Dokumentation: CSC overså kritiske opdateringer til politiets mainframe i tre måneder

Illustration: Virrage Images/Bigstock
I december 2012 udsendte IBM to kritiske opdateringer til den mainframesoftware, CSC bruger til Rigspolitiets it-systemer. I tre måneder stod hullet åbent, før CSC blev opmærksomme på opdateringen, viser en redegørelse.

En gennemgang af sikkerheden hos CSC afdækker, at it-leverandøren tilbage i 2012 var tre måneder om at lappe et alvorligt sikkerhedshul i mainframesoftwaren, selvom leverandøren IBM havde udsendt to opdateringer markeret som kritiske. Det fremgår af materiale, som Version2 har fået aktindsigt i.

Materialet er en sikkerhedsrevisionsrapport udarbejdet af Deloitte for Rigspolitiet, der gennemgår de generelle it-kontroller, som CSC skal overholde i kraft af den databehandleraftale, virksomheden har indgået med myndigheden.

Under kontrollen af CSC’s ‘styring af tekniske sårbarheder’ opdagede Deloitte, at it-leverandøren ikke havde ordentlig styr på proceduren for at installere sikkerhedsopdateringer, såkaldt patch management.

»Vi har konstateret et stort antal kritiske sårbarheder som følge af manglende patching af VMware (lukket marts 2013),« fremgår det af rapporten.

VMware er software til at køre virtuelle maskiner i datacentre.

Læs også: CSC-hacking: Hemmelig rapport afslører alvorlige sikkerhedssvigt hos CSC

Overså kritiske opdateringer

I en uafhængig rapport udarbejdet af Center for Cybersikkerhed, og som Version2 ligeledes har fået indsigt i, fremgår det, at IBM den 21. december 2012 udsendte to patches, der var markeret som kritiske. Alligevel opdagede CSC først tre måneder senere, at den var gal.

»4. marts 2013: CSC bliver opmærksom på, at patches udsendt i december af IBM, som CSC på dette tidspunkt endnu ikke har implementeret, udbedrer en væsentlig sårbarhed i mainframesoftwaren,« lyder det i rapporten fra Center for Cybersikkerhed.

Sideløbende havde dansk politi også overset en advarsel fra svensk politi, der i en efterforskning af et svensk hacker-angreb havde fundet tegn på, at også danske registre, der lå hos CSC, kunne være blevet kompromitteret. Derfor var det først i slutningen af februar, at CSC blev indkaldt til et møde hos Rigspolitiet, der gjorde dem opmærksomme på hacker-angrebet.

Kort efter, i starten af marts, opdagede CSC de manglende patches.

Læs også: CSC-hackere angreb også CPR-register – trods CSC's melding om det modsatte

CSC ser uprofessionel ud

Version2 har forelagt revisionsrapporten for professor på DTU Compute Lars Ramkilde Knudsen, der er ekspert i it-sikkerhed og blandt andet har været med til at tilrettelægge et nyt uddannelsesforløb i Computer Security på DTU. Han synes, CSC ser uprofessionel ud.

»Det ser ikke godt ud. Der fremgår ligefrem, at der er tale om et stort antal kritiske sårbarheder. Det er jo problematisk. Det virker lidt mærkeligt, at de ikke har patchet med det samme. Det har man svært ved at forstå,« siger Lars Ramkilde Knudsen til Version2.

Ud over patching-fejlen fandt Deloitte yderligere ét kritisabelt forhold blandt de 33 gennemgåede områder. Under kontrolpunktet for ‘styring af adgang til driftssystemer’ står der:

»Vi har konstateret, at der foretages service console-login på en VMware-host direkte med root (lukket december 2012).«

I resten af rapporten finder Deloitte ingen grund til anmærkninger hos CSC.

Hvor meget skal man så lægge i denne her fejl?

»En kæde er aldrig stærkere end det svageste led. Der skal jo helst ikke være fejl nogen steder, så det er da et problem. Jeg ville i hvert fald være meget bekymret, hvis jeg var it-chef og modtog sådan en rapport,« siger Lars Ramkilde Knudsen til Version2.

CSC har ikke ønsket at kommentere historien.

Læs hele revisionsrapporten her

[scribd id=196947650 key=key-1k1476p6xv6wfaloc39j]

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 carsten guldhammer

at csc vælger IKKE at kommentere artiklen her beviser KUN deres useriøsitet

og som privat person og skatte yder kan det undre mig extremt meget at det er et så topaurogant firma som csc der skal sidde og forvalte vore (borgernes ) personfølsomme oplysninger, specielt når man tænker på hvor mange af skatte ydedernes penge der går til csc

  • 6
  • 0
#5 Claus Rosengaard

Det er uheldigt, at artiklen refererer til problemer med VMware patchning, når der tidligere tales om mainframe. De 2 ting har ikke meget med hinanden at gøre. Det er næppe heller samme proces, der er ansvarlig for patchning af mainframe og VMware. Dokumentationen er således tynd.

  • 1
  • 0
#7 s_ mejlhede

At de så ikke har været ret dygtige til det er en anden sag.

Men vis kunden ikke har skreven ind i kontrakten, hvordan sikkerheden skal være, og at det vil koste ikke at overholden den. Samt når det viser sig at sikkerheden og måske kontrakt ikke overholdes, at man bare benytter dem igen, og ikke kræver erstatning, så er de ikke useriøst, så er det kunden som er det.

  • 0
  • 0
#8 Bo Voigt

Men vis kunden ikke har skreven ind i kontrakten, hvordan sikkerheden skal være, og at det vil koste ikke at overholden den.

Ord som rettidig omhu, best practise, objektivt ansvar, benævnt professionel conduct nogen steder falder en ind. Det er ting man normalt ikke behøver at beskrive i en kontrakt.

F.eks. hvis man køber en bil, står der heller ikke i slutsedlen at den skal bruges til at køre i så vidt jeg ved. Det betragtes vist som implicit.

  • 4
  • 0
#10 Jan Heisterberg

Professionel Conduct ville vel tilsige, at der var planlagte service- vinduer, og at der eksisterer en ajorførte liste og kritiske / nødvendige / ønskede opdateringer - hver med en risikovurdering (skal / skal ikke).

Som beskrevet, så har sidstnævnte ikke eksisteret = UNprofessionel Conduct.

Det er jo meget "moderne" at outsource it-drift, så måske er der behov for eet fælles sæt betingelser (standard) for "Professional Conduct for operations of public it systems". Spidsfindigheden er her, at reglerne skal være ens uanset outsourcing eller ej. Regionens it- system for hospitaler må ikke drives ringere hjemme i kælderen end Politiets it-system hos CSC. Det er lidt for letsindigt at overlade reglerne til de implicerede. Reglerne må have forrang som en lov, og skal gælde alle - med tilhørende sanktioner for misligholdelse. Fængsel og ophævelse af kontrakt / ansættelse er relevante sanktioner.

  • 2
  • 0
#11 Claus Nielsen

Den beskidte virkelighed er at patch frekvensen er omvendt proportional med vigtigheden af det bagvedliggende system. Life science systemer patches næsten aldrig og bankernes centrale systemer patches kun med 2-3 års forsinkelse, at En mainframe ikke er patchet indenfor 3 måneder i overrasker mig ikke.

  • 0
  • 1
#12 Jan Heisterberg

I min ordbog er der en væsentlig forskel på "bevidst at undlade" og "ubevidst at glemme".

Jeg forstår godt, at driftsaccepttest for visse systemer er så omfattende, at færrest mulige opdateringer foretrækkes, men det er jo en bevidst risiko der løbes - når nu leverandøren siger: "SKAL".

  • 1
  • 0
#13 Peter Johan Bruun

Seriøs artikel? Det er uheldigt, at artiklen refererer til problemer med VMware patchning, når der tidligere tales om mainframe. De 2 ting har ikke meget med hinanden at gøre. Det er næppe heller samme proces, der er ansvarlig for patchning af mainframe og VMware. Dokumentationen er således tynd.

Først en undskyldning til artiklens forfatter, men jeg bliver nødt til at reagere: Videns niveau'et hele vejen rundt om denne historie, virker til at være på samme stade som mit var omkring flyvning: Adspurgt af en flyve-instruktør, om hvad der får en flyvemaskine i luften, svarede jeg at "det er da fordi vinden skubber vingen opad". I den kontekst minder artiklen ligeledes om dagbladsjournalisters "underholdning af offentligheden" om flyuheld.

Hvordan kan "manglende VMWare patchning" og Mainframe kædes sammen til overskriften "CSC overså kritiske opdateringer til politiets mainframe i tre måneder", samt alt hvad deraf følger i artiklens indhold.

Som jeg forstår VMWare, handler det om software der er i stand til at opføre sig som en "intel baseret" computer, med tilhørende SSH-login m.m.m.

Denne virtuelle VMWare-computer kunne så tænkes at afvikle operativsystemerne Linux, Windows ... måske endda også MacOS... men Z/os på en Intel-lignende simuleret arkitektur ... den er ny, og det vil jeg have lov til at betvivle indtil nogen kan oplyse mig om hvor groft jeg tager fejl....måske kan endog VMWare afvikles direkte på en mainframe arkitektur....der tvivler jeg nu også.

Den vedlagte PDF fil med rapporten fra Deloitte til CSC / Rigspolitiet stiller heller ikke nogen af de involverede parter i et særligt flatterende lys. Det ligner mest af alt en god gammeldags "fill-in-the-blanks" skabelon, der skal til for at man kan sætte et kryds i et andet skema.

Man kommer helt i tvivl om hvorvidt en IT Havarikommisions arbejde ville skabe synlige resultater, for ingen af de her involverede vil med det demonstrerede vidensniveau om computere og IT arkitektur være i stand til at læse og drage nytte af rapporten, endsige af "executive summary", når kommisionen kommer med sin analyse og anbefalinger.

Men, men, men: Version2 skal have kredit for forsøget på at løfte historien. Den er i allerhøjeste grad i offentlighedens interesse.

Mvh. En skræmt z/os udvikler.

wiki: http://en.wikipedia.org/wiki/Comparison_of_platform_virtual_machines

  • 3
  • 0
#14 Jan Heisterberg

VMWare er fint beskrevet på Wikipedia.

Principielt, i én af versionerne, skaber VMWare et isolationslag mellem it-hardware og een eller flere samtidige kopier af operativsystemer. I hvert operativsystem er al aktivitet principielt hermetisk adskilt fra alle andre.

Det har store fordele når man vil have samtidig aktivitet i f.eks. et driftssystem, et testsystem og et udviklingssystem. Hvis det er muligt, på nogen måde, at skabe forbindelser fra f.eks. et udviklingssystem (som ofte har lav sikkerhedskontrol og kun har testdata) til produktionssystemet (som skal have høj sikkerhed og konfidentielle produktionsdata), så udgør det selvklart en højtprioriteret sikkerhedsrisiko. En fix til dette problem er selvklart høj prioritet / kritisk.

Jeg ved det ikke, men de omtalte fixes hos CDC kan have været af denne type.

P.S.: Selv på almindelige PCer kan en VMWare-udgave tillade samtidig installation af e.g. Windows og Linux - eller en testudgave af en ny Windows, hvilket mange nok kunne ønske sig før det hele crasher.

  • 0
  • 0
Log ind eller Opret konto for at kommentere