbu, som er sikkerhetsekspert hos TietoEVRY.

Les også

PST åpner etterforskning av dataangrepet mot Stortinget

«Som å ha en stor sprekk i en demning»

– Jeg stiller meg litt kritisk i forhold til hvor lang tid dette har tatt, siden dette er en såpass viktig del av grunnleggende IT-sikkerhet, fortsetter han.

Sandu får følge av IKT Norges tidligere direktør, Torgeir Waterhouse. Han mener Stortinget burde hatt tofaktor-sertifisering på plass «for lenge siden», og sammenligner det med å «ha en stor sprekk i en demning».

E24 har stilt Stortinget flere spørsmål som forsøker å bringe klarhet i hvorfor den skjerpede påloggingssikkerheten har kommet på plass såpass sent.

Bakteppet er at manglende totrinnsverifisering raskt kapret avisoverskrifter etter at det forrige IT-angrepet mot Stortinget ble annonsert 1. september i fjor.

Angriperne, som regjeringen mener handlet på vegne av Russland, fikk da tilgang på e-postkontoene til flere stortingsrepresentanter.

PST mener dette datainnbruddet kunne vært avverget med sikker e-post-pålogging som benyttet tofaktorsertifisering, slik også Nasjonal sikkerhetsmyndighet (NSM) i flere år hadde anbefalt.

Les også

IT-angrepet: Stortingsansatte brukte ikke totrinnsverifisering

Tok seks måneder å få på plass

Stortinget opplyser til E24 at det kun gikk dager fra angrepet ble annonsert, til de fattet beslutning om at totrinnsverifisering på e-post skulle bli obligatorisk for alle stortingsansatte.

– Stortinget hadde tofaktorautentisering på de aller fleste av våre tjenester før angrepet i september, men ikke på hele e-postløsningen, utdyper Andreassen.

Hun oppgir at beslutningen om å innføre dette ble tatt «i løpet av første halvdel av september».

Det skulle imidlertid gå fire måneder før Stortinget begynte å rulle det ut. Det skjedde 14. januar.

På spørsmål om hvorfor de først begynte innføringen av sikkerhetsforbedringen etter nyttår, svarer stortingspresidenten at hun må være ordknapp av sikkerhetshensyn.

– Utrullingen ble noe forsinket grunnet kompleksitet i det tekniske oppsettet og i våre omgivelser, skriver Andreassen.

Les også

Stortinget utsatt for nytt IT-angrep: – Et angrep på vårt demokrati

«Krevende å få dette til å fungere sømløst»

– Utover dette kan vi av sikkerhetshensyn ikke gå videre inn på hvilke tiltak vi har gjennomført og til hvilken tid.

E24 skrev nylig at flere ansattgrupper fortsatt manglet totrinnsverifisering da Stortinget 10. mars varslet om det nyeste dataangrepet. I skrivende stund skal alle ha det på plass.

At selve utrullingen tok ytterligere to måneder, begrunner stortingsdirektøren blant annet med utfordringer i den tekniske implementeringen.

Hun skriver at det «har vært krevende å få dette til å fungere sømløst på tvers av alle plattformer».

Hun sier arbeidet også har blitt mer tidkrevende grunnet coronasituasjonen.

Sandbu understreker at han ikke har konkret innsikt i Stortingets IT-systemer, men påpeker at andre store institusjoner – som banker – også har svært kompliserte systemer, men likevel har brukt totrinnsverifisering gjennomgående over flere år.

– Blir veldig sårbar

Han mener Stortinget «absolutt» kunne innført dette på et tidligere tidspunkt, og utdyper hva som står på spill:

– Har man ikke tofaktor-mekanismer på plass, kan dette gjøre en organisasjon veldig sårbar for brute-force angrep, hvor man kjører automatiske angrep med en sett med brukernavn og passord, eller credential stuffing – hvor angripere da gjenbruker stjålet brukerdata.

Stortingsdirektøren presiserer at totrinnsløsningen de nå har innført på e-post «har flere og bedre sikkerhetsmekanismer enn det som var tilgjengelig på markedet for noen år siden».

På tidspunktet for det nyeste dataangrepet var tofaktor-utrullingen i en «sluttfase», opplyser Andreassen, som understreker at dette ikke hadde noen betydning for dataene angriperne klarte å hente ut. Det ville de nemlig klart uansett, opplyser hun.

– Dette angrepet var en utnyttelse av sårbarheter i Microsoft Exchange. Nå har alle med brukerkonto på Stortinget to-faktor, skriver hun.

Publisert:

Her kan du lese mer om

  1. Stortinget
  2. Sikkerhetssystemer
  3. Sikkerhet
  4. Dataangrep
  5. Nasjonal sikkerhetsmyndighet
  6. Sikkerhetshull
  7. Torgeir Waterhouse

Flere artikler

  1. IT-angrepet: Stortingsansatte brukte ikke totrinnsverifisering

  2. IT-angrepet på Stortinget: Ingen sensitive opplysninger hentet ut

  3. Stortinget utsatt for nytt IT-angrep: - Et angrep på vårt demokrati

  4. PST åpner etterforskning av dataangrepet mot Stortinget

  5. DNB frykter mer profesjonelle hackere: – Løsepengevirus er farligst