Rapport: CSC brugte forældet software til CPR-register

Illustration: leowolfert/Bigstock
CSC fik i 2011 14 påtaler om sikkerheden i driften af CPR-registret. Blandt andet havde tidligere medarbejdere stadig administratoradgang, og både databasen og styresystemet kørte i ikke-supporterede versioner.

En af kongerigets mest følsomme databaser, det danske CPR-register, havde i 2011 hele 14 punkter, hvor sikkerheden ikke var god nok.

Det fremgår af af en sikkerhedsrevisionsrapport, Deloitte har udarbejdet for driftleverandøren CSC, og som Version2 har fået aktindsigt i.

Trods de 14 kritikpunkter konkluderer rapporten dog, at 'de generelle it-kontroller, som CSC varetager for CPR, i det væsentligste har været opretholdt i perioden 1. januar 2011 til 31. december 2011'.

Blandt svaghederne i it-sikkerheden nævner rapporten for eksempel, at 88 medarbejdere ikke overholdt reglerne om periodiske skift af password:

'Vi har observeret, at der er en række (88) CSC-funktions-users, der ikke overholder RACF-sikkerhedsdirektivets krav om at skulle skifte password efter højst 30 dage', kan man læse i rapporten.

Hertil kommer, at databasesoftwaren ADABAS ikke var opdateret, hvilket medførte, at CSC’s version ikke længere var understøttet af leverandøren Software AG. CSC kommenterer i rapporten den forældede software med, at det på grund af fastfrosne driftmiljøer ikke var muligt at opdatere softwaren før udgangen af første kvartal 2012.

For det tredje fremgår det, at to brugerkonti havde adgang til systemet, til trods for at de pågældende medarbejdere ikke længere var ansat i CSC. I samme boldgade var fem såkaldte funktions-users oprettet med administratorrettigheder, hvilket ellers kun skulle burde tildeles personlige brugere.

Endelig fremhæver Deloitte i rapportens konklusion, at CSC's Disaster Recovery plan havde ikke været opdateret siden februar 2009.

CSC mener ikke, rapporten på nogen måde er alarmerende:

»Det kan ikke undgås, at man finder nogle punkter, der kan forbedres, når det drejer sig om så store systemer. Sådan vil det altid være. Det vigtigste er, at man tager hånd om problemerne, når man bliver gjort opmærksom på dem,« siger kommunikationschef i CSC Kim Ege Møller til Version2.

Han understreger, at CPR-registret ikke var involveret i den meget omtalte hackersag, hvor to personer er anholdt for at trænge ind i politiets it-systemer, som CSC også drifter. Og i øvrigt er alle 14 sikkerhedsanbefalinger ført ud i livet.

Læs også: Bødskov: PET, FE og politiet arbejder på opklaring af CSC-hacking

»Alle de anbefalinger, som Deloitte er kommet med, har vi gennemført, og de har også været gennemført, inden hacker-angrebet gik i gang,« siger Kim Ege Møller til Version2.

CSC ser ikke noget problem i, at Deloitte kunne finde 14 punkter, hvor sikkerheden omkring CPR-registret kunne forbedres.

»Det var vi sådan set glade for. Det er jo derfor, man får et revisionsfirma til at lave en gennemgang. Jeg tror, hvis man lavede den samme undersøgelse på tilsvarende store systemer, så ville man formentlig finde de samme punkter. Det, vi hæftede os ved, var naturligvis, at den overordnede sikkerhed var vurderet til at være i orden,« siger Kim Ege Møller til Version2.

Læs hele 2011-sikkerhedsrapporten herunder

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Henrik Pedersen

Ja, jeg beklager for min egencensurerede overskrift.

Jeg synes det er bekymrende at de tager så let på tingene. Den overordnede sikkerhed er i orden? Hørte I overhovedet hvad der blev sagt til Jer?
I kører forældet software, som endda er uden support (= det er meget forældet!), og I har konti som har adgang til CPR registret, som slet ikke burde have adgang? Og I har ikke engang styr på rettighederne til de brugere som bør have adgang!

Det er under al kritik. Og så stort et system kan det altså heller ikke være at administrere. Det offentlige poster tonsvis af penge i CSC, så de må da have råd til at hyre et lille team til at holde en enkelt database kørende under forsvarlige forhold.

  • 13
  • 0
Geert Nielsen

For det første undrer det mig, at Version2 definerer hændelser fra 2011 som nyheder. Dernæst kan det også undre mig en smule, at man i det hele taget har rettet henvendelse til den pågældende virksomhed, når vinklen i historien så tydeligt understreger journalistens holdning og konklusion til både virksomheden og den beskrevne hændelse.

  • 1
  • 11
Henrik Pedersen

Jeg Googlede dit navn og du ser ikke ud til at være direktør i CSC.
Derfor konkluderer jeg allerede på forhånd at du har en meget skidt tirsdag. :)

Lidt mere seriøst - Artiklen har relevans til den verserende hackersag da CSC tydeligvis ikke leverer løsninger som er robuste nok til at vi bør basere vitale dele af vores IT samfund på deres services. - Jeg synes det er fint af redaktionen at grave langt og dybt!

  • 10
  • 0
Kræn Hansen

Haters gonna hate ..
Jeg er enig i Henrik lige over mig - det har helt klar relevans set i lyset af den aktuelle politi-it sag. Og så fortæller det noget om leverandørens DNA.
For at citere en af vor tids store tænkere: "The best predictor of future behavior is past behavior" (Dr. Phil McGraw)

  • 4
  • 0
Søren Pilgård

»Det kan ikke undgås, at man finder nogle punkter, der kan forbedres, når det drejer sig om så store systemer. Sådan vil det altid være. Det vigtigste er, at man tager hånd om problemerne, når man bliver gjort opmærksom på dem,«

Når det kommer til følsomme systemer (som f.eks.) cpr-databasen er dette på ingen måder nok.
Det svarer til at banken sagde "det vigtigste er jo ikke om folk stjæler, men om der bliver gjordt noget når nogen opdager det"

  • 5
  • 0
Rúni Hove

Dette er ikke ligefrem første gang man hører om problemer hos CSC. Denne gang var det om forældet software, i andre sammenhænge har man hørt om genbrugskode i bl.a Polsag - Den der med at tage CSC seriøst bliver værre for hver gang - En forreting af den størrelse, og især når de skal levere offentlige løsninger, burde det være et krav at de havde styr på koden.

  • 1
  • 0
Log ind eller Opret konto for at kommentere