Avis: CSC og politiet ignorerede advarsler om hackerangreb

Illustration: Virrage Images/Bigstock
Hackerangrebet mod politiets registre hos CSC kunne være blevet opdaget langt tidligere, end tilfældet var. Men hverken Rigspolitiet eller CSC reagerede på en revisionsrapport, der dokumenterede sårbarheder i 2012.

Danmarkshistoriens største hackerangreb på CSC i 2012 kunne være blevet opdaget og endda delvis afværget, lyder det nu fra Politiken.

Det kunne det, hvis altså Rigspolitiet og CSC havde reageret på en meget kritisk revisionsrapport fra selskabet Deloitte fra 2012, som avisen har fået aktindsigt i.

Det gjorde de bare ikke, og det får nu flere eksperter til kritisere både politiet og CSC voldsomt.

Læs også: Dokumentation: CSC overså kritiske opdateringer til politiets mainframe i tre måneder

Rapporten blev bestilt af CSC, og da den endelig forelå, viste det sig nemlig allerede, at hackerne var fuldt i gang med at suge oplysninger ud af CSC’s systemer og kopiere fortrolige oplysninger fra blandt andet kørekort- og kriminalregistret.

Ifølge avisen hev hackerne i løbet af en periode på mindst fire og en halv måned fire millioner danske kørekortnumre ud af systemet. Alligevel blev angrebet først opdaget flere måneder senere.

Først ni måneder efter, at rapporten forelå i marts 2013, reagerede Rigspolitiet og CSC efter et tip fra svensk politi.

Læs også: CSC-hacking: Hemmelig rapport afslører alvorlige sikkerhedssvigt hos CSC

Læs også: Politiet ventede halvanden måned med at undersøge CSC-hacking

Oplysningerne er meget belastende for de involverede parter, mener flere eksperter.

»Revisionsrapporten er en rygende pistol i forhold til den elendige it-sikkerhed, som gjorde hackerangrebet muligt. Der sker simpelthen det, at Deloitte sender et stykke papir og fortæller CSC og Rigspolitiet, at de står med et helt hus, hvor døre og vinduer står åbne. På samme tidspunkt render de ubudne gæster rundt og tager, hvad de vil have i huset. Men CSC og Rigspolitiet reagerer ikke,« siger Peter Kruse, direktør i sikkerhedsfirmaet CSIS.

Ifølge Politiken oplistede Deloitte i 2012 syv konkrete sikkerhedsbrister, hvor der under nogle af punkterne har været tale om, at sikkerhedshullerne var lukkede, som Deloitte formulerer det.

Rigspolitiets it-direktør, Michael Steen Hansen, har ikke ønsket at lade sig interviewe af Politiken, men han medgiver i en mail over for avisen, at der ikke blev foretaget en sådan konsekvensanalyse.

»Det var ikke fast praksis i branchen at gennemføre en omfattende undersøgelse af, om nogen har udnyttet svaghederne, medmindre der konkret er noget, der giver mistanke om det. På daværende tidspunkt var der intet, der indikerede, at CSC’s systemer havde været udsat for et hackerangreb,« skriver han til Politiken.

Endelig oplyser CSC ifølge avisen, at selskabet ikke kunnet have gjort noget som helst ved angrebet, fordi det dengang udnyttede en hidtil ukendt sårbarhed.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Kristian Larsen

Jeg har svært ved at se hvordan rigspolitiet kan gemme sig bag kotyme - det er trods alt et andet risikobillede der er når folk får adgang til politiet's systemer end hvis man får adgang til ERP systemet for en chokoladefabrik... Det er et spørgsmål om at man fra ledelsen i rigspolitiet har taget en beslutning om ikke at bruge penge på sikkerhed og alle de gange det er blevet foreslået har sagt nej. Både medarbejdere og CSC har givetvis foreslået en række sikkerhedstiltag og forskellige revisions rapporter, som den i artiklen, er sikkert også blevet ignoreret. Den eneste måde at komme denne slags til livs er at ledelsen mærker det har konsekvenser når sikkerheden bliver brudt, for så vil den også prioritere det. Indtil videre har det bare været en dum og dyr forsikring som man ikke forstår - og det er åbenbart fuldstændig konsekvensløst at fravælge den, så hvilken leder ville ikke gøre det?

  • 10
  • 0
#2 Finn Aarup Nielsen

"... da det blev udført gennem en dengang ukendt it-sårbarhed"

Med nuldagsangreb kan jeg ikke se at specifikke konsekvensanalyser af kendte sårbarheder hjælper særligt, med mindre der er generelle aspekter i dem som er relevant. Nuldagsangreb er noget med bedre monitorering (intrusion detection) og adskillelse af data.

  • 0
  • 0
#3 Michael Weber

»Det var ikke fast praksis i branchen at gennemføre en omfattende undersøgelse af, om nogen har udnyttet svaghederne, medmindre der konkret er noget, der giver mistanke om det. På daværende tidspunkt var der intet, der indikerede, at CSC’s systemer havde været udsat for et hackerangreb,« skriver han til Politiken.

Assumption is the mother of all fuck ups.

Man skal jo ikke antage, at intet er galt, men tværtimod antage at systemet faktisk bliver misbrugt.

  • 3
  • 0
#4 Deleted User

Enig med Kristian larsen. Det er vist snart nødvendigt at myndigheder kan gøres ansvarlige. som kristian nævner er incitamentet nok økonomi og så må sanktionen også være økonomisk. Jeg kunne foreslå objektiv ansvars erstatning på minimum 1000KR pr person exponering, så ville det være billigere at satse på optimal sikkerhed.

  • 3
  • 0
#6 Christian Nobel

På daværende tidspunkt var der intet, der indikerede, at CSC’s systemer havde været udsat for et hackerangreb

Den udtalelse burde omgående medføre en fyreseddel.

Det drejer sig ikke om hvorvidt der har været (datid) foretaget et angreb, men om at man aktivt arbejder for at forhindre (altså proaktivt) et angreb.

Tænk hvis brandvæsnet havde samme holdning:

Nej da, der er ikke installeret brandslukningsudstyr og røgalarmer i bygningen, for den er jo ikke brændt endnu.

  • 5
  • 0
Log ind eller Opret konto for at kommentere