Datatilsynet kritiserer flere myndigheder for at dele mainframe og diske hos CSC

Skat, Moderniseringsstyrelsen og CPR-kontoret delte det samme disksystem på mainframen hos CSC som Rigspolitiet, og derfor kritiserer Datatilsynet dem for ikke at have haft tiltrækkelig kontrol.

Datatilsynets kritik af Rigspolitiet for det delte miljø på mainframen hos CSC, som blev hacket i 2012, bliver nu udvidet til at omfatte yderligere tre myndigheder, som anvendte det samme fysiske driftsmiljø.

Det drejer sig om Skat, CPR-kontoret og Moderniseringsstyrelsen, som havde systemer liggende på de fire logiske partitioner (LPAR), som var knyttet til samme fysiske diske og brugerstyringsdatabase (RACF).

Konklusionen fra Datatilsynet er, at de tre myndigheder ligesom Rigspolitiet ikke har haft tilstrækkelig kontrol med deres data, fordi der var tale om et delt miljø.

Moderniseringsstyrelsen var ansvarlig for et lønsystem, som var knyttet til en webserver, der kunne tilgås fra internettet. Det var et sikkerhedshul i denne webserver, som gav hackerne mulighed for at få fodfæste på mainframen.

Læs også: Hullet webserver hos CSC delte virtuel server med Schengen-register

Da de fire LPAR delte fysisk storage og database med brugerrettigheder var det muligt ved hjælp af zero day-sårbarheder at få adgang til at kopiere data fra alle fire LPAR.

Læs også: IBM og Datatilsynet uenige om mainframe-sikkerhed

For de tre myndigheder, som nu kritiseres, gælder også, at systemerne indeholdt personoplysninger som eksempelvis cpr-numre og oplysninger om løn- og pensionsforhold.

Da databasen med brugerrettigheder blev kompromitteret, indebærer det også, at der potentielt kan være foretaget ændringer i data i systemerne. Ingen af myndighederne har efterfølgende konstateret tegn på, at det er sket, men Datatilsynet finder det meget alvorligt, at det kunne være sket.

Myndighederne er alle dataansvarlige, og selvom CSC har stået for driften af mainframe-miljøet, så er det derfor myndighederne der i sidste ende er ansvarlige for sikkerheden.

CPR-kontoret oplyser ifølge Datatilsynet, at systemerne i marts 2014 blev flyttet til et selvstændigt driftsmiljø, ligesom systemet ikke længere anvender den fælles brugerrettighedsdatabase.

Databasen omfattede i alt cirka 85.000 brugere, hvoraf ikke alle var aktive brugere. Men alene de personoplysninger, som lå i denne database, er også beskyttet af persondataloven ifølge Datatilsynet.

Følg forløbet

Kommentarer (11)

Jarnis Bertelsen

der potentielt kan være foretaget ændringer i data i systemerne. Ingen af myndighederne har efterfølgende konstateret tegn på, at det er sket

Det kunne være et symptom, på det samme problem, der gjorde at man ikke opdagede at man var blevet hacket, før svensk politi gjorde opmærksom på det. Det lyder som om logningsniveauet i de omtalte løsninger har været alt for lavt, og der generelt mangler sporbarhed i hvem der foretager sig hvad i systemet.

Det ville være betryggende, hvis de med overbevisning kunne konstatere at der ingen ændringer var sket, i stedet for at sige, at de ikke lige kunne finde nogle så derfor findes de nok ikke.

Michael Jensen

Hvor stor er forskellen på LPAR's og ESX-guests? - Hvor mange steder kører man ikke lige forskellige kunder i forskellige ESX-guests på samme ESX-hostmiljø?

LPARS er EAL5-certificeret. Er det ikke bedre end så meget andet virtualiseret?

Jeg mener ikke nødvendigvis at LPAR's bare er helt i orden. Slet ikke i forhold til fysisk galvanisk adskildte maskiner i separate faraday-bure og derudaf.. Men altså proportionerne lidt i orden, så er LPAR's på samme mainframe nok ikke der jeg først ville sætte kritik ind....

Henrik Wahlberg

Der står "brugerstyringsdatabase (RACF)." i ental.
Det må da være et alvorligt problem der overskygger meget andet. (f.x. LPAR)
Er du inde i det ene system, må det vel betyde at du har credentials til de andre systemer også.

Eller har jeg misset noget?

Thomas Hedberg

Flere kunder kørte i samme LPAR jævnfør Datatilsynets redegørelse.

Ville du også opsætte en web server for en kunde og CPR registeret fra en anden kunde på den samme virtuelle Windows maskine på en VMware host? Og så iøvrigt dele den samme disk imellem mange virtuelle Windows maskiner tildelt en masse forskellige kunder med et utal af mere eller mindre sikre applikationer.

Som Datatilsynet beskriver det er det noget galt, men de beklagede sig over at hverken CSC eller Politietet var særligt samarbejdsvillige ved deres undersøgelse, så det kan være tekniske detaljer som mangler.

Michael Jensen

Ok Thomas. Det har jeg ikke læst. I artiklen står det bare som fire kunder på fire LPAR's, hvilket lyder meget normalt. Men hvis det du siger er tilfældet, er jeg helt enig. - med mindre jeg var et discountwebhotel, så lyder det helt normalt at køre flere kunder på samme instans ;-)

Michael Jensen

Der står "brugerstyringsdatabase (RACF)." i ental.

Det er normalt nok.
Det lyder måske ikke pænt som hvis man sagde "ét fælles AD til flere vidt forskellige kunder", eller "samme passwd-fil til alle kunderne", men det er sådan det bor i et z/os sysplex. RACF er bare en database med alle rettighederne beskrevet i.
En bruger fra kunde A, med mange RACF-rettigheder til at tilgå data i kunde A, har naturligvis ikke mulighed for at ændre i rettighederne for kunde B i RACF.
....med mindre brugeren udnytter et exploit mod systemet, som netop giver disse rettigheder.
Men det er igen ikke så meget anderledes, end hvis en ESX-guest brød "ud" til ESX-hosten via et exploit, og på den måde kunne overtage de andre guests.

Min pointe er ikke så meget hverken kritik eller ros af mainframen eller opsætningen, men jeg synes fokus fra datatilsynet rammer skævt; fornuftig overvågning, f.eks. i netværket, ville ha fanget dem. Skarpere opdeling af kunderne, i et lige så blindt netværk, ville ikke gøre noget. - Jo så havde de måske holdt sig til at kunne kopiere politiets databaser, og ikke de andre kunders. ...med mindre de andre kunder også kørte den httpd der blev exploitet i første omgang. I så fald kunne de bare kompromittere videre, da der nok heller ikke er så langt mellem kunderne rent netværksmæssigt.

Frithiof Jensen

Jeg kender ikke RACF, men jeg tvivler stærkt på at den siger:


Det er netop problemets kerne i Danmark.

Vi "kender ikke" lige til tingene; vi kunne måske läre det, men det vil jo tage tid og det lyder som det kräver arbejde, så, "vi forestiller os" i stedet for og handler på det - hele vejen op gennem "kransekagen"!

RACF er både effektivt og ekstremt fleksibelt, man kan graduere adgangskontrol helt ned til hvem som kan skrive på hvilken printer - muligvis mere - med logning og alt muligt. RACF er også meget komplekst, så der findes kun nogle få specialister som kan finde ud af at bruge RACF korrekt og de vil have penge for det.

Derfor laver man, for det förste, ofte en standardopsätning med generiske brugere til backup og andet (ikke at det lyder som om CSC faktisk har backup - eller logning, eftersom man ikke kan se om data er ändret). For det andet er der "ingen" der tör röre ved en fungerende RACF.

Det betyder at der over tiden vil ophobe sig RACF konti som ingen längere ved hvad gör - men - som man heller ikke tör slette, og, at mange brugere vil have den samme RACF login så logning - hvis den fandtes - bliver värdilös.

I det konkrete tilfälde: Hvad hvis der findes en RACF-konto til tape-backup som har ret til at läse alle LPARS? Hvis den "backup" logger ind, så siger RACF faktisk "Velkommen til hele butikken", präcis som den er programmeret til!

RACF og LPAR's er faktisk ikke så ringe - hvis man vil betale det som systemet faktisk koster. Hvis man vil have "billigst muligt og driftet af folk som tager en Pizza i dögnet for overarbejde" - som "vi" absolut vil her i Danmark - så er en mainframe nästen det värste man kan välge.

Ulrik Suhr

alt er vel et valg som er fortaget.
De valg som jeg ser pt.
1. data host får lov til at bestemme data placering.
2. data host får lov til at bestemme antal gates til systemet.
3. data host bestemmer selv hvordan de håndtere sikkerheden.
4. data host får lov og gør det svært at skifte til anden udbyder ved at flette data sammen.

find selv på resten.

Hvilket system er 100% sikkert?
hvis man anderkender at der ikke findes 100% sikre systemer må det næste spørgsmål være--->
Hvad skal angriber få fat i?
I dette tilfælde er det 100% af systemet (facepalm).

Jeg fatter ikke hvordan man skal kalde det sikkerhed?
Landets største trussel pt. er i min bog rengøringen. Hvis de kommer til at falde over en ledning eller lukke en rotte ind etc. så ligger alle systemer ned.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen