CSC-hackere angreb også CPR-register – trods CSC's melding om det modsatte

18. november 2013 kl. 06:2911
CSC beroligede Indenrigsministeret med, at hackingen af politiets it-systemer ikke var en trussel mod CPR-registret. Men efterforskningen viser noget andet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det var muligvis rent held, at personerne bag hackingen af politiets it-systemer på CSC's mainframe ikke også fik fuld adgang til den komplette database over danskernes CPR-numre.

Det viser dokumenter, som Version2 har fået aktindsigt i.

I et brev til Indenrigsministeriets CPR-kontor dateret 6. juni 2013 skriver CSC således om den sårbarhed, som hackerne udnyttede:

»Sårbarheden kunne have medført adgang til CPR-registrets data. Imidlertid har CSC i tæt samarbejde med Rigspolitiets it-afdeling støttet politiets efterforskning og undersøgt alle dele af den berørte mainframe. Dette arbejde har ikke resulteret i nogen indikation af, at CPR-registeret skulle have været berørt eller truet af det oplevede angreb af CSC's mainframe.«

Artiklen fortsætter efter annoncen

Version2 erfarer, at brevet er sendt, fordi Indenrigsministeriet afkrævede en reaktion fra CSC, efter at politiet den 5. juni offentliggjorde anholdelsen af en dansker sigtet for hacking af den selvsamme CSC-mainframe, som CPR-registret ligger på.

Men formuleringen i brevet om, at CPR-registret ikke har været truet af angrebet på politiets it-systemer, stemmer dårligt overens med en formulering fra et andet dokument, Version2 har fået aktindsigt i, nemlig politiets egen redegørelse til Datatilsynet om hackerangrebet.

Her fremgår det, at hackerne forsøgte at bruge den tiltvungne adgang til politiets systemer til at skaffe sig adgang til andre systemer på CSC's mainframe.

»De hidtidige undersøgelser viser endvidere, at der den 8. april 2012 var aktivitet mod CPR-registrets miljø på mainframen fra politiets miljø på mainframen. De hidtidige undersøgelser viser dog ingen tegn på aktivitet mod CPR-registrets miljø efter dette tidspunkt.«

Artiklen fortsætter efter annoncen

Version2 har forelagt CSC de to forskellige udlægninger af forløbet:

»Vi har svært ved at kommentere rapporten fra politiet, men vi fastholder den beskrivelse og forklaring, der fremgår af vores brev til CPR-kontoret,« skriver CSC's pressechef, Kim E. Møller, i en kortfattet mail til Version2.

11 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
9
19. november 2013 kl. 07:22

Ja, Albert. Jeg må desværre give dig fuldstændig ret. Men min henvendelse til de to politikere var et ønske om at få luft for min frustation. Men jeg er ikke så naiv, at jeg tror det vil ændre bare en smule på deres ansvarsløse omgang med befolkningen pesonfølsomme oplysninger. Jeg tror ikke engang på at de selv læser klagen, den bliver behandlet af embedsværket, der har et automatiseret selvforsvar klar i skuffen, i stil med det du skriver. Embedsværket tror desværre, at de er til for at beskytte politikerene og ikke befolkningen og sender deres propaganda ud i en lind strøm. Og desværre tror jeg det er ligegyldigt om det er en rød eller blå blok, der sidder på regeringsmagten. Jeg har tænkt mig at fortsætte min "oplysningskampagne" om myndighedernes svigt i diverse medier, herunder også i Version2. Måske vil det få nogen politikere til at reagere. Det er jo før set, at når befolkningens utilfredshed rammer politikerene i medierne, ja, så har de pludselig tid og forståelse for problemerne, og retter ind, så de ikke taber stemmer - forstås.

6
18. november 2013 kl. 13:49

Ja, Lars. Det er samme Trine Bramsen, der vil forbyde TOR. Og samtidig henviser hun til at borgerne selv har et ansvar - og det er det rene vrøvl. Selvfølgelig gør man klogt i at sikre egne data, hvor man kan. Men pointen er, at borgerne intet kan gøre for at sikre egne sensitive oplysninger og data, der er lagret på myndighedernes mange servere og mainframes. Det er myndighedernes ansvar, og de svigter desværre på det groveste, hvis man skal tro Rigsrevionens nyeste rapport, der fortæller, at Statens-It, Politiet og Statens Serum Institut m.fl. ikke i tilstrækkelig grad har passet på befolkningens data, og dermed hjulpet hackere og identitetstyve m.fl. til at misbruge borgernes data.

4
18. november 2013 kl. 10:04

Du spørger, Tommy, hvad man kan gøre - og jeg forstår godt din frustration. Jeg har idag skrevet en klage til Bjarne Corydon og Margrethe Vestager fordi de er hovedarkitekterne bag den nye Digitaliseringsstrategi, der tvangsdigitaliserer hele Danmarks befolkning uden at de gør noget for sikre os mod hackere og identitetstyveri m.m. Og man skal huske på, at borgerne ikke selv kan gøre noget for at sikre sig, da vores sensitive oplysninger og data ligger i talrige ophobede mainfraims i myndighedernes varetægt.

Mit brev til de to politikere lyder således:

Klage til Finansmini​steren og Økonomi- og indenrigsm​inisteren over manglende it-sikkerh​ed, jf. Rigsrevisi​onens rapport.

Den 4. oktober 2013 skrev jeg en klage om bla. statens og myndighedernes manglende it-sikkerhed, som desværre endnu ikke er blevet besvaret. Siden har Rigsrevisionen udsendt sin rapport, der kritiserer den manglende it- sikkerhed ved diverse offentlige institutioner og myndigheder. Især Statens -It, Politiet og Statens Seruminstitut bliver negativt bedømt og omtalt, fordi de ikke i tilstrækkelig grad sørger for at sikre statens og borgernes sensitive oplysninger og data.

Derfor vil jeg endnu engang rette henvendelse og klage over den mangelfulde It-sikkerhed, hvor befolkningens ophobede sensitive oplysninger og data kompromitteres. befolkningen har ikke selv muligheder for at sikre sig, idet deres oplysninger er i myndighedernes varetægt. Myndigheder, som desværre ikke i nødvendigt omfang gør tilstrækkeligt for at sikre mod bl.a. hacker og identitetstyveri. Selv Politiet, Statens-it og Statens Serum Insitut (og der kan sikkert findes andre), kan ikke IT-sikre borgerne.

Henset til at I begge for nylig har lanceret en Digitaliseringsstrategi, der tvangsdigitaliserer hele Danmark, synes jeg I har et særligt ansvar for at tage jer af problemet. Tag jeg selv af problemet i stedet for at sende aben videre til embedsværket, idet de - i misforstået loyalitet - kun finder på dårlige undskyldninger, for at hjælpe politikerne fra dårlig omtale. Embedsværket er ikke neutral og desværre heller ikke befolkningens beskyttere. Men det kan I gøre noget ved.

Med venlig hilsen John M. Foley

3
18. november 2013 kl. 09:37

Det her tangere jo til det helt håbløse.

Som borger kan man ingenting gøre, ikke engang ved at sætte stemmen "rigtigt" kan man få indflydelse.

Hvor er udmeldings knappen til det her tåbelige forsøg med at digitalisere alt for ikke at passe på skidtet bagefter?

Hvad har man som borger i det hele taget mulighed for at gøre for at bidrage til at der måske er nogen der fatter mistanke derinde på Borgen hvor alt åbenbart er i sin skønneste orden i mens de drikker kaffe og griner over alle andre.

Staten skal være til tjeneste for borgerne, ikke omvendt.

2
18. november 2013 kl. 08:38

Sætningen "Dette arbejde har ikke resulteret i nogen indikation af, at CPR-registeret skulle have været berørt eller truet af det oplevede angreb af CSC's mainframe." indikerer ikke om CSC ville have opdaget det, hvis CPR registeret var kompromiteret, kun at de ingen tegn fandt derpå.

Absense of evidence is not evidence of absense.

1
18. november 2013 kl. 07:51

Både Justitsministeren og Indenrigsministeren m.fl. fortæller ikke sandheden om hackerangrebene. Dels fordi de ikke selv forstår hvad der foregår, og dels fordi de er i lommen på embedsværket, der gerne kaster røgslør ud i misforstået loyalitet overfor politikerne. Og så er de fuldstændig ligeglade med om befolkningens ophobede sensitive data m.m., på talrige servere, bliver kompromitteret. Læs blot Trine Bramsens kommentarer vedrørende myndighedernes svigt, hvor hun synes at alt er i den skønneste orden og at borgerne selv har et ansvar for at sikre sine data, hvilket er noget vrøvl. Borgerne har ingen indflydelse på sikring af deres egne sensitive oplysninger, som myndighederne ophober i kæmpe elektroniske lagre, og gør dem lettilgængelig for hackere m.fl., fordi de ikke forstår, at beskytte borgerne på betryggende vis.