Nationalbanken afviser alt i egen nyhed

Illustration: Iskra Dinkova
Nationalbankens pressemeddelelse går stik imod de informationer, Version2 har fået efter aktindsigt hos banken selv.

Efter Version2's afsløring af Nationalbankens implicering i det verdensomspændende Solarwinds-hack har Nationalbanken, i stedet for at stille op i et interview, i dag udgivet en kommentar på deres egen hjemmeside. Nationalbanken ønsker ikke at uddybe kritikken over for Version2.

Læs også: Danmarks nationalbank hacket som led i ‘verdens mest sofistikerede hackerangreb’

Kommentaren forholder sig stadig ikke konkret til et eneste af de spørgsmål, Version2 har stillet Nationalbanken, men starter således:

»Medieforlydender om at Nationalbanken har været hacket, og at en bagdør til it-systemerne har stået åben i syv måneder er ikke korrekt,« skriver Nationalbanken på deres hjemmeside.

Men jævnfør aktinindsigten, Version2 har fået hos Nationalbanken skriver Nationalbankens leverandør, BEC, helt konkret til Nationalbanken:

»Det primære fokus for jer er [Serverdomæne slettet af V2 af hensyn til DNB's sikkerhed], som har været en del af DNS callbacks. Jeg vil gerne understrege, at dette er forventeligt. Dette er sket som led i 1'st stage af den dll bagdør.«

Med andre ord har Nationalbankens Solarwinds-installation lavet et opkald til hackernes servere. Det er temmelig ordinært, da mere end 18.000 virksomheder og organisationers servere har gjort det samme verden over.

Men der var en bagdør, som leverandøren også helt konkret kalder det, der var klar til at agere på hackernes kommando.

Flere hændelser

Leverandøren bakkes op af Solarwinds selv, der skriver følgende om sårbarheden i deres produkt:

»While SUNSPOT is the means by which the attackers injected the SUNBURST backdoor during the build process of the Orion Platform, TEARDROP and RAINDROP are reportedly malware loaders that could be deployed as secondary tools using the SUNBURST backdoor,« skriver Solarwinds, der altså - akkurat som Nationalbankens leverandør - bruger begrebet bagdør om svagheden i den sårbare installation, Nationalbanken ifølge aktindsigten og Version2's whistleblower har haft kørende.

Nationalbankens meddelelse fortsætter:

»Nationalbanken var ligesom 18.000 andre virksomheder på verdensplan eksponeret for sårbarhederne i SolarWinds softwaren via Nationalbankens leverandører og underleverandører. SolarWinds-angrebet ramte derudover generelt den finansielle infrastruktur i Danmark,« lyder det fra Nationalbanken, der tillige skriver, at »de relevante systemer i Nationalbanken blev hurtigt inddæmmet og analyseret, så snart kompromitteringen af SolarWinds Orion blev kendt. Der blev grebet konsekvent og hurtigt ind på en tilfredsstillende måde.«

Meddelelsen forholder sig dog ikke til alle de hændelser, som eksperter over for Version2 vurderer tyder på en mangelfuld håndtering af sagen. Herefter gentager banken sine tidligere pointer:

»Nationalbanken og bankens leverandører benytter sig af flere værktøjer og metoder til at overvåge, inddæmme og analysere situationer, hvor der er mistanke om kompromittering. Af sikkerhedsmæssige årsager kan Nationalbanken ikke oplyse konkret hvilke værktøjer eller metoder, der benyttes. Hertil kommer, at der i den konkrete situation har været en it-arkitektur, som yderligere har minimeret risiko for kompromittering. De gennemførte analyser konkluderer, at Nationalbanken ikke har været kompromitteret som følge af sårbarhederne i SolarWinds softwaren i de syv måneder sårbarheden eksisterede. Dette er også bekræftet af bankens it-leverandører.«

Du kan læse Version2's dokumentation og gennemgang af sagen her:

Læs også: Eksperter kritiserer Nationalbankens Solarwinds-håndtering: »Det hele virker too little too late«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Børge Svingalius

Seriøst, hvad sker der...?

Det er Nationalbanken, ikke en eller kræmmerbiks der skal redde deres omdømme. Jeg ved godt Version2 ikke er alles go-to medie, og historien derfor ikke når ligeså bredt ud som den generelle presse, men er det ikke ekstremt naitvt af Nationalbanken at tro at deres spin ikke vil rejse spørgsmål blandt befolkningen...?

Hvad kan motivet været i at underspille bankens sårbarhed overfor et angreb som har ramt SÅ bredt?

  • 21
  • 2
#4 René Nielsen

To russiske kampfly flyver indover Bornholm to gange, men bliver til sidst udvist af danske F16 fly.

Danmark bliver vred og sender en besked afsted mod Rusland!

Russiske statshackere har angiveligt en bagdør ind i, ikke én af vores banker, men selveste nationalbanken.

Danmark bliver vred og fordrejer sandheden for befolkningen!

  • 11
  • 4
#5 Anders Rosendal

men er det ikke ekstremt naitvt af Nationalbanken at tro at deres spin ikke vil rejse spørgsmål blandt befolkningen...?

Nej, det vil jeg tro de har helt ret i.

99,9% af befolkningen er fuldstændig ligeglad med om nationalbanken er blevet hacket. Lidt ligesom de er ligeglade med at staten laver ulovlig logning af dem.

De går mere op i ting fra hverdagen. Er mælk steget 1 kr eller er der 5 min mere kø til arbejde.

  • 15
  • 1
#7 Asger Solvang

Jeg har stor forståelse for at folk syntes det må være en katastrofe at Solarwinds software har siddet i Nationalbankens net og "kaldt hjem" for at få instruktioner til at hente malware ned til banken og eksekvere det.

Nu ved jeg ikke hvordan Nationalbanken infrastruktur er bygget op, men er den kastet ind med en skovl, så vil jeg også være meget nervøs ved at Solarwinds software har været kompromiteret.

På den anden side, har Nationalbanken tænkt sikkerhed "rigtig" ind i infrastrukturen, så vil de have sørget for, at fordi et enkelt lag af sikkerhedsstrukturen er blevet skrællet af, så er det ikke nok til at kompromiterer essentielle systemer i banken og så er jeg knap så nervøs.

Når man taler om sikkerhed handler det om at acceptere at nogle af ens sikkerheds foranstaltninger på et tidspunkt vil blive kompromiteret. Derfor er det nødvendigt at have flere lag af sikkerhed. På den måde kan en "ubuden gæst" ikke nøjes med at komme igennem kun et lag af sikkerhed for at få fat i "gevinsten".

Der er mange måder man kan bygge flere lag af sikkerhed ind i sin infrastruktur. F.eks. vil man typisk lave netværks segmentering og sætte alle systemer på deres egen lille netværks ø og så have firewall's mellem de netværks segmenter, der har brug for at kommunikere med hinanden. Endvidere kan man også have firewall aktive på de enkelte servere, man måtte have, så man er dobbelt sikret. Alting handler om at bygge så mange lag ind som man finder nødvendig for at minimere risikoen for kompromitering af alle sikkerheds lag. Typisk vil man sikre de mest sensitive systemer mest.

Problemet i denne diskussion er at vi aldrig får at vide hvordan Nationalbanken har prøvet at sikre sig, fordi den slags information er ikke noget man ligger frit frem. Det kan altså være at Nationalbankens infrastruktur er hullet som en si, men det kan også være de har bygget tingene med omtanke og professionel hjælp og f.eks. har placeret Solarwinds komponenten på servere på en netværks ø uden adgang til andet en hvad den har brug for at gøre sit arbejde.

  • 3
  • 0
#8 Max Andersen

Det er efterhånden som at læse nationen på ekstra bladet med de følelsesmæssige kommentarer. Ingen ved noget men alle ved alligevel det hele. Tænk hvis de havde malware der forsøger at kontakte en C2 server men at pakkerne ikke kunne kontakte nogetsomhelst grundet firewall regler eller andre foranstaltninger? Tyv tror at hver mand stjæler. Giv dog NB noget kredit.

  • 1
  • 4
#9 Mogens Lysemose

Eftersom Nationalbanken er en offentlig myndighed har de bla. jf forvaltningsloven pligt til at tale respektfuldt og tillidsvækkende til de borgere og medier, der henvender sig. Det er muligt at de mener at V2 blæser sagen op/misforstår, men i givet fald burde de komme med uddybende forklaringer, som skaber forståelse og tillid til banken, i stedet for at skælde journalisten ud og så blive fornærmet og klappe i som en østers.

Det er muligt at direktionen og bestyrelsen intet ved om IT, kun om bankdrift, men Nationalbanken er ikke en privat bank, der kan kommunikere og gøre som den vil.

  • 0
  • 0
Log ind eller Opret konto for at kommentere