Nationalbanken klapper i om Solarwinds-sagen: Her er Version2s ubesvarede spørgsmål
Nationalbanken oplyser, at der ikke var tegn på misbrug af syv måneders adgang til bankens servere gennem Solarwinds Orion.
Men Version2 kan dokumentere fra en aktindsigt og dokumenter fra en anonym kilde, at der var flere mistænkelige ting, der dukkede op under eftersøgningen.
De lækkede dokumenter fra en whistleblower, der er bekymret for sikkerheden i Nationalbanken, viser blandt andet, at den ramte Solarwinds-installation styrer og overvåger dele af Nationalbankens produktionsmiljø.
Samt at en server med en IP, der ikke umiddelbart genkendes, pludselig figurerer i en oversigt over netværket. Og at den har adgang til internettet. Det har en af Nationalbankens Solarwinds-installationer i øvrigt haft helt indtil d. 11 januar.
Derudover valgte Nationalbankens underleverandør, JN Data den billigste og mindst omfattende genopretnings-øvelse.
Siden det ikke fremgår, hvordan sikkerhedshændelserne blev håndteret i hjerter af Danmarks finansielle infrastruktur, stillede Version2 følgende spørgsmål til Nationalbanken og dens tre leverandører KMD, JN Data og BEC.
Ikke ét af dem blev besvaret.
1) Hvilke rettigheder havde den nye Solarwinds-installation til de services, den overvåger og styrer inden d. 14 december 2020?
2) Styrer eller overvåger SolarWinds Kronos2 frem til 14 december 2020?
3a) Styrer eller overvåger SolarWinds Kronos2 i dag?
b) Hvis ikke, hvorfor diskuteres Solarwinds-problemerne på et møde om Kronos2's driftsstabilitet jævnfør akt 20 i min aktindsigt, DQB-møde 25 januar 2021?
4) BEC skriver selv, det nærmest er umuligt at bevise, adgangen gennem SolarWinds ikke er blevet misbrugt. Hvad er jeres grundlag for, som central spiller i den danske og internationale bank-infrastruktur, ikke at udskifte alt, Solarwinds har haft kontrol over og adgang til?
5) Da I bliver klar over angrebet, har det stået på i op til 7 måneder. JN's Solarwinds-backup løber kun seks måneder tilbage, så de havde ikke en brugbar backup, da de skulle træffe beslutningen om en total udskiftning, komplet genetablering af alle services, eller en nulstilling af passwords. Det gør genetableringen af services besværlig, og JN ender med at gå med en nulstilling af passwords, der ikke kræver en brugbar backup. Den mindst forsigtige af de tre muligheder. Det på trods af, at SolarWinds selv anbefaler som minimum genetablering af services(det gør Cisco også, og jeg er ganske sikker på, I kører Cisco), hvis man har den mindste mistanke om kompromittering.
Denne diskussion kører internt i JN helt frem til og med februar 2021 (9 måneder efter første kompromittering). Men services er stadig ikke udskiftede den dag i dag, kun deres passwords.
Var I med inde over den proces, og hvor tilfredse er I med jeres underleverandørs sikkerhedsvurdering i dette tilfælde?
6) Hvad havde du (sikkerhedsansvarlig i Nationalbanken) selv gjort som leder af det ansvarlige CDC?
I skriver i en mail 16 december 09:04: at 'nogen' har downloadet en installationspakke til en produktionsserver.
7) Hvem er 'nogen'? Hvilke privilegier/hvilken account har foretaget denne download?
8) Det fremgår af samme mailtråd, at pakken blev slettet - lavede I forensics på den inden da?
9) Hvordan kan I sandsynliggøre, at;
a) ZIP-filen ikke er blevet delvist ekstraheret?
b) Ikke er pakket sammen igen, men er blevet benyttet?
c) Ikke har fungeret som en base, der er plukket filer fra til angreb længere ind i miljøet?
10) Indtil midt januar har Solarwinds-serverne og alle services, der endnu ikke er udskiftet men blot har fået ændret kodeord, adgang til internettet.
a) Hvorfor lukkes der først ned for adgangen en måned efter, at I opdager bruddet?
11) I løbet af januar dukker en Solarwinds-server op med IP-adressen 10.31.220.120, som i flere ombæringer flages som mistænkelig.
a) Har I hørt om denne IP?
b) Fandt I ud af, hvad denne mystiske IP lavede?
c) Hvad betyder jeres findings (eller manglende information) for jeres risikovurdering?
12) 16 december 2020 (lige inden Hotfix2) begynder to core-servere hos jer uopfordret at sende trafik markeret som office 365 (kan camoufleres i elastic, så det mærkat kan dække over alt muligt, medmindre man kigger nærmere) ud mod internettet.
a) Har I kigget nærmere på denne trafik?
b) Hvad tyder jeres forensics af de to serveres kommunikation på?
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
