Avis: Politiet fik aldrig adgang til hackede CSC-systemer

Illustration: Virrage Images/Bigstock
Det er CSC og ikke politiet, der har indsamlet beviser fra de hackede it-systemer hos CSC i den store hackersag.

Hverken politiets efterforskere eller forsvarets it-specialister har haft adgang til gerningsstedet i danmarkshistoriens største hackersag. Det kan Politiken fortælle.

Ifølge avisens oplysninger har hverken Københavns Politi, Rigspolitiet, PET eller Center for Cybersikkerhed på noget tidspunkt haft fysisk adgang til de it-systemer, som blev hacket gennem fem måneder.

Myndighederne har i stedet baseret de tekniske undersøgelser og den strafferetlige efterforskning på oplysninger leveret af CSC og et svensk sikkerhedsfirma, som CSC har betalt for at lave en skadesrapport.

It-sikkerhedsmanden Peter Kruse fra firmaet CSIS er overrasket over oplysningerne og kalder det over for Politiken for 'helt almindelig praksis' i hackersager, at undersøgerne får adgang til it-systemerne for selv at sikre bevismaterialet. Han sammenligner med, at politiet skal have adgang til gerningsstedet i en mordsag for at samle dna og andre spor.

»Denne oplysning spiller ind på hele sagen, og det er meget risikabelt, at man fra politiets side ikke har insisteret på at få adgang til CSC’s systemer. Hvis man har den angrebne part til at undersøge sig selv, så kan den part undlade at udlevere detaljer og vigtige oplysninger af frygt for at fremstå som en, der har negligeret sikkerheden«, siger Peter Kruse.

Professor i strafferet Jørn Vestergaard fra Københavns Universitet vurderer, at oplysningerne om, at CSC selv har stået for bevisindsamlingen, kan svække anklagerens sag, hvor blandt andet en 21-årig dansker sidder på anklagebænken.

»Politiet har ansvar for efterforskningen, og dette kan man ikke overlade til andre. Politiet kan godt trække på ekstern sagkundskab, men så skal der opstilles et efterforskningstema, og undersøgelsen skal tilrettelægges under politiets ledelse og instruktioner. Anklagemyndigheden står dårligt, hvis politiet ikke har levet op til sit ansvar efter retsplejeloven,« siger Jørn Vestergaard til Politiken.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gunner Olesen

I forbindelse med CSC hacker sagen og Se&Hør sagen oplever vi sikkerhedsmæssige svigt hos selskaber hvortil it-opgaver er outsourcet.
Og nu hører vi i CSC sagen at CSCs sikkerhedssetup ikke er kontrolleret. I finanssektoren anvendes et stort antal ZOS systemer, og jeg har da oplevet finanstilsynet gennemgå systemopsætning, både for at verificere at bankhemmeligheden ikke bliver brudt, og for at sikre at kundernes penge og data er forsvarligt sikrede.
Og både KPMGC Jespersen og finanstilsynet har da i tidens løb påpeget flere svagheder i de anvendte opsætninger og foranlediget dem rettet hos nogle af de involverede datacentraler.
Så svært er det altså heller ikke. Når nogen kan finde ud af opsætningen, er der vel også nogen, der kan finde ud af at kontrollere den.
Udlicitering af offentlige og halvoffentlige systemer bør ledsages af enten statslig eller revisionsmæssig kontrol. I Se&Hør sagen foreligger der manglende funktionsadskillelse, sammen med driftsansvaret er der åbenbart åbnet for systemmæssig adgang i forbindelse med driften. Et klart brud på mantraet funktionsadskillelse. Hos CSC mangler der åbenbart totalt kontrol med, at den foretagne opsætning er betryggende. Vi kan ikke som borgere være tjent med sådan sløset omgang med vores data.
I CSC sagen er der ingen tvivl om, at det IKKE er en sårbarhed i ZOS systemet, der er udnyttet, med en åbning af adgangsveje som nogen i organisationen har bedt sikkerhedsadministrationen om at gennemføre. Selv om anklageren hævder, at det ikke påvirker det kriminelle aspekt, så mener jeg at vi som borgere har krav at de systemer, det offentlige bruger både kan kontrolleres og bliver kontrolleret for en betryggende opsætning, at en uvildig instans, hvad enten der er Center for Cybersikkerhed eller en statsautoriseret revisor.
Og jeg synes vi skal være taknemmelige for at nogle hackere har påvist den fejlagtige opsætning og den manglende kontrol.

  • 12
  • 0
Frank Allan Rasmussen

Har politiet nogle IT-folk ansat med z/OS komperancer?

Næppe - politiet arbejder primært med windows, linux, apple og lignende systemer der skal sikres ifm. at indsamle beviser for svindel, hacking og den evigt populære sigtelse når der skal strammes op på lovgivning - børneporno.

Kast dem ind på en z/OS, en OS/2000 eller noget anden 'eksositisk' OS så er de nok på herrens mark. Og har derfor ikke anden alternativ end at bede ofret om hjælp eller betale nogle konsulenter for det. Og det er ikke sikkert at ofret har lyst til at have konsulenter rendende og rode i deres snavnede vasketøj.

  • 4
  • 1
Christian Nobel

.. eller bedre, lad os få landbetjenten tilbage, og mere præventivt politi på gaden, og så nedlæg opklaringsafdelingerne, da det jo åbenbart er nok med postulater fra den der føler sig krænket.

Det åbner vel også helt nye perspektiver i forbindelse med forsikringssvig - hvis mit hus i dag bliver rippet og vandaliseret, så accepterer forsikringsselskabet ikke uden en politirapport, og hvis det er en sag til et stort beløb, hvor jeg oven i købet påstår at jeg ved hvem der er forbryderen, så skal politiet nok foretage noget efterforskning på åstedet.

Men den slags smålige hensyn tager man ikke når der er tale om CSC.

Som jeg ser det, med fremkomsten af denne oplysning, og det at man har forsøgt at holde det hemmeligt, så bør farcen på Frederiksberg indstilles omgående, da der er tale om en direkte kulpøs handling fra politiets side.

Det tragiske er, at den totale mangel på rettidige omhu fra både politiets og CSC's side gør at ingen reelt ved hvilken skade der er sket, hvordan det er sket, og hvem der er bagmændene.

  • 16
  • 0
Henrik Svendsen

Manglende kompetencer fritager dem ikke for at håndterer beviser korrekt.
hvis de ikke selv har kompetencerne, står det dem frit for at hyre eksterne resourcer ind til at hjælpe med dette.
Der findes en del forensic eksperter derude, og garanteret også nogle med Mainframe ekspertise.

  • 16
  • 0
Gunner Olesen

I ZOS systemet foretages logning af opdateringer af sikkerhedssystemet, så medmindre disse logs er blevet slettet (SMF-log), vil systemets sikkerhedsmæssige opsætning de nævnte datoer kunne rekonstrueres. Disse logs vil normalt blive bevaret i mindst 5 år, så det er bestemt muligt (hvis nogen vil) at afklare de historiske sikkerhedsmæssige brist.

  • 5
  • 0
Jacob Pind

Har de iheletaget sikkert sig kopi af alt fra CSC maskinerne, dokumentation af arbjedes gange m.m , eller har man overladt til det csc at skulle komme med det, den dag der skal tag stillige til om der er handlet groft uforsvarligt fra deres side.

Må jo være dokumentet et sted havd de har bugt timer til
,

  • 3
  • 0
Gunner Olesen

Af brevet fra rigspolitiet til datatilsynet som tidligere er bragt i Version2 indikeres adskillige svigt hos CSC. "Ny Password politik" indikerer at tidligere politik ikke har været god. Det kan dreje sig om den hyppighed hvormed der skiftes password, kravene til password, brug af fællesbrugere til forespørgselsadgang etc.
Forhold som allerede for 20 år siden var kritisable.
"FTP flyttes fra mainframe" indikerer at FTP af filer har været tilladt - f.eks unloadede databaser.
"Whitelisting af IP forbindelser" tyder på de gode råd f.eks. http://enterprisesystemsmedia.com/article/mainframe-security-securing-tc...
ikke har været indført.
"Checksummer på autoriserede biblioteker" hører til de rode råd fra starten af 1990-erne.
Så jeg synes nok, at CSC synder hører hjemme i retssagen, og finder det forkastelig af CSC anlægger erstatningssag, fordi de har undladt at opføre sig ansvarlig.

  • 6
  • 0
Ebbe Hansen

Ville jeg nok overveje om "beviserne" fra CSC overhovedet skal anerkendes. For CSC er jo part i sagen med en selvstændig interesse i sagens udfald. Ikke mindst i lyset af deres forsøg på at rejse krav om erstatning.
Jeg siger ikke noget om skyld eller uskyld, kun at de vigtigste beviser stammer fra en kilde, der imho ikke kan forventes at have rent mel i posen.

  • 5
  • 0
Kristian Sørensen

Er det virkeligt rigtigt at to mænd har siddet varetægtsfængslet i tæt på et år, alene på grundlag af påstande fremført af et udenlandsk firma, uden at politiet ved egne undersøgelser har kontrolleret påstandene?

Hvorfor har domstolen accepteret at tage sagen, når politiet ikke har indsamlet beviser?

Hvorfor har domstolene accepteret politiets krav om varetægtsfængsling, når politiet ikke har indsamlet beviser?

  • 6
  • 0
Log ind eller Opret konto for at kommentere