En gennemgang af sikkerheden hos CSC afdækker, at it-leverandøren tilbage i 2012 var tre måneder om at lappe et alvorligt sikkerhedshul i mainframesoftwaren, selvom leverandøren IBM havde udsendt to opdateringer markeret som kritiske. Det fremgår af materiale, som Version2 har fået aktindsigt i.
Materialet er en sikkerhedsrevisionsrapport udarbejdet af Deloitte for Rigspolitiet, der gennemgår de generelle it-kontroller, som CSC skal overholde i kraft af den databehandleraftale, virksomheden har indgået med myndigheden.
Under kontrollen af CSC’s ‘styring af tekniske sårbarheder’ opdagede Deloitte, at it-leverandøren ikke havde ordentlig styr på proceduren for at installere sikkerhedsopdateringer, såkaldt patch management.
»Vi har konstateret et stort antal kritiske sårbarheder som følge af manglende patching af VMware (lukket marts 2013),« fremgår det af rapporten.
VMware er software til at køre virtuelle maskiner i datacentre.
Overså kritiske opdateringer
I en uafhængig rapport udarbejdet af Center for Cybersikkerhed, og som Version2 ligeledes har fået indsigt i, fremgår det, at IBM den 21. december 2012 udsendte to patches, der var markeret som kritiske. Alligevel opdagede CSC først tre måneder senere, at den var gal.
»4. marts 2013: CSC bliver opmærksom på, at patches udsendt i december af IBM, som CSC på dette tidspunkt endnu ikke har implementeret, udbedrer en væsentlig sårbarhed i mainframesoftwaren,« lyder det i rapporten fra Center for Cybersikkerhed.
Sideløbende havde dansk politi også overset en advarsel fra svensk politi, der i en efterforskning af et svensk hacker-angreb havde fundet tegn på, at også danske registre, der lå hos CSC, kunne være blevet kompromitteret. Derfor var det først i slutningen af februar, at CSC blev indkaldt til et møde hos Rigspolitiet, der gjorde dem opmærksomme på hacker-angrebet.
Kort efter, i starten af marts, opdagede CSC de manglende patches.
CSC ser uprofessionel ud
Version2 har forelagt revisionsrapporten for professor på DTU Compute Lars Ramkilde Knudsen, der er ekspert i it-sikkerhed og blandt andet har været med til at tilrettelægge et nyt uddannelsesforløb i Computer Security på DTU. Han synes, CSC ser uprofessionel ud.
»Det ser ikke godt ud. Der fremgår ligefrem, at der er tale om et stort antal kritiske sårbarheder. Det er jo problematisk. Det virker lidt mærkeligt, at de ikke har patchet med det samme. Det har man svært ved at forstå,« siger Lars Ramkilde Knudsen til Version2.
Ud over patching-fejlen fandt Deloitte yderligere ét kritisabelt forhold blandt de 33 gennemgåede områder. Under kontrolpunktet for ‘styring af adgang til driftssystemer’ står der:
»Vi har konstateret, at der foretages service console-login på en VMware-host direkte med root (lukket december 2012).«
I resten af rapporten finder Deloitte ingen grund til anmærkninger hos CSC.
Hvor meget skal man så lægge i denne her fejl?
»En kæde er aldrig stærkere end det svageste led. Der skal jo helst ikke være fejl nogen steder, så det er da et problem. Jeg ville i hvert fald være meget bekymret, hvis jeg var it-chef og modtog sådan en rapport,« siger Lars Ramkilde Knudsen til Version2.
CSC har ikke ønsket at kommentere historien.
Læs hele revisionsrapporten her
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
