CFCS efter CSC-angreb: Sådan sikrer du din mainframe

Efter hackerangrebet mod CSC, der kompromitterede adskillige danskeres personoplysninger, udgiver Center for Cybersikkerhed nu en manual til sikring af mainframes.

Som direkte konsekvens af hacker-sagen, hvor CSC's systemer blev kompromitteret, udgiver Center for Cybersikkerhed (CFCS) nu en vejledning til sikring af mainframes (PDF). Det var CSC's mainframe, som i 2012 blev udsat for hackerangreb, som gav adgang til fortrolige oplysninger i blandt andet politiets kørekortregister.

Mainframe-vejledningen indeholder viden, som CFCS, der hører under Forsvarets Efterretningstjeneste, har opsamlet i forbindelse med CSC-sagen.

»Den konkrete baggrund er CSC-sagen. I samarbejde med en række eksperter genererede vi viden om sikkerheden i mainframe-installationer. Den viden vil vi gerne bringe videre i en mere destilleret form i forhold til det, vi har skrevet i CSC-rapporterne, som jo ikke er fuldt offentligt tilgængelige,« siger chef for CFCS Thomas Lund-Sørensen.

Af den nye mainframe-vejledning fremgår det blandt andet, at CFCS anbefaler, 'at mainframe-ejerne sikrer og fastholder en ufravigelig change-procedure for alle elementer af z/OS-operativsystemer'.

Under et andet punkt anbefaler CFCS, 'at mainframe-ejerene overvejer nedlukning og eller flytning af primære internetvendte webservere og internetvendte applikationsløsninger under både USS og z/OS til rene og isolerede platforme, eksempelvis en decentral Linux-platform.'

Målgruppen

Vejledningen er holdt på et overordnet niveau, og Thomas Lund-Sørensen fortæller, at den godt kan indeholde forslag til sikkerhedsforbedringer, som CSC faktisk havde implementeret, men som CFCS mener, er så vigtige, at andre kan få gavn af det.

Så selvom vejledningen udspringer af CSC-sagen, skulle den ikke kunne læses som en en-til-en-gengivelse af, hvor sikkerheden hos CSC haltede.

Thomas Lund-Sørensen forventer ikke, at målgruppen for vejledningen vil få en decideret aha-oplevelse. Men måske kan de alligevel få glæde af den som en slags checkliste.

»Vi håber, alle dem, der arbejder med mainframes i det daglige er klar over de forskellige sikkerhedsvinkler, som vi blandt andet uddrog af CSC-sagen. Men for en sikkerheds skyld, vil vi godt sende det ud.«

Målgruppen, som vejledningen fra CFCS henvender sig til, beskriver Thomas Lund-Sørensen, som en mindre, men interessant gruppe af organisationer, som behandler rigtigt mange data.

»Det er jo klart, der er ikke så mange folk, der arbejder med mainframes. Men der er alligevel en del af de lidt større virksomheder, som kører mainframes. Og der er også en lille håndfuld udbydere af mainframe-løsninger her i Danmark,« siger Thomas Lund-Sørensen og tilføjer:

»Det er særligt i finanssektoren, man bruger mainframe. Også inden for det offentlige, hvor der er store datakørsler, bliver det anvendt en del.«

Flere vejledninger

Mainframe-vejledningen udmærker sig ved at være en af de relativt få konkrete sikkerhedsanbefalinger, CFCS har sendt ud i det offentlige rum, siden centeret blev oprettet i 2012. CFCS har dog planer om at skrue op for vejlednings-frekvensen.

»Vi har en plan i forhold til at styrke vores offentlige profil på vejledningssiden, men det bliver med udgangspunkt i det, vi ved noget om fra vores daglige arbejde,« siger Thomas Lund-Sørensen.

CFCS laver i dag vejledninger til myndigheder og private virksomheder der ikke umiddelbart er offentligt tilgængelige. Og det kan eksempelvis være den slags, som CFCS fremover vil offentliggøre i det, Thomas Lund-Sørensen kalder tilpassede udgaver.

»Anbefalingerne vil være relateret til vores daglige arbejde med forskellige sager. Derfor vil det vil sjældent være noget, man lige så godt kan få fra en privat virksomhed,« siger han.

I forhold til mainframe-anbefalingen, så opfordrer Thomas Lund-Sørensen - også Version2's læsere - til at komme med feedback.

»Det er ikke en udtømmende liste, og vi vil rigtigt gerne have feedback på anbefalingerne, hvis der er nogen, der har bemærkninger til dem.«

Vejledningen kan ses her som PDF.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Søren Pilgård

Man skulle tro at de få mastodonter der stadig brugte mainframes havde styr på at bruge mainframes. En ting er selvudlærte webudviklere der laver hullede hjemmesider osv., men man skulle tro at man sikrede sig at de udviklere der har ansvaret for de ret så komplicerede mainframes havde styr på det.

At de så ikke har det, og at firmaer som CSC tydeligvis ikke har styr på mainframes tror jeg ikke kan fikses med en firesiders pamflet.

  • 2
  • 0
Log ind eller Opret konto for at kommentere