Af Eskil Sørensen, 16/01/23
Albanske anklagere har anmodet om, at fem statslige it-medarbejdere bliver sat i husarrest for manglende opdatering af antivirussoftware på statslige computere. Det skrev onlinemediet Slate, der har en tilknytning til Amazon-konsortiet, i en længere artikel sidst på året.
De albanske it-medarbejdere er angiveligt anklaget for noget, som må svare til tjenesteforsømmelse, hvilket i Albanien ifølge Associated Press kan give op til syv års fængsel.
Iran angriber Albanien
Sagen vedrører en større cyberangreb, der ramte Albanien i juli. Angrebet havde den konsekvens, at mange af regeringens hjemmesider og onlinetjenester blev lagt ned, ligesom landets ’nationale agentur for informationssamfundet’ blevet tvunget til at lukke flere statslige computersystemer ned, indtil angrebene kunne neutraliseres. USA, Microsoft og Nato hjalp til, og det blev konkluderet, at Iran var skyld i angrebet. Det medførte, at Albanien afbrød de diplomatiske forbindelser med Iran og udviste alle diplomater fra den iranske ambassade. Et nyt cyberangreb mod Albaniens ’Total Information Management System’, der registrerer ind- og udrejse af landet, blev set, og atter fik Iran skylden.
Som Slate skriver, er det få statssponserede cyberangreb, der får så voldsom konsekvens på den diplomatiske front. Og hvorfor gik Iran overhovedet efter Albanien in the first place? Jo, fordi Albanien huser – angiveligt med økonomisk støtte fra USA – en større organisation af eksil-iranere, der fra Albanien forsøger at destabilisere Iran og ombringe styret i Teheran. Hvis man ikke vidste det i forvejen, så er cyberangreb vitteligt blevet et våben for nationalstater.
Husarrest
Det har foreløbig haft den konsekvens for it-medarbejdere på gulvet, at de er blevet sat i husarrest. Ifølge Slate hedder det fra anklagemyndigheden, at ’..hvis medarbejderne havde handlet i overensstemmelse med [juridiske retningslinjer] ... ved at anmode om oplysninger og opdatere med de nyeste antivirusser i systemet, så ville den virus, der først kom ind i administrationen, være blevet opdaget i systemerne hvorved det var muligt at neutralisere det.'
For en sikkerhedsmedarbejder i Danmark er det naturligvis interessant at se, hvad der fremgår af de nævnte juridiske retningslinjer. For kan man selv blive anklaget for tjenesteforsømmelse, hvis man undlader at opdatere sikkerhedssoftware? Konsekvensen har i al fald indtil videre været til at føle på med en anklage hængende over hovedet.
Ifølge en advisory fra det Department of Homeland Security fik angriberne adgang til de albanske computersystemer ved at udnytte en sårbarhed i Microsoft SharePoint, som først blev rapporteret i 2019. Sårbarheden blev rettet i 2019, men den indledende indtrængen sket angiveligt i maj 2021. Det vil sige, at der har været et år med en åben angrebsflade og et år for de relevante folk til at rette systemet.
Som Slates journalist skriver er det ’enestående usædvanligt’ at se ansatte – hvad enten de er statslige eller private – risikere fængsel for ikke at downloade softwareopdateringer rettidigt.
Ledelsens eller it-medarbejderens ansvar
I traditionel ISO27001-forstand vil det altid være den øverste ledelses ansvar, hvis der ikke er iværksat passende sikkerhedsforanstaltninger. I Danmark vil dette gælde for de statslige myndigheder, der - som de skal - har implementeret ISO27001 og for de private virksomheder, der fx følger bestyrelsesforeningens vejledninger. Seneste vejledning herfra anfører, at det er ansvarspådragende for øverste ledelse, dvs. bestyrelsen og bestyrelsesformanden personligt, hvis der ikke er iværksat de relevante foranstaltninger. Der kan næppe være tvivl om, at opdatering af systemer er en relevant foranstaltning, og at den vil være passende, hvis man befinder sig i et højrisikobetonet miljø.
Med NIS2-direktivet er der i al ingen tvivl om, at ledelsens handlinger og ikke-handlinger vil være ansvarspådragende.
Links:
https://slate.com/technology/2022/12/albania-cyberattack-iran-it-workers-arrested.html