Ups! Folketing, ministerier og efterretningstjenester misser deadline for krav til it-sikkerhed

Krav om DNSSEC trådte i kraft ved årsskiftet. Men teknologien er ikke implementeret på en lang række centrale offentlige myndigheders websites.

Året starter ikke så godt for en del ministerier og myndigheder.

Fra 1. januar i år skal statslige myndigheder leve op til en stribe konkrete sikkerhedskrav. Til juli skal yderligere krav efterleves.

Det er vedtaget som led i den nationale strategi for cyber- og informationssikkerhed.

Hvad er DNSSEC? DNSSEC er en sikkerhedsservice, som findes i DNS. Servicen er udviklet for at forhindre hackere i at ændre i navneserverprocessen og overtage kontrollen med et domænenavn.

DNSSEC kan også forklares som en række signerede koder på hvert trin i DNS-processen, fra rodserver til domænenavnets IP-adresse, der bliver sat data på for at sikre, at de er valide. Det er ikke en teknologi, der krypterer data, men DNSSEC kan afsløre, om den adresse, du besøger, er gyldig.

Ved at vælge DNSSEC på dit domænenavn kan du være sikker på, at den rigtige side bliver vist, når der bliver linket direkte til din hjemmeside, og når den direkte URL bliver brugt. Det sikrer dig, din virksomhed og beskytter de besøgende.

Kilde: DK Hostmaster

De 20 krav, som fremsættes, har til formål at »beskytte statslige it-arbejdspladser, herunder arbejdsnetværk og arbejdsstationer, mod ondsindede cyber- og informationssikkerhedshændelser som fx hackerangreb og spredning af malware,« oplyste Center for Cybersikkerhed og Digitaliseringsstyrelsen i en fælles meddelelse i oktober.

Ekstra sikkerhedsservice

Kravene er oplistet på hjemmesiden Sikkerdigital.dk, som Digitaliseringsstyrelsen og Erhvervsstyrelsen står bag, sammen med en række andre samarbejdspartnere.

Disse partnere er blandt andet Center for Cybersikkerhed og Datatilsynet.

Her står der om DNSSEC:

»DNSSEC skal tilknyttes alle domænenavne tilhørende myndigheden. DNSSEC er en ekstra sikkerhedsservice, man kan tilknytte sit domænenavn. Med DNSSEC kan man være sikker på, at den rigtige side bliver vist, når der bliver linket til ens hjemmeside, og når den direkte URL-adresse bliver brugt. Klienter kan dermed kryptografisk stole på, at de tilgår det rette domæne. Skal være implementeret den: 1. januar 2020.«

Kan løses med et klik på en knap

Men en lang række offentlige myndigheder har misset denne deadline. Det gælder for:

Justitsministeriet

Forsvarsministeriet

Rigsrevisionen

Center for Cybersikkerhed

Forsvarets efterretningstjeneste

Politiets efterretningstjeneste

Folketinget

Det oplyser Henrik Schack, som står bag sitet status.dmarc.dk, der er en overbliksside i forhold til, hvordan det står til med DMARC-implementeringen i en række danske organisationer.

Ifølge Henrik Schack kan det ofte være så simpelt som at klikke på en knap i en webkonsol for at aktivere DNSSEC-teknologien.

På sitet dnssec-analyzer.verisignlabs.com kan man teste, om et domæne er omfattet af DNSSEC.

Version2 følger op på sagen.