IT-angrepet: Stortingsansatte brukte ikke totrinnsverifisering
Etter fjorårets IT-angrep besluttet Stortinget å skjerpe e-post-sikkerheten med obligatorisk totrinnsverifisering. Men flere ansattgrupper på Stortinget manglet fortsatt dette da det nye dataangrepet ble utført.
Det får E24 bekreftet av Stortingets direktør, Marianne Andreassen.
– Det har vært en prioritert utrulling. Utrullingen for enkelte grupper ansatte gjenstår, skriver hun i en e-post om sikkerhetsforbedringen.
Stortingsdirektøren sa tidligere denne uken at det nye dataangrepet ikke kunne ha blitt avverget.
Stortinget vil foreløpig ikke svare på E24s spørsmål om hvor mange stortingsansatte som fortsatt mangler totrinnsverifisering.
Totrinnsverifisering – også kalt tofaktorautentisering — er ifølge IT-eksperter blant de viktigste forebyggende tiltakene man kan ta for å forhindre datainnbrudd.
Når totrinnsverifisering aktivert, er det ikke nok å taste inn korrekt passord – brukeren må identifisere seg på nytt, som regel med en kode som sendes på SMS.
Stortinget utsatt for nytt IT-angrep – data hentet ut
– Burde vært innført for lenge siden
Torgeir Waterhouse, datasikkerhetsekspert og tidligere direktør i IKT-Norge, reagerer på de nye opplysningene.
– Dette burde vært innført for alle ansatte ved Stortinget for lenge siden, sier Waterhouse, som i dag er partner i rådgivningselskapet Otte.
Nyheten om det omfattende IT-angrepet mot Stortinget 1. september i fjor – som regjeringen i ettertid har anklaget Russland for å stå bak – satte et kritisk søkelys på Stortingets datasikkerhet.
IT-eksperter stusset da over mangelen på totrinnsverifisering ved innlogging, som Nasjonal Sikkerhetsmyndighet (NSM) har anbefalt gjennom flere år.
PST åpner etterforskning av dataangrepet mot Stortinget
Startet utrulling etter fire måneder
Stortingets direktør Marianne Andreassen fremholdt umiddelbart etter angrepet at «sikkerheten på Stortinget er god».
I ettertid besluttet Stortinget likevel å ta flere grep for å ruste seg mot nye angrep.
– Vi innførte sterkere passord, og tofaktorautentisering er rullet ut for representantene, i tillegg til en rekke andre tiltak som vi ikke kan dele informasjon om, opplyser Andreassen til E24 i dag.
Stortingsdirektøren opplyser at det ble besluttet å innføre obligatorisk tofaktor «kort tid» etter det forrige IT-angrepet ble avdekket i fjor.
Det var imidlertid ikke før 14. januar i år, over fire måneder etter fjorårets angrep, at Stortingets administrasjon sendte ut en e-post om at de hadde startet «overgangen til obligatorisk to-faktorautentisering på hele Stortingets e-postløsning».
«To-faktorautentisering betyr at du, i tillegg til passord, også må identifisere deg på annen måte for å logge deg inn», sto det i e-posten, som VG fikk tilgang til.
Og den varslede overgangen er fortsatt ikke ferdig gjennomført.
Det betyr at et ukjent antall stortingsansatte fortsatt ikke brukte totrinnsverifisering under det nye IT-angrepet som ble kjent denne uken – og beskrevet som «større og mer avansert enn i fjor».
– Hvor stor andel av de ansatte ved Stortinget benytter seg i dag av to-faktor-autentisering?
– Vi kommenterer ikke detaljer i vår utrullingsplan av sikkerhetshensyn, svarer Andreassen.
SAS utsatt for datasikkerhetsbrudd
– Som å ha en sprekk i en demning
– Når stortingspresidenten kaller dette et «angrep på demokratiet», så understreker det viktigheten av å gjøre alt man kan for å forhindre at slike dataangrep lykkes. Tofaktorbekreftelse er kanskje det enkleste og viktigste enkelttiltaket man kan gjøre, forklarer Waterhouse.
Eksperten understreker at det er ukjent hvorvidt mangelen på tofaktor-verifisering hadde noen innvirkning på dette konkrete angrepet.
– Men vi vet at tofaktor reduserer sannsynligheten dramatisk for at noen kan misbruke brukernavn og passord på avveie. Det er en veldig viktig komponent når man skal bygge en god sikkerhetsmur, sier Waterhouse.
Avhengig av de konkrete IT-systemene, kan det være nødvendig med en gradvis utrulling slik Stortinget har gått for, forklarer eksperten, men han synes uansett dette burde vært ferdig utrullet for lenge siden.
– Det er vanskelig å forstå at det skal ta såpass lang tid å få dette på plass, sier Waterhouse.
– Det er bra at Stortinget har gjort andre tiltak, men når man fremdeles mangler tofaktor-bekreftelse for grupper med ansatte, så er problemet at det ikke nødvendigvis hjelper så mye. Det blir som å ha en stor sprekk i en demning, sier Waterhouse.
– Har tatt tid under en pandemi
Stortingets direktør understreker overfor E24 at det er «iverksatt en rekke tiltak fra forrige hendelse til nå, både i forhold til personer og iverksetting av systemsikringstiltak som vi ikke ønsker å konkretisere ytterligere».
Stortinget har sagt at de «vet at data er hentet ut» i forbindelse med angrepet. Hva slags data dette er, sier Andreassen hun ikke kan utbrodere.
– Vi er fortsatt i en analysefase og kan ikke gå ut med det.
Likevel er det informasjon som Stortinget allerede nå kan utelukke at angriperne har fått kloa i, opplyser direktøren.
Hun sier dette omfatter all informasjon lagret på Stortingets «systemer for gradert informasjon», som ikke ble omfattet av angrepet.
Andreassen opplyser at endringen av rutinene gjelder mer enn bare e-post, og at dette skal fungere på tvers av flere plattformer, både i skytjenester og lokalt. Hun viser til at dette igjen krevet at man endrer oppsett på blant alle mobiler og nettbrett.
– Dette har tatt tid, spesielt under en pandemi hvor det er begrenset mulighet til å yte bistand ved fysisk fremmøte for de som trenger det, sier Andreassen til E24.
– I hele perioden har Stortinget vært avhengige av å gjennomføre hektisk virksomhet med færrest mulig forstyrrelser samtidig som mange har vært på hjemmekontor.
