Ny sikkerhedschef overtager ansvaret for statens usikre servere: »Vi er blevet bedt om at skrue bissen på«

»Det er utilfredsstillende. Punktum.«

Thomas Kristmar sidder i et anonymt mødelokale med hvide vægge hos Statens It, hvor han kort før årsskiftet tiltrådte som områdechef med ansvar for compliance, sikkerhed og Udenrigsministeriets it-drift.

Timingen for jobskiftet faldt sammen med, at der i offentligheden blev sat fokus på it-sikkerheden hos den centrale it-styrelse.

Det skete, da Rigsrevisionen få dage inde i december udgav en rapport, som viste, at der kører flere hundrede servere hos Statens It, som er så gamle, at de ikke længere kan sikkerhedsopdateres.

Thomas Kristmar er ansvarlig for blandt andet sikkerhed hos Statens It, der for nyligt fik hård kritik for at have servere som ikke blev opdateret. Illustration: Statens IT.

Rapporten har skabt bekymring blandt it-eksperter, og senest er sagen landet på finansminister Nicolai Wammens (S) bord. Og det er da heller ikke til debat, at det er et problem, som kræver handling.

»Det er utilfredsstillende. Det behøver vi ikke diskutere,« siger Thomas Kristmar over en videoforbindelse.

På med bissen

Da rapporten så dagens lys, lød reaktionen fra de politisk udpegede statsrevisorer, at de sårbare servere stillede Statens It i en situation med »dårligere forudsætninger for at reagere hurtigt på cyberangreb og nye cybertrusler.«

Men hvordan kan det være, at Statens It med sine 600 ansatte er havnet i den situation i en tid, hvor truslen for it-angreb og ikke mindst cyberspionage er på sit højeste? 

Det er der to primære forklaringer på, forklarer områdechefen.

Den første handler om, at flere af serverne ikke har været en del af den almindelige patch-proces hos Statens It, fordi styrelsen har manglet viden om servernes type. Det problem omfattede 178 servere.

»Vi har nogle servere, som vi skulle trække data ud på manuelt. For at løse det problem, undersøger vi nu mulighederne for at lave automatiserede scanninger af serverne,« siger Thomas Kristmar, som forventer, at problemet med de 178 servere er løst inden april.

Den anden forklaring handler om ansvarsfordelingen mellem Statens it og de mange myndigheder, som it-styrelsen har som kunder.

For selvom den centrale it-styrelse har ansvaret for serverdriften, er det ofte kunderne selv, som har ansvaret for driften af de fagsystemer, som ligger på serverne. Men flere af fagsystemerne kan ikke køre på nyere servere, og det er ifølge Statens It det hovedårsagen til, at flere af de mange hundrede sårbare servere i staten ikke kan udskiftes.

»Der er servere, som vi har kontrol over i Statens It, og så er der servere, hvor der står i aftalerne, at det er kunderne, der skal bede os om at få det opdateret.«

»Teknisk set kan man godt bare tvangsopdatere alle de servere, som kunderne ejede, men i det sekund, hvor det skulle ske, er det ikke sikkert, at serverne vil virke,« siger Thomas Kristmar.

Den hårdknude pegede finansministeren også på, da han var kaldt i samråd om sagen. Thomas Kristmar så selv samrådet, og der hæftede han sig ved, at ministeren vil have Statens It til at »skrue bissen på« overfor kunderne.

Hvordan tolker du det?

»Det handler om, at man skal prøve at have en tættere kontakt til kunderne. Vi skal sige, “kære venner, nu skal I lige bede os om at få det her opdateret”,« siger han og tilføjer, at han af hensyn til sikkerheden ikke kan fortælle, hvilke kunder der er ramt af problemet med de sårbare servere.

»Hvis kunden siger “driv det”, så driver vi det«

I rapporten om de sårbare servere peger Rigsrevisionen på, at problemet har eksisteret i flere år.

Siden 2014 har Statens It nemlig ad flere omgange skrevet til myndighederne for at gøre opmærksom på risikoen ved at køre med servere, der ikke længere kan sikkerhedsopdateres.

I har advaret myndighederne om det her problem i op mod ti år. Det må da være frustrerende ikke at kunne komme videre fordi fagsystemerne har stået i vejen?

Thomas Kristmar tænker sig om i et par sekunder, inden han svarer.

»Statens It er sat i verden for at drifte statslig it. Statens It kan ikke sige nej til it. Hvis kunden kommer og siger “driv det”, så driver vi det. Det er ligesom det, der er dealen. Når et ministerium kommer over til os, så overtager vi også arv og gæld. Det er mekanismen. Det skal vi ikke klage over, det er et vilkår, « siger han og nævner, at overdragelsen af ansvaret for it-området sker på baggrund af en kongelig resolution.

Og det er de vilkår, der har skabt den hårdknude, hvor man må vælge mellem at have opdaterede servere eller fagsystemer, der kan køre?

»Det er da i hvert fald en bidragende faktor«, siger Thomas Kristmar og tilføjer:

»Nu er vi blevet bedt om at skrue bissen på, og det gør vi så,« 

Et forsvar i flere lag

Udover at skrue bissen på for at få kunderne til at opdatere deres servere, har finansministeren også bedt Statens It om at styrke it-sikkerheden på andre måder.

Blandt andet arbejder styrelsen med et projekt om mere filtrering af datatrafikken mellem serverne. Formålet er at isolere serverne fra hinanden og på den måde mindske risikoen for, at et hackerangreb spreder sig fra server til server. Den løsning skal stå klar ved udgangen af i år.

Hvordan har I tænkt jer at lave de her filtreringer?

»Jeg forstår interessen, men jeg kommer igen med det her rigtig kedelige sikkerhedskort. Jeg kan ikke kommentere på, præcis hvordan vi gør, og hvilke teknologier vi kommer til at bruge. Der er jo andre end jeres dygtige læsere, som gerne vil kigge med på, hvordan vi designer vores sikkerhed, så det kan jeg af sikkerhedsmæssige årsager ikke fortælle om,« siger Thomas Kristmar.

Den nye filtrering skal mindske risikoen for spredning af hackerangreb, men det har mødt kritik for ikke at være tilstrækkeligt. På LinkedIn har Martin Kofoed, direktør for cyber security division hos ITM8, påstået, at hans hackere kunne opnå domæneansvar på en formiddag.

Er det nok, at man filtrere data, hvis der allerede sidder russere eller kinesere inde i systemerne?

Thomas Kristmar ler.

»Jeg synes, at det er en noget frisk påstand at sige, at der allerede sidder russere og kinesere inde i systemerne. Den køber jeg ikke,« siger han, inden han fortsætter.

»Helt generelt kan man sige det på den her måde. Alle organisationer kan man selvfølgelig godt bryde ind i. Det er et spørgsmål om tid og penge. Det er et vilkår.«

Han tilføjer, at der er hackergrupper, som har oprettet afdelinger, som er dedikeret til at angribe statslige myndigheder, og at der derfor heller ikke er uden grund, at Center For Cybersikkerhed har understreget, at cybertruslen er høj i Danmark.

»Det er derfor, at vi arbejder med et udgangspunkt, som hedder forsvar i dybden. Ja, der er patching, segmentering af netværk, firewalls og IDS og IPS. Det har vi på plads. Og det er jo det, som sammen med de rette personer og processer gør forskellen,« siger han.

»Det er ikke for at forklejne vigtigheden af patching. Det er bare ikke kun den, der gør forskellen, og det er vi godt klar over.«

Thomas Kristmar har i over 20 år arbejdet med it-sikkerhed, både som afdelingschef i Center for Cybersikkerhed og som chefkonsulent i det daværende It- og Telestyrelsen. Som ung embedsmand var han dengang med til at tegne stregerne til det, der senere skulle blive det nuværende Statens It.

Inden han officielt tiltrådte som områdechef i december, har han de seneste år arbejdet som konsulent hos nogle af verdens største konsulenthuse samt i storbanken Nordea.

Den sikkerhed, som du ser nu hos Statens It, er den på et niveau, som den var hos Nordea?

»Jeg kan næsten ikke undgå at komme galt afsted med at svare på sådan et spørgsmål,« ler Thomas Kristmar.

»Hvis du spørger mig, om sikkerheden i Statens It er høj nok, så er svaret, at ja, det er den, for det er et område, der er meget vigtigt for os.«