Nye krav til cybersikkerhed i staten - få et overblik her

De tekniske sikkerhedskrav følger af en regeringsbeslutning taget som led i den Nationale Strategi For Cyber og Informationssikkerhed 2018-2021 (initiativ 1.2). 

Formålet er ifølge pressemeddelelsen om de nye sikkerhedskrav at "beskytte statslige it-arbejdspladser, herunder arbejdsnetværk og arbejdsstationer, mod ondsindede cyber- og informationssikkerhedshændelser som fx hackerangreb og spredning af malware."

Alle statslige myndigheder skal som udgangspunkt efterleve kravene. Kommunerne er derimod ikke underlagt samme krav. Såfremt en myndighed undtagelsesvis ikke efterlever et eller flere af kravene, skal den pågældende myndighed kunne redegøre for årsagen og angive, hvornår myndigheden forventes at have implementeret kravene ud fra 'Følg eller forklar'-princippet.

På sikkerdigital.dk¹ anføres det, at størstedelen af kravene allerede følger af eksisterende vejledninger og anbefalinger fra Center for Cybersikkerhed, Digitaliseringsstyrelsen og Datatilsynet, mens de øvrige krav er udtryk for 'best practice'. De fleste myndigheder vil derfor allerede helt eller delvist opfylde flere af kravene.

På hjemmesiden er det endvidere anført, at kravene "ikke er obligatoriske for gæstenetværk eller eksternt rettede systemer, som drives af den offentlige myndighed med ikke-statslige brugere som primær målgruppe. Dog er der visse krav til hjemmesider og mail-kommunikation, som har til formål at sikre borgere, virksomheder og myndigheder mod fx phishing, kompromittering af oplysninger og man-in-the-middle angreb."

Minimumskrav og egne risikovurderinger

Da kravene er 'minimumskrav', er myndighederne forsat forpligtet til at foretage egne risikovurderinger og implementere yderligere sikkerhedsforanstaltninger i det omfang, de vurderer det er nødvendigt og relevant.

Minimumskravene vil være både tekniske og organisatoriske, hvilket konkret betyder, at myndighederne, blandt andet, skal forbedre deres arbejde med risikobaseret informationssikkerhedsledelse samt handlingsplaner for håndtering og udvikling af myndighedernes IT-portefølje.

Praktisk talt vil myndighederne derfor skulle leve op til en række konkrete tekniske minimumskrav, og derudover skulle kunne dokumentere, at de aktivt har taget stilling til relevante vejledningsprodukter samt vurderet behovet for ny teknologi til beskyttelse mod sikkerhedsbrud.

Det vil derfor som udgangspunkt bero på myndighedernes risikovurderinger, hvorvidt der er et egentlig behov for eventuel udskiftning i IT-porteføljen eller omstrukturering af deres organisation. Minimumskravene omfatter typer af teknologi, der betragtes som egentlige standarder og derfor obligatoriske, men for visse typer af teknologi såsom beskyttelse mod skadelige hjemmesider, vil myndigheden have valgfrihed.

De fleste krav skal være implementeret senest den 1. januar 2020, mens enkelte krav først skal være implementeret den 1. juli 2020.

Kravene skal være implementeret i alle relevante systemer (både nye og gamle).

Dette skal implementeres senest 1. januar 2020

Klienter/PC'er

• Der skal implementeres firewall på alle klienter, der sikrer mod utilsigtet adgang til arbejdsstationer. Kravet følger af best practice.
• Medarbejdere, der på deres arbejdscomputer tilgår internettet fra eksterne netværk, skal altid benytte en VPN-forbindelse, hvilket sikrer den fornødne dataintegritet og fortrolighed samt modvirker man-in-the-middle-angreb. Kravet følger af en vejledning fra Center fra Cybersikkerhed.
• Alle harddiske skal være krypterede for at undgå kompromittering af data i forbindelse med tab eller tyveri af computere. Kravet følger af en vejledning fra Center fra Cybersikkerhed.
• Der skal implementeres end-point beskyttelse (i.e. beskyttelse af computere) mod virus, malware og lign. med automatisk opdatering. Kravet betyder, at der skal installeres et 'end-point protection programme' i det omfang dette ikke allerede er gjort. Kravet følger af en vejledning fra Center fra Cybersikkerhed.
• Al software skal opdateres regelmæssigt. Kravet følger af vejledninger fra Center fra Cybersikkerhed og Digitaliseringsstyrelsen.
• Alle operativsystemer skal som minimum være supporteret med regelmæssige sikkerhedsopdateringer og være så nye som muligt. Kravet følger af vejledninger fra Center fra Cybersikkerhed og Digitaliseringsstyrelsen.

Mails

• Staten må kun anvende mail-relays med autentifikation godkendt af myndigheden. Dette betyder, at mails sendt til og fra myndighederne ikke vil blive dirigeret videre uden at have været autentificeret af mailserveren. Kravet følger af best practice.
• Al mailkommunikation skal som udgangspunkt være krypteret ved anvendelse af som minimum TLS 1.2 (Transport Layer Security; en protokol der krypterer indholdet af en e-mail). Ved mailkorrespondance mellem statslige myndigheder, stilles der krav om tvungen TLS, mens øvrig mailkorrespondance skal være TLS krypteret i det omfang, modtageren understøtter det. Kravet følger af Datatilsynets krav om, at alle offentlige (og private) organisationer skal kryptere e-mails, der indeholder fortrolige og/eller følsomme personoplysninger.
• Webmail må kun anvendes uden for myndighedens lokale netværk ved brug af en direkte VPN-forbindelse med 2FA (Two-factor authentification (på dansk: to-faktor autentificering); en sikkerhedsproces, hvor brugerens adgang til anvendelsen af det lokale netværk vil være beskyttet af noget man ved (eksempelvis et kodeord) og en kode fra noget man har (eksempelvis et adgangskort). Kravet skal forhindre adgang til myndighedernes e-mail ved tilslutning på usikre netværk og følger af en vejledning fra Center fra Cybersikkerhed.

Mobiltelefoner

• Alle mobiltelefoner skal anvende numeriske adgangskoder på minimum 6 cifre eller biometrisk identifikation. Kravet følger af en vejledning fra Center fra Cybersikkerhed.
• Mobiltelefonernes software (operativsystem og apps) skal opdateres regelmæssigt og lige så snart, leverandøren udgiver opdateringer. Kravet følger af en vejledning fra Center fra Cybersikkerhed.

Netværk

• WIFI-netværk skal være krypteret med som minimum WPA2 (WIFI Protected Access 2; en metode hvorpå et netværk sikres). Kravet følger af best practice.
• Der skal ske logning af alle systemer og tjenester på netværksservere. Kravet følger af en vejledning fra Center fra Cybersikkerhed.

Hjemmesider

• DNSSEC (Domain Name System Security Extensions) skal tilknyttes alle domænenavne, der tilhører myndighederne. Kravet følger af best practice.
• Myndighederne skal anvende en sikker DNS-tjeneste (DNS står for Domain Name System) eller anden tilsvarende løsning, der beskytter mod skadelige hjemmesider. Kravet følger af best practice.
• Al kommunikation (trafik til og fra hjemmesider) skal krypteres med TLS 1.2. Kravet følger af best practice.
• Al serversoftware på webservere skal regelmæssigt opdateres. Kravet følger af best practice.

Dette skal implementeres senest 1. juli 2020

Klienter/PC'er

• Kun medarbejdere med et dokumenteret forretningsmæssigt behov skal have administrative rettigheder. Kravet følger af en vejledning fra Center fra Cybersikkerhed.

Mails

• DMARC REJECT policy (et valideringssystem designet til at forhindre email-spoofing, hvor en afsender udgiver sig for at være en anden) skal være implementeret på domæner, der tilhører statslige myndigheder. Kravet følger af en vejledning fra Center fra Cybersikkerhed.
  Hjemmesider
• Der må ikke anvendes Adobes "Flash" på statslige hjemmesider idet Flash har end of life i 2020. Kravet følger af best practice.  

^{1) Sikkerdigital.dk er en hjemmeside, hvor borgere, virksomheder og myndigheder kan finde viden, vejledninger og konkrete værktøjer til at sikre en mere sikker digital hverdag. Formålet med hjemmesiden er at skabe en platform, der kan højne kendskabet til cybertruslerne og hvordan truslerne kan imødegås.}