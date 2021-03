IT-angrepet: Stortingsansatte brukte ikke totrinnsverifisering

Etter fjorårets IT-angrep besluttet Stortinget å skjerpe e-post-sikkerheten med obligatorisk totrinnsverifisering. Men flere ansattgrupper på Stortinget manglet fortsatt dette da det nye dataangrepet ble utført.

Det får E24 bekreftet av Stortingets direktør, Marianne Andreassen.

– Det har vært en prioritert utrulling. Utrullingen for enkelte grupper ansatte gjenstår, skriver hun i en e-post om sikkerhetsforbedringen.

Stortingsdirektøren sa tidligere denne uken at det nye dataangrepet ikke kunne ha blitt avverget.

Stortinget vil foreløpig ikke svare på E24s spørsmål om hvor mange stortingsansatte som fortsatt mangler totrinnsverifisering.

Totrinnsverifisering – også kalt tofaktorautentisering — er ifølge IT-eksperter blant de viktigste forebyggende tiltakene man kan ta for å forhindre datainnbrudd.

Når totrinnsverifisering aktivert, er det ikke nok å taste inn korrekt passord – brukeren må identifisere seg på nytt, som regel med en kode som sendes på SMS.

– Burde vært innført for lenge siden

Torgeir Waterhouse, datasikkerhetsekspert og tidligere direktør i IKT-Norge, reagerer på de nye opplysningene.

– Dette burde vært innført for alle ansatte ved Stortinget for lenge siden, sier Waterhouse, som i dag er partner i rådgivningselskapet Otte.

Nyheten om det omfattende IT-angrepet mot Stortinget 1. september i fjor – som regjeringen i ettertid har anklaget Russland for å stå bak – satte et kritisk søkelys på Stortingets datasikkerhet.

IT-eksperter stusset da over mangelen på totrinnsverifisering ved innlogging, som Nasjonal Sikkerhetsmyndighet (NSM) har anbefalt gjennom flere år.

Startet utrulling etter fire måneder

Stortingets direktør Marianne Andreassen fremholdt umiddelbart etter angrepet at «sikkerheten på Stortinget er god».

I ettertid besluttet Stortinget likevel å ta flere grep for å ruste seg mot nye angrep.

– Vi innførte sterkere passord, og tofaktorautentisering er rullet ut for representantene, i tillegg til en rekke andre tiltak som vi ikke kan dele informasjon om, opplyser Andreassen til E24 i dag.

Det var imidlertid ikke før 14. januar i år, over fire måneder etter fjorårets angrep, at Stortingets administrasjon sendte ut en e-post om at de hadde startet «overgangen til obligatorisk to-faktorautentisering på hele Stortingets e-postløsning».

«To-faktorautentisering betyr at du, i tillegg til passord, også må identifisere deg på annen måte for å logge deg inn», sto det i e-posten, som VG fikk tilgang til.

Og den varslede overgangen er fortsatt ikke ferdig gjennomført.

Det betyr at et ukjent antall stortingsansatte fortsatt ikke brukte totrinnsverifisering under det nye IT-angrepet som ble kjent denne uken – og beskrevet som «større og mer avansert enn i fjor».

– Hvor stor andel av de ansatte ved Stortinget benytter seg i dag av to-faktor-autentisering?

– Vi kommenterer ikke detaljer i vår utrullingsplan av sikkerhetshensyn, svarer Andreassen.

– Som å ha en sprekk i en demning

– Når stortingspresidenten kaller dette et «angrep på demokratiet», så understreker det viktigheten av å gjøre alt man kan for å forhindre at slike dataangrep lykkes. Tofaktorbekreftelse er kanskje det enkleste og viktigste enkelttiltaket man kan gjøre, forklarer Waterhouse.

Eksperten understreker at det er ukjent hvorvidt mangelen på tofaktor-verifisering hadde noen innvirkning på dette konkrete angrepet.

– Men vi vet at tofaktor reduserer sannsynligheten dramatisk for at noen kan misbruke brukernavn og passord på avfeie. Det er en veldig viktig komponent når man skal bygge en god sikkerhetsmur, sier Waterhouse.

Avhengig av de konkrete IT-systemene, kan det være nødvendig med en gradvis utrulling slik Stortinget har gått for, forklarer eksperten, men han synes uansett dette burde vært ferdig utrullet for lenge siden.

– Det er vanskelig å forstå at det skal ta såpass lang tid å få dette på plass, sier Waterhouse.

– Det er bra at Stortinget har gjort andre tiltak, men når man fremdeles mangler tofaktor-bekreftelse for grupper med ansatte, så er problemet at det ikke nødvendigvis hjelper så mye. Det blir som å ha en stor sprekk i en demning, sier Waterhouse.

Ordknappe om detaljer

Stortingets direktør understreker overfor E24 at det er «iverksatt en rekke tiltak fra forrige hendelse til nå, både i forhold til personer og iverksetting av systemsikringstiltak som vi ikke ønsker å konkretisere ytterligere».

Stortinget har sagt at de «vet at data er hentet ut» i forbindelse med angrepet. Hva slags data dette er, sier Andreassen hun ikke kan utbrodere.

– Vi er fortsatt i en analysefase og kan ikke gå ut med det.

Likevel er det informasjon som Stortinget allerede nå kan utelukke at angriperne har fått kloa i, opplyser direktøren.

Hun sier dette omfatter all informasjon lagret på Stortingets «systemer for gradert informasjon», som ikke ble omfattet av angrepet.

Stortinget har foreløpig ikke besvart E24s spørsmål om hvorfor utrullingen av totrinnsverifisering fortsatt pågår, gitt at det er gått såpass lang tid siden det forrige alvorlige IT-angrepet.

E24 har også spurt hvorfor det har vært en gradvis utrulling fremfor noe man kunne innføre omgående, men foreløpig ikke fått svar.

