De hackere, som brød ind i CSC'-systemerne, slukkede for logningen, som ellers er til for at fange uregelmæssigheder og følge spor. Der skriver Politiken, som har fået fat i en hemmelig rapport om angrebet.
Hackerne havde adgang til systemerne i fem måneder, og allerede efter tre dage fik angriberne tildelt sig selv rettigheder som systemadministratorer, hvorefter de kunne slukke for logningen.
Dermed har det ifølge rapporten ikke været muligt at »skabe et komplet overblik over kompromitteringen«.
»Angriberen havde formodentlig rettigheder til at kopiere, slette, ændre og tilføje data (...), hvilket indbefatter data fra politiet, CPR-registret, Skat og Moderniseringsstyrelsen«. Sådan skriver Center for Cybersikkerhed – en afdeling under FE og PET i rapporten fra august, ifølge Politiken.
»De data, som ligger på CSC’s systemer, kan man ikke garantere er intakte. Folk kan være fjernet fra kriminalregistret, cpr-registret og Schengenregistret. Adgangen har kunnet misbruges til at modificere data, uden at man bagefter kan afsløre det – og det er det allerværste«, siger it-sikkerhedsekspert Peter Kruse til Politiken.
I rapporten konkluderes det, at både politiet og CSC har svigtet ved ikke at have nok fokus på sikkerheden;
»I den konkrete sag er det konstateret, at CSC ikke har været i stand til at detektere hackerangrebet. Systemer bør altid monitoreres på en måde, så det er muligt at detektere, hvis der forekommer usædvanlig trafik eller usædvanlige trafikmønstre, samt vurdere, om det pågældende trafikmønster indikerer et hackerangreb« står der i rapporten.
CSC skriver i en mail til Politiken, at de betragter sig selv som offer for en kriminel handling, som ikke kunne være forudset eller forhindret, men ville ikke svare på avisens spørgsmål.
Firmaet slipper nok ikke med at kalde sig selv offer. I hvert fald overvejer Rigspolitiet at anlægge både erstatnings- og politisag mod CSC.