Hullet webserver hos CSC delte virtuel server med Schengen-register
Da hackere i marts 2012 fik adgang til den mainframe hos CSC, som blandt andet lagde kapacitet til en række af Rigspolitiets it-systemer, skete det gennem en usikker webserver, der tilhørte Moderniseringsstyrelsen. Sådan lyder vurderingen fra Datatilsynet i en ny afgørelse.
Afgørelsen løfter sløret for en række detaljer i sagen i forhold til, hvordan det kunne lykkes at få adgang til systemer, der omfattede kørekortregistret og Schengen-registret, der indeholder følsomme personoplysninger.
Selve sikkerhedshullet på mainframen lå i den webserver, der lå bag webstedet tjenestemandspension.dk, som CSC stod for driften af på vegne af Moderniseringsstyrelsen.
CSC's mainframe var dog opdelt i logiske partitioner, LPAR, som i princippet burde være adskilt, så særligt følsomme systemer ikke delte LPAR med systemer, der kunne tilgås direkte fra internettet.
På den pågældende mainframe var der fire LPAR, som var relateret til driften af Rigspolitiets it-systemer. Disse partitioner blev imidlertid også delt med andre offentlige kunder hos CSC. Datatilsynet har ikke kunnet få et præcist svar fra Rigspolitiet om, hvilken partition Schengen-registret blev afviklet på, men ud fra oplysningen om, at det var på den LPAR, der var døbt D11, at Rigspolitiet lavede konsistenstjek på D11, og at der blev lavet konsistenstjek på Schengen-systemet, konkluderer Datatilsynet, at Schengen-registret også kørte på D11.
På D11 lå imidlertid også Moderniseringsstyrelsen webserver, og det var gennem et sikkerhedshul i denne webserver, at hackerne fik adgang til D11.
Da de fire LPAR samtidig delte fysisk disksystem og adgangskontrolsystem, RACF, var det muligt at gå fra en usikker webserver til Rigspolitiets systemer.
Ifølge afgørelsen blev der ved angrebet benyttet to zero-day-sårbarheder. Den ene i webserveren og en anden i IBM's mainframe-styresystem, og der eksisterede ingen sikkerhedsopdateringer, der kunne lukke sikkerhedshullerne, på det tidspunkt, hvor angrebet fandt sted.
Fra den første begrænsede adgang til mainframen lykkedes det hackerne at eskalere deres rettigheder og i sidste ende at få adgang til registre med følsomme personoplysninger. Datatilsynet kritiserer i skarpe vendinger Rigspolitiet og CSC for ikke at have sørget for tilstrækkelig adskillelse mellem registrene og webserveren.
Men Datatilsynet kritiserer også selve opsætningen af mainframen:
»Opdeling af én mainframe i fire LPAR'er kan sikkerhedsmæssigt ikke sidestilles med drift i fire fra hinanden fysisk isolerede/adskilte mainframes,« skriver Datatilsynet i afgørelsen.
Tilsvarende kritik rettes mod, at de fire LPAR'er delte disksystem og adgangskontrolsystem. Problemet var ifølge Datatilsynet, at der dermed var flere dataansvarlige - i dette tilfælde blandt andet Rigspolitiet og Moderniseringsstyrelsen - som risikerede at blive kompromitteret, hvis hackere fik adgang til én af parternes systemer.
»Ved at Rigspolitiet har placeret driften af Schengen-informationssystemet i én mainframe, som også blev benyttet af andre dataansvarlige til helt andre formål, er Schengen-informationssystemet helt unødvendigt blevet eksponeret for risici, som kan henføres til andre dataansvarliges drift af deres systemer,« skriver tilsynet.
Det svage led i den måde, mainframen var opsat på hos CSC, var, at sikkerheden kom til at hænge på adgangskontrollen, som skulle forhindre, at man fra én dataansvarligs system kunne komme til at få adgang til systemer, der lå på samme LPAR. Og når man havde adgang til Rigspolitiets systemer på én LPAR, kunne man også få adgang til de systemer, der lå på andre LPAR.
»Ved at indlægge driften af Schengen-informationssystemet i samme mainframe, i samme LPAR, og under kontrol af ét og samme styresystem, som Moderniseringsstyrelsen også anvendte til webserveren, tilsidesatte Rigspolitiet såvel princippet om isolation som princippet om adskillelse. I dette tilfælde manglede der tilstrækkelig adskillelse mellem de dataansvarlige, ligesom der manglede adskillelse mellem Schengen-informationssystemet og webserveren, som funktionelt set ikke havde noget med hinanden at gøre, og derfor ikke burde afvikles under kontrol af et og samme styresystem. Herved tilsidesattes tillige princippet om forsvar i dybden,« skriver Datatilsynet.
Datatilsynet betegner konfigurationen som 'sikkerhedsmæssigt særdeles uforsigtigt' og kalder det 'helt unødvendigt', at Rigspolitiet på denne måde har eksponeret Schengen-registret for hackerangreb fra internettet.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.