Version2 Insight live bød i okt. 2013 velkommen til en debat om IT-sikkerhed.

1. Hackerangreb mod
Erhvervs- og
Vækstministeriet 2012
Søren Vulff, Vicedirektør, Statens It
30. november 2013
1

2. STATENS IT
• Etableret pr. 1. januar 2010 ved en fusion af seks it-fællesskaber i otte
ministerområder.
Hovedopgaver:
• Drive en effektiv it-understøttelse og sikre en høj og ensartet it-service på
tværs af staten. Hovedopgaverne omfatter drift, support, udvikling og
harmonisering af it i staten.
• Skabe fundamentet for digitalisering, harmonisere og standardisere systemer
og høste stordriftsfordele.
2
november 2013

3. STATENS IT I TAL
• Leverer it-drift til 9 ministerier og ca. 80 styrelser
• Servicerer 11.000 medarbejdere
• Håndterer 2.800 servere
• Driftsafvikler 1.600 fagsystemer
• Leverer infrastruktur til 50 kørende kundeprojekter
• Leverer netværks- og sikkerhedstjenester for tilsluttede kunder
• Modtager 6.500 henvendelser til servicedesk pr. måned
• Administrerer 35 outsourcingaftaler på vegne af vores kunder
• Håndterer softwareaftaler for tilsluttede kunder
• Beskæftiger 230 medarbejdere samlet på Frederiksberg
3
november 2013

4. KONSOLIDERING AF SERVERRUM
28 SERVERRUM  1 DATACENTER
4
november 2013

5. KONSOLIDERING AF SERVERE - FØR
5
november 2013

6. KONSOLIDERING AF SERVERE - EFTER
6
november 2013

7. STATENS IT-ARBEJDSPLADS
89 STANDARDER  1 STANDARD
Lokale applikationer
Bring Your Own Device (BYOD)
Virtualiserede applikationer
Ensartet, centraliseret udrulning af
OS og lokale applikationer
7
november 2013
Universel adgang til
applikationer og data i gCloud

8. 8
november 2013

9. HACKER ANGREBET
HVAD SKETE DER?
9
november 2013

10. US MYNDIGHEDER OPDAGER TRAFIK MELLEM
EN KENDT C&C SERVER OG DK
10
november 2013

11. GOVCERT KONTAKTER SØFARTSTYRELSEN
OG STATENS IT
11
november 2013

12. STATENS IT AKTIVERER BEREDSKAB
12
november 2013

13. STATENS IT MONITORERER SAMMEN MED
GOVCERT TRAFIKKEN
13
november 2013

14. FLERE C&C SERVERE BRINGES I SPIL AF
HACKERNE
14
november 2013

15. FLERE C&C SERVERE BRINGES I SPIL AF
HACKERNE
15
november 2013

16. STATENS IT LUKKER INTERNET FORBINDELSEN
TIL EVM OG FORETAGER ANALYSE/OPRYDNING
16
november 2013

17. HVAD VAR DET, DER SKETE?
• Vi ved ikke, hvem der stod bag, men alt tyder på en statssponsoreret
aktør.
• Vi ved ikke, om de fik fat i noget - og i så fald, hvad det var.
• Vi ved dog, at de ikke kom ind på nogen af de centrale systemer.
• Da vi fulgte dem via logs, kunne vi se, at de målrettet gik efter at finde
driftsdokumentation og systembeskrivelser.
• De arbejdede i dansk kontortid.
• Vi var klar til hele tiden at afbryde forbindelsen, hvis de nærmede sig
vitale systemer.
17
november 2013

18. 18
november 2013

19. HVAD LÆRTE VI?
• Ingen ved, hvor lang tid det kommer til at tage!
• Man har begrænset tid, så indsatsen skal være meget målrettet.
• Klar rollefordeling - ikke kun i forhold til det tekniske, men også i
forhold til beredskabsledelse og kommunikation, herunder håndtering
af presse.
• Vi blev hjulpet af, at vi var midt i en konsolidering og kunne meget
hurtigt prioritere at idriftsætte IPS-enheder (Intrusion Prevention
System) ift. Erhvervs- og Vækstministeriets netværk.
• Vi fik opbygget et meget frugtbart samarbejde sammen med andre
myndigheder i situationen.
19
november 2013

20. 20
november 2013

21. HVOR ER VI I DAG?
• Statens It er næsten færdige med serverrumskonsolidering
sikkerhedsniveauet er hævet betydeligt
• Statens It scanner internettrafik til og fra datacenteret samt blokerer for
skadelige websites
• Pc’er og servere er beskyttet af virusscannere
• Netværk er separeret gennem firewalls
• Der scannes for skadelige e-mails
• Center for Cybersikkerhed monitorerer trafik til og fra datacenteret
• Lokaladministratorer kan begrænses med kundernes accept
• De enkelte kunder er logisk adskilt i datacenteret
21
november 2013

22. STATENS IT'S DATACENTER
22
november 2013

23. SPØRGSMÅL
23
november 2013