It-angreb vokser: Hackere havde adgang til følsomme data om børn på servere hos SFI i fire år

Illustration: MI Grafik
En af serverne omfattet af hackerangrebet mod Socialstyrelsens servere i 2012-2016 indeholdt følsomme oplysninger om blandt andet misbrugte børn, kriminelle unge og anbragte børn.

Opdateret 7. december 2018 kl. 13:00 - se nederst.

Hvad havde bagmændene egentlig adgang til, dengang en malware uset inficerede to servere med data fra Socialstyrelsen gennem fire år? Det viser sig, at den ene server blandt andet indeholdt oplysninger om børn, der er blevet seksuelt misbrugt, om kriminelle unge og deres risiko for tilbagefald og om stofmisbrugere.

Som Version2 tidligere har afdækket, blev to servere hos SFI hacket af ukendte bagmænd i november 2012. Serverne tilhørte Socialstyrelsen og gav hackerne adgang til boligstatistik og data til en portal, der indsamler og udstiller oplysninger om plejefamilier og tilbud til mennesker med en funktionsnedsættelse eller et socialt problem.

SFI havde ansvaret for sikkerhedsovervågningen af serverne, mens Koncern IT under det daværende Social- og Indenrigsministeriet var forpligtet til at føre tilsyn med SFI's it-sikkerhed. På trods af det blev angrebet først opdaget næsten fire år senere, nemlig i sommeren 2016, hvor malwaren blev fjernet. Dengang sagde Socialstyrelsen, som ejede dataene på serverne, til Version2, at der ikke var nogen følsomme persondata på de angrebne servere.

Læs også: Malware huserede uset i fire år på servere hos forskningscenter for velfærd

Men nu - to år senere - er det kommet frem, at den ene af Socialstyrelsens servere omfattet af angrebet indeholdt følsomme oplysninger. Serveren havde til formål at genere rapporter på aggregeret niveau. Det viser dokumenter, som Altinget har fået aktindsigt i.

Serveren dækkede over fem databaser i Socialstyrelsen, som blandt andet indeholdt oplysninger om seksuelt misbrugte børn, kriminelle unge og stofmisbrugere - herunder også »i visse tilfælde« personfølsomme data, skriver Altinget.

Statsstøttet hackergruppe sandsynligvis bag

Dokumenterne afslører, at det »typisk er statsstøttede hackergrupper«, der udfører den type angreb, der er tale om her, og det understreger sagens alvor, skriver Altinget.

Alligevel mener Socialstyrelsen ikke, at hackerne har haft adgang til personfølsomme data, skriver Altinget. Mediet har med henvisning til Rigsrevisionens tidligere kritik af mangelfuld logdata forsøgt at få Socialstyrelsen til at svare på, hvordan de kan være sikre på det.

»Sandsynligheden anses for at være begrænset,« skriver Socialstyrelsen til Altinget med henvisning til, at de ud fra den »tilgængelige historik« ikke mener, at hackerne har haft adgang til personfølsomme data.

Læs også: Malware-befængt institution får hug for it-sikkerheden: Slyngede om sig med admin-rettigheder

De fem af Socialstyrelsens angrebne it-værktøjer bruges til: at koordinere indsatsen for misbrugte børn (Børnehusene), at indsamle oplysninger om personer i stofmisbrugsbehandling (Stofmisbrugsdatabasen), at vurdere risikoen for tilbagefald blandt kriminelle unge (Ungdomssanktionen YLS), at forbedre børns forhold til forældre, pædagoger og lærere (De Utrolige År) samt et styrings- og dokumentationsredskab i sagsforløbet på socialområdet (VIAS).

Databaserne blev opbevaret hos en server ved det, der dengang hed SFI - Det Nationale Forskningscenter for Velfærd. Centret havde til opgave at bidrage med samfundsrelevant forskning indenfor sociale forhold og indgår i dag i VIVE - Det Nationale Forsknings- og Analysecenter for Velfærd.

Sikkerhedsekspert forudså, at sagen ville vokse

Da SFI opdagede angrebet for to år siden, tog forskningscentret de to angrebne servere offline. Opdagelsen skete under det, som SFI overfor Version2 kaldte »den løbende overvågning af serverne«, hvilket Center for Cybersikkerhed hjalp dem med. Dengang vidste SFI ikke, hvem der stod bag, eller hvad motivet var. De kunne heller ikke sige, om bagmændene havde hevet data ud af de to servere, der blev taget offline.

Læs også: Malware-befængt institution standser rundspredning af admin-rettigheder

»Hackere udvikler som bekendt hele tiden nye angrebsteknikker, som går uden om de gængse it-sikkerhedsforanstaltninger. Det har også været tilfældet her,« skrev Hanne Friis Kaas, der er økonomi- og administrationschef ved SFI (i dag VIVE), i en mail til Version2.

Udmeldingen lød dengang fra Socialstyrelsen, som var ejer, og Udlændinge-, Integrations- og Boligministeriet, som var dataansvarlige, at de to servere ikke indeholdt personfølsomme oplysninger. Til det sagde Jacob Herbst, CTO i it-sikkerhedsselskabet Dubex, til Version2 i september 2016:

»Hvis man er blevet kompromitteret, og man ikke har en log, der fuldstændigt viser, hvad der er foregået, eller en effektiv segmentering, så er det efter min opfattelse meget modigt at sige, at der kun har været adgang til ikke-kritisk information. For du har dybest set ingen beviser for det.«

Læs også: Finansministeriet: Hver tredje statslige it-system risikerer nedbrud og hackerangreb

Han udtrykte, at bagmændene kunne have brugt de to webservere som en måde til at få adgang til mere kritiske servere på.

»Og en fin måde at gøre det på er at lægge sin bagdør ind på en knap så kritisk server og bruge den som springbræt til at få adgang til de systemer, man gerne vil have adgang til,« sagde Jacob Herbst til Version2.

»Så at serverne med malware ikke selv har indeholdt kritiske data, kan ikke bruges til at afgøre, om andre systemer med mere kritiske data har været kompromitteret, og om der er tale om et alvorligt angreb eller ej.«

Sådan kunne det ske

Illustration: MI Grafik

Opdateret: Socialstyrelsen har skrevet til Version2, at SFI havde drift- og vedligeholdelsesansvaret for de angrebne servere - herunder ansvaret for sikkerhedsovervågning - mens Koncern IT under det daværende Social- og Indenrigsministeriet havde tilsynsforpligtelserne i forhold til SFI's it-sikkerhed. Det var således ikke Socialstyrelsens ansvar at sikre, at serverne med deres data blev beskyttet mod it-angreb, ligesom det ikke var deres ansvar at føre tilsyn med it-sikkerheden på serverne. Det har vi understreget i artiklen. Samtidigt har Socialstyrelsen bedt os præcisere, at der i den angrebne server med følsomme data var tale om aggregerede data. Det har vi tilføjet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

De fem af Socialstyrelsens angrebne it-værktøjer bruges til: at koordinere indsatsen for misbrugte børn, at indsamle oplysninger om personer i stofmisbrugsbehandling, at vurdere risikoen for tilbagefald blandt kriminelle unge, at forbedre børns forhold til forældre, pædagoger og lærere samt et styrings- og dokumentationsredskab i sagsforløbet på socialområdet."

Hmmmm... Lyder det ikke betænkeligt meget af profilering? Og hvordan forbedrer man børns forhold til forældre, pædagoger og lærere via en database? Mon det er Trivselsundersøgelserne, der er blevet hacket? Hvad hedder de 5 databaser? Hvem har mon adgang -lovligt?

Mon det er tilfældigt, at præcist disse databaser er gået under radaren i forhold til sagen indtil nu? Jeg tvivler. Mon ikke man har arbejdet ihærdigt på at skjule denne for magthavende politikeres totalitære visioner ubekvemme sag ude af offentlighedens søgelys? (i givet fald - hvor har Datatilsynet været?)

Og mon det har noget med dette at gøre?:
•'Beslutning om øget sikkerhed: I lyset af databeskyttelsesforordningen (GDPR, red.) har Sundhedsdataprogrammet indført nye datasikkerhedsmæssige tiltag. En række projekter har måttet afvente igangsættelse, indtil de datasikkerhedsmæssige tiltag var på plads.'"
https://www.version2.dk/artikel/kaempe-sundhedsdata-projekt-forsinket-ud...

Vild tanke:
"typisk er statsstøttede hackergrupper"
Kan det tænkes, at det er staten, der har hacket sig selv med det formål at bruge disse data til formål, som ikke tåler offentlighedens søgelys - f.eks. ift. brugen af data til profilering?
Nå, det er nok alligevel for vild en tanke. Men min tillid til det offentliges både vilje og evne til at håndtere følsomme oplysninger kan simpelthen ikke genoprettes til et niveau, hvor jeg finder det forsvarligt at overlade personfølsomme oplysninger ud over det for borgeren mest nødvendige til det offentlige.

Anne-Marie Krogsbøll

Hvad hedder de 5 databaser?


Jeg er blevet gjort opmærksom på, at det faktisk fremgår af Altinget-artiklens faktaboks. Det er så ikke Trivselsundersøgelserne, men man bliver ikke så meget klogere på, hvad det så er. Hvor kommer data fra?

Men det er i hvert fald meget slemt, at der har været åbent hul indtil de data. Det kan næppe blive mere følsomt.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder