50.000 finske statsansatte. EU-Kommissionens mobilinfrastruktur. Hollands datatilsyn og domstolsråd.
Alle ramt via det samme værktøj, der skulle have beskyttet deres telefoner.
Sikkerhedsværktøjet blev indgangen
Ivanti Endpoint Manager Mobile (EPMM) styrer mobiltelefoner og tablets i tusindvis af organisationer.
Det installerer apps, håndhæver sikkerhedspolitikker og kan fjernslette enheder. Det kræver internetadgang for at kommunikere med medarbejdernes telefoner.
Den 29. januar offentliggjorde Ivanti to kritiske sårbarheder.
Alvorlighedsgrad: 9,8 ud af 10. Ingen brugernavn. Ingen adgangskode. En enkelt forespørgsel fra internettet var nok til at overtage serveren.
Men angriberne var allerede inden for.
Datatilsynet måtte anmelde sig selv
I Holland bekræftede justitsministeren over for parlamentet, at datatilsynet og domstolsrådet var ramt. Medarbejdernavne, e-mails og telefonnumre var tilgået af uautoriserede.
Datatilsynet, myndigheden der uddeler GDPR-bøder for manglende databeskyttelse, måtte anmelde sit eget brud til sin egen databeskyttelsesrådgiver.
Det er ikke uden en vis ironi.
Årevis af data lå stadig tilgængeligt
I Finland afslørede den statslige IT-leverandør Valtori, at op til 50.000 statsansatte var berørt. Næsten to tredjedele af alle centralt ansatte.
Undersøgelsen viste, at systemet ikke havde slettet historiske data korrekt, men blot markeret dem som fjernet. Årevis af brugerdata lå stadig tilgængeligt for angriberne.
EU-Kommissionen opdagede bruddet den 30. januar via CERT-EU og inddæmmede det inden for ni timer. Det er hurtig reaktion. Men skaden var allerede sket.
Tredje gang på tre år
Det er tredje gang på tre år, at Ivanti EPMM rammes af zero-day-angreb.
I 2023 blev 12 norske ministerier kompromitteret via samme produkt.
I 2025 udnyttede kinesiske statsaktører nye sårbarheder mod sundhed, forsvar og telekom i Europa.
Shadowserver Foundation overvåger stadig over 1.200 eksponerede instanser globalt. Hollands NCSC sagde i mandags: “Alle organisationer, der bruger Ivanti EPMM, bør antage, at systemet allerede var kompromitteret, før patchen blev installeret.”
De fleste ved ikke, hvad de bruger
Styrelsen for Samfundssikkerhed vurderer cybertruslen mod Danmark som MEGET HØJ. Ifølge Dansk IT og Rambøll har 57% af danske offentlige instanser været ramt af cyberangreb det seneste år.
Og her er pointen: De fleste organisationer ved ikke, hvilket MDM-system deres IT-leverandør bruger til at styre deres telefoner.
Det er et værktøj med fuld kontrol over medarbejdernes enheder. Det kan installere software, læse data og slette alt. Og de fleste ledere aner ikke, hvad det hedder, eller hvornår det sidst blev opdateret.
Tre ting du bør gøre nu
Spørg jeres IT-leverandør, hvilken MDM-løsning der styrer jeres mobile enheder. Hvornår blev den sidst patchet? Hvornår blev den sidst auditeret? Hvis de ikke kan svare, er det et advarselstegn.
Kræv kontraktuel ret til orientering inden for timer. Hvis en leverandørs sikkerhedsværktøj med adgang til jeres enheder kompromitteres, skal I vide det med det samme. Ikke når de har fået styr på deres kommunikation.
Kortlæg alle systemer, der er tilgængelige fra internettet og har privilegeret adgang internt. MDM, VPN, firewalls, mail-gateways. Det er jeres reelle angrebsflade. Hvert enkelt af dem kan blive den næste Ivanti. Reducer dem til et absolut minimum.
Sikkerhedsværktøjer er også angrebsflader
Paradokset er tydeligt: De værktøjer, der skal beskytte jer, kan selv blive indgangen.
Et MDM-system har per definition fuld kontrol over alle mobile enheder. Hvis det kompromitteres, har angriberne samme kontrol. De kan læse mails, installere malware og fjernslette beviser.
Jo mere privilegeret adgang et system har, jo mere attraktivt er det som mål.
Få kortlagt jeres reelle angrebsflade
En teknisk sikkerhedsgennemgang identificerer alle systemer, der er eksponeret mod internettet og har privilegeret adgang til jeres infrastruktur. Inklusiv dem, jeres IT-leverandør har installeret.
Et leverandøraudit afslører, hvilke værktøjer jeres leverandører bruger til at administrere jeres systemer, og om de lever op til basale sikkerhedskrav.
Og en cybersikkerhedsaudit giver jer det samlede billede af jeres sikkerhedsposition, inklusiv de blinde vinkler, hvor sikkerhedsværktøjer selv bliver til risici.
Hollands datatilsyn måtte anmelde sig selv. Ved du, hvilket MDM-system der styrer jeres telefoner?
Har du brug for at kortlægge jeres angrebsflade? Kontakt Nielco IT på telefon 70 13 63 23 eller via kontaktformularen.
