CSC fandt 3 ekstra bagdøre til politiets systemer

Illustration: leowolfert/Bigstock
DOKUMENTATION: CSC's korrespondance med polititet afslører i alt fire bagdøre til topsikret mainframe. Bagdørene kan være efterladt af hackerne, siger politiets it-direktør.

CSC fandt yderligere tre bagdøre til politiets miljø på CSC's mainframe i forbindelse med udbedringen af det oprindelige sikkerhedssvigt, som førte til, at hackere fik adgang til blandt andet politiets kørekortregister. Hackerne havde altså fire forskellige veje ind i politiets systemer. Det fremgår af en redegørelse foretaget af Rigspolitiet, som Version2 har fået indsigt i.

I redegørelsen er kommunikationen mellem CSC og Rigspolitiet nøje beskrevet, og en bestemt formulering kaster nu nyt lys over sagen. I forbindelse med efterforskningen afrapporterede CSC jævnligt til Rigspolitiet, og i dokumentet lyder det:

'(...) CSC (oplyste) Rigspolitiet om, at den sårbarhed i systemet, som havde været benyttet til at opnå uautoriseret adgang, var identificeret og lukket, samt at der var identificeret og fjernet såkaldte 'bagdøre' til systemet,' står der.

Læs også: Rigspolitiet: Kørekort-register hos CSC er blevet hacket

Senere i samme redegørelse fremgår det, at der konkret var tale om tre bagdøre, som CSC først blev opmærksomme på, efter angrebet havde fundet sted. Direktøren for politiets centrale it-organisation (Koncern IT), Michael Steen Hansen, påpeger, at det er almindeligt for hackere at oprette bagdøre i systemer, de har fået adgang til.

»Jeg har forstået, at det er normalt for hackere at etablere flere bagdøre, når de først er kommet ind. Efterforskningen vil formentlig afdække, om det er tilfældet,« skriver Michael Steen Hansen, direktør i Koncern IT, i en mail til Version2.

Læs også: Politiet ventede halvanden måned med at undersøge CSC-hacking

CSC til kritisk samtale hos Rigspolitiet

Om bagdørene skyldtes hackernes ugerninger eller CSC's forsømmelse af sikkerhed står uvist hen, men set i lyset af sikkerhedsproblemerne hos CSC er det nærliggende at spørge de to parter om, hvordan sagen har påvirket deres forhold.

»Vi har overvejet, om vores ydelse og aftale er god nok, og om der er noget, der skal justeres dér. Ligesom vi kommer til at revidere andre aftaler i Rigspolitiet. Vi har dog en kritisk samtale med CSC til gode, når det fulde overblik fra efterforskningen er afdækket,« skriver Michael Steen Hansen til Version2.

Hos CSC er tonen en anelse mere positiv.

»Jeg vil mene, at vi har et godt forhold til Rigspolitiet, og det har vi haft i al den tid, vi har samarbejdet med Rigspolitiet. Min oplevelse er, at der er stor gensidig respekt for hinandens arbejde, og det har sagen sådan set ikke ændret på,« siger Kim Ege Møller til Version2.

Hverken CSC’s pressechef eller Koncern IT’s direktør vil nævne hvilke skridt, der er blevet taget for at skærpe sikkerheden hos CSC med henvisning til netop sikkerheden. I det hele taget er det endnu sparsomt med detaljerede oplysninger, da sagen stadig er under efterforskning.

»Der er jo meget at sige i forhold til sagen, men jeg tror, man skal vente på, at de officielle rapporter bliver færdiggjort, og at retssagen i øvrigt starter, for der tror jeg, man får noget mere indsigt i, hvad der er sket,« siger Kim Ege Møller og fortæller, at end ikke han ved, hvornår retssagen starter.

Læs hele Rigspolitiets redegørelse her:

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Brian Hansen

Man bør have månedlige backups et år bagud, og års backups X år tilbage alt efter hvad der gir mening for den givne installation.
Kan også bare være mig der foretrækker livrem OG seler hvad min data angår :-)
Plads er kun et spørgsmål om korrekt budgettering og planlægning.

Log ind eller Opret konto for at kommentere