Professor efter hackerdom: Staten skal gentænke sin data-håndtering fra bunden

Illustration: leowolfert/Bigstock
Det er uheldigt, at staten har samlet datahåndteringen hos store internationale aktører, siger professor Kim Normann Andersen, der opfordrer staten til at starte helt forfra og få en ny plan for sikring af borgernes data.

»Der er brug for en fundamental gentænkning af statens data-håndtering.«

Sådan lyder det fra professor på CBS Kim Normann Andersen oven på danmarkshistoriens største hackersag, som i går blev afsluttet. Svenske Gottfrid Svartholm Warg blev dømt for hacking af CSC, mens hans danske medtiltalte blev dømt for medvirken til forsøg på hacking.

Hackerangrebet ramte en af statens største it-leverandører, og har kompromittereret vitale persondata for den danske befolkning. Og mens staten har påbegyndt arbejde for at højne sikkerheden, så er det ikke nok, mener Kim Normann Andersen.

»Det, der er sat i gang efter denne sag breakede, handler om, at gentænke sikkerheden i forhold til, hvem der har adgang til data, samt hvor der er brug for oprustning. Men vi mangler at se opdatering af planer for, hvordan staten skal reagere når uheldet er ude, og der har været et vellykket hackerangreb,« siger han til Version2.

En stor del af truslen fra it-angreb skyldes, at mens dansk it er blevet overdraget til private virksomheder, har staten ikke opdateret sin sikkerhed tilstrækkeligt.

»For år tilbage havde vi Kommunedata, og det hele var i offentlige hænder. Det er det overhovedet ikke i dag. Sikkerhed anno 2014 er fundamental anderledes og statens sikkerhedsprocedurer har i mine øjne ikke fuldt med,« forklarer it-professoren.

Hackersagen er et »wake up call«

Trusselsbilledet fra it-kriminelle er imidlertid heller ikke blevet mindre af, at datahåndteringen ligger mange æg i samme kurv.

»Det uheldige er, at opgaverne er samlet på store internationale aktører. De står for brug, drift og transport af data. Det gør dem til meget attraktive mål for it-kriminelle. Det er en del af det trusselsbillede, som ikke er blevet opdateret,« siger Kim Normann Andersen, der dog understreger, at visse ting kan være ændret bag lukkede døre.

Forsvarsadvokaten for den nu hackerdømte Gottrid Svartholm Warg, Luise Høj, forklarede igår i retten, at konsekvenserne af angrebet kunne have været meget være. For eksempel kunne hackeren have slettet politiets registrer helt. Endnu er det dog uvist, præcis hvilken skade der er sket. Manglende logning hos CSC gør det nemlig umuligt at udelukke, om den ulovlige adgang til CSC's mainframe er blevet brugt til at redigere i statens filer- for eksempel kriminalregistret.

Kim Normann Andersen ser sagen som en anledning til at gentænke statens it-sikkerhed fra bunden.

»Hackersagen var et wake up call. Men denne sag er ikke enestående. Der er mange historier om læk af personlige data. Derfor er man nødt til at starte fra scratch og gentænke, hvordan man vil
holde dansk data sikker, og hvordan man vil reagere, når der sker brister på sikkerheden.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (30)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Jönsson

»Det uheldige er, at opgaverne er samlet på store internationale aktører. De står for brug, drift og transport af data. Det gør dem til meget attraktive mål for it-kriminelle. Det er en del af det trusselsbillede, som ikke er blevet opdateret,« siger Kim Normann Andersen, der dog understreger, at visse ting kan være ændret bag lukkede døre.

Det er jeg absolut ikke enig i. Om det er store internationale firmaer eller ej, staten eller en eller anden, som opbevarer data, så er det interessant og et attraktivt mål for it-kriminelle, så længe data er interessante.

Set i bagklogskabens lys, så synes jeg at det er endog temmelig uheldigt at staten har overladt vores personlige data til private aktører, hvis primære formål er at tjene penge til deres aktionærer (ikke at der er noget galt med det) i stedet for at sikre vores data, som burde være den absolut primære opgave (men det konflikter med at tjene penge)
Jeg er med på at det ikke er nogen som helst sikkerhed, at staten selv (prøver at) beskytte vores data. Jeg mener bare at deres fokus er mere rettet mod sikkerheden, end at optimere for at tjene penge. Ja, staten skal også spare og sikkerhed var/er sikkert et sted man vil(le) spare....

  • 8
  • 0
John Foley

Staten og de offentlige myndigheders passer ikke godt nok på befolkningens personfølsomme oplysninger og fortrolige metadata. Det er nu bevist.Og den enkelte borger har intet valg, staten tvinger - nu sidst med e-post løsningen - , en hel befolkning til at have endnu flere oplysninger liggende på centrale databaser. Tvangsdigitaliseringen af befolkningen er kun lige begyndt og fortsætter eksplosivt. Provenuet tages af Finansminsiteren, men sikkerheden og uddannelse af den enkelte borger er man ligeglad med. Hykleri så det vil noget.

  • 11
  • 0
René Nielsen

Jeg vil gerne foreslå noget meget udansk, nemlig at lære af andre landes erfaringer!

Da Tony Blair for en del år siden vandt magten i UK, troede han at han skulle bruge penge på hans politiske projekter. Det han fandt ud af var at kassen var tom.

Især to store samfundsprojekter havde drænet statskassen fuldt ud – det ene var en mislykket jernbaneprojekt og det andet var tunnelen under den engelske kanal.

Han nedsatte en kommission og de fandt ud af, at i UK var der omvendt Darwinisme i udvælgelsen af de projekter som blev igangsat. Kort fortalt var indtægter groft overvurderet, udgifter groft undervurderet og tidsplaner helt urealistiske.

De projekter som blev gennemført, var dem som burde uddø allerede i fødslen. Tony Blair og hans regering indførte en masse tiltag imod sådanne gentagelser.

Et tiltag var at gennemfører en offentlig projektleder uddannelse hvor den ”offentlige leder” kan tildeles alt fra en adelstitel til et fængselsophold for sin og projektets performance. Målt på disse kritiker ville f.eks. opførelsen af DR nye mediehus have udløst et berusverbot til projektlederen. Altså et lovfæstet forbud imod nogensinde mere at have med offentlige projekter at gøre.

Hvis nu Danmark havde samme regler som UK, ville den ansvarlige myndigheds departementschef kunne kigge i vejviseren efter hans pension og ansættelse, hvis noget som indbruddet hos CSC skete i UK.

Personligt tror jeg at det forhold, at der er en ansvarlig embedsmand som mister alle sine goder, vil gavne sikkerheden hos CSC, for er der noget embedsmænd frygter så er det at være ex-embedsmand uden pension eller andre benefits.

  • 25
  • 0
Finn Christensen

Hvorfor er det ikke f.eks. Danske Bank, der står for at trykke penge herhjemme?

Har de gjort via utallige år med det automatiske trykkeri af gebyrsedler i Nets-fabrikken.

Men pt. skulle banken lige skummet fløden og gevinsten via et salg af Nets, for efterfølgende at udvikle nye varianter ny vin på gamle flasker og omvendt.

Dem der ikke gør det de er bedst til, udfolder jo deres økonomisk kreativitet via en utroligt farvestrålende palette af hjemmestrikkede pengesedler (gebyrer) ;)

..http://www.bt.dk/penge/nyt-mega-gebyr-fra-danske-bank-40-kr.-for-at-haeve
..http://politiken.dk/oekonomi/privatoekonomi/ECE2035600/danske-bank-tjene...

  • 3
  • 0
Finn Christensen

Om det er store internationale firmaer eller ej, staten eller en eller anden, som opbevarer data, så er det interessant og et attraktivt mål for it-kriminelle, så længe data er interessante.

Netop, og så er der kun det mest simple tilbage.

1) Enten betaler man tilstrækkeligt for sikkerhed og for at udgå datatab samt forvanskning af vitale data,
2) samt betaler tilstrækkeligt for kompetent kontrol af samme,

3) eller også misbruges samt sejler borgernes data i usikkert farvand.

Da 3) jo er velkendt.. hyppigt være omtalt på V2 gennem en del år, og nu også er blevet in for vores professorer samt de videregående uddannelser, så kan man slutte at 1) og 2) eksister på papir og måske i et par få ansvarliges krogede hjerner, men ikke i virkeligheden.

De forventede styrelser eksisterer ikke, har ikke den fornødne kompetence (det er dokumenteret) og ej heller fornødne muskler (dokumenteret af Rigsrevisionen), samt både Registertilsynet samt Digitaliseringsstyrelsen m.fl. melder hus forbi - problemerne er ikke "deres bord".

Lille djøff'er, hvad gør vi nu ?

Hvor tit skal Datasikkerhed nævnes, før det siver ind ?

  • 7
  • 0
Niels Loft

Nu hvor vi har fulgt hackersagen til dens (foreløbige?) afslutning
har vi jo set hvor svært det er at efterforske og skaffe beviser.
Men hvad nu hvis det er fremmede lande der henter vores følsomme data?
Amerikanerne mener jo at deres lov gælder for alle amerikanske virksomheder uanset hvor i verden de befinder sig.
Microsoft skal udlevere data fra Irland

Kan det ske for CSC at de bliver tvunget til at udlevere data og endda uden at fortælle om at det er sket?
Og ville nogen overhovedet opdage det hvis det sker?
Det ville da være skræmmende i så fald.

  • 3
  • 0
Jens Jönsson

Kan det ske for CSC at de bliver tvunget til at udlevere data og endda uden at fortælle om at det er sket?
Og ville nogen overhovedet opdage det hvis det sker?
Det ville da være skræmmende i så fald.

Der er ikke et øje der kan se om CSC har udleveret danske data til USA.
Hvordan skal du kunne se det ?
Det efterlader ikke spor at kopiere elektroniske data.
Og husk på at CSC er ikke et dansk firma. Det er amerikansk.

Så vær du bare skræmt. Det var måske bedre at forudsætte at det >er< sket...

  • 14
  • 0
Finn Christensen

Kan det ske for CSC at de bliver tvunget til at udlevere data og endda uden at fortælle om at det er sket?

Hvem siger at CSC bliver tvunget?

Tilbage i tiden forsikrede mange regeringer befolkningen om, at vi var en atomvåbenfri zone, og at den officielle danske politik var, at der ikke stationeres atomvåben på dansk grund i fredstid - tilmed atomvåbenfrie danske farvande[2].

Uagtet dette havde H. C. Hansen (S) allerede overfor US accepteret ikke at ville spørge om eller have kendskab til evt. atomvåben[1] = der var atomvåben og man løj med åbne øjne.

Så vidt jeg husker, så har nuværende statsminister også afgivet sin tilsvarende mumbo jumbo variant, "..der foretages efter hendes vidende ingen ulovlig bla. bla.[2]

Dem der husker noget af samfundets historie og kulturen ved, at tilid er godt, men uden kompetent kontrol produceres der Potemkinkulisser.

[1] ..http://danmarkshistorien.dk/leksikon-og-kilder/vis/materiale/h-c-hansen-...
[2] ..http://subweb.diis.dk/graphics/Publications/Books2005/Koldkrig/Kapitler/...
[3] ..http://www.b.dk/nationalt/thorning-gav-tvivlsomme-oplysninger-om-overvaa...

  • 6
  • 0
Mikael Ibsen

til et stort kendt firma, og betaler en bondegård for det, er alt selvfølgelig i bedste orden - og da ikke mindst min samvittighed.

Vupti - aben over på en anden skulder - det kan simpelthen ikke gøres bedre og mere rigtigt.

Og hvis det så alligevel ikke virker ? Ja, så er det i hvert tilfælde ikke min skyld, og så må vi jo bare se at finde nogen, vi kan hænge op på det. Og jo mere komplekst svigtet er, jo længere er jeg heldigvis på afstand af skyld og ansvar.

Enhver udlicitering af ansvar rummer store risici for svigt, hvis ikke afstandene mellem ansvar for udlicitering og ansvar for udførelse af opgaven er meget kort, og jeg er ikke et øjeblik i tvivl om, at danskernes påtvungne IT-generalieblade skal ligge i en statsejet, statsdrevet, statskontrolleret og statsansvarlig organisation med korte kommandoveje og en ledelse med kvartalsreguleret løn - efter fortjeneste.

Hvis den nuværende struktur bare får et par lapper og lidt nye chefstillinger - eller sågar firmaskift - rundt omkring, vil vi bare snart igen få et nyt cirkus med abe-springning fra skulder til skulder, uden at noget essentielt æmdrer sig væsentligt. Og i tilfældet CSC's opgaver, skal amerikanere såmænd nok få de data, de gerne vil have alligevel, uanset hvem der måtte have opgaven - for det er jo en helt anden afdeling.

Men lad os nu se - mon ikke der sker det, der plejer at ske:
En stakkels talsmand bliver sat til at stille sig op og sige: "Det skal vi blive meget bedre til" - og så sker der ellers ikke mere, før der bliver balladeigen næste gang - osv. osv.

  • 5
  • 0
Frithiof Andreas Jensen

Hvordan kan man IKKE logge, når man er en virksomhed i den størelse


Tjah - Det kan väre at det er en del af en anden service som CSC er kontraktet til at levere, ud over danskernes data: Straffeattester, Körekort, Pas(?) o.s.v., et komplet identitets-kit, hurtigt, nemt og diskret, fra et "neutralt land"?

CSC har selv sagt i forbindelse med hackersagen at man ikke ved om der er ändret i registrene ... hvilket vel må forstås sådan at der heller ikke findes backups!?

  • 3
  • 0
Mikael Ibsen

skal tages med så meget salt, at retten stort set bliver uspiselig. CSC har formentligt ret tidligt indset, at de, hvis der ellers kan etableres politisk mod til det, pludselig kan komme til at stå som anklagede, og så skal der jo helst ikke være alt for konkrete udmeldinger til citat, hvilket sådan ser er helt forståeligt.

Bare rettidig omhu - i hvert tilfælde lige her...

Måske er de alligevel ved at lære det ?

  • 2
  • 0
Jan Møgelbjerg

Pengeudstedelsen er privatiseret for længst. Nationalbanken (som i øvrigt er en selvstændig uafhængig institution) står for mindre end 10 procent af pengene i Danmark. Der findes kun omkring 50-60 mia. kr i fysiske penge, men næsten 900 milliarder i elektroniske kroner, som udelukkende findes i de private bankers computere.

  • 3
  • 0
Bo Zachariasen

Hvordan kan man IKKE logge, når man er en virksomhed i den størelse

Forbryderne har tildelt sig administratorrettigheder og kan derfor have slået logningen fra ligesom de også har haft mulighed for at redigere/forvanske/korrumpere logfiler, Transaction logen m.v.

"
Den 8. april 2012 blev der uautoriseret overført et script navngivet ”koki” til politiets system på CSC’s mainframe, hvorved brugeren fik eskaleret sine brugerrettigheder til administratorrettigheder til systemet.
"
http://www.domstol.dk/frederiksberg/nyheder/domsresumeer/Pages/Afg%C3%B8...

  • 0
  • 0
Thomas Tanghus

Jeg er klar over, at jeg burde skrive dette direkte til journalisten, men mængden af grammatiske fejl i denne artikel gør, at opmærksomheden ledes væk fra det væsentlige: Indholdet.

  • Trusselsbilledet fra it-kriminelle er imidlertid heller ikke blevet mindre af, at datahåndteringen ligger mange æg i samme kurv.

  • forklarede igår i retten, at konsekvenserne af angrebet kunne have været meget være.

  • For eksempel kunne hackeren have slettet politiets registrer helt.

  • 3
  • 1
Frithiof Andreas Jensen

administratorrettigheder og kan derfor have slået logningen fra

Normalt sender man log events til en log server et andet sted. Log serveren "læser" log filer, specielt bliver det bemærket at der ikke kommer log events. Smarte log systemer laver pattern matching så man får alarmer på usædvanlige events og ændringer i flow'et af events.

Hvis en hacker bare slår logningen fra i et kompetent setup, så er han/hun afsløret inden for en time.

  • 4
  • 0
Christian Nobel

Hvis en hacker bare slår logningen fra i et kompetent setup

Uha, der ramte du vist et ord der ikke findes i CSC' vokabularium.

Men fuldstændig rigtig, et system af den størrelse og af den vigtighed har da (burde) som noget helt, helt naturligt logning liggende på en separat logserver.

Og hvis der ikke kommer logevents, så skal alle røde lamper blinke.

  • 3
  • 0
Bo Zachariasen

Smarte log systemer laver pattern matching så man får alarmer på usædvanlige events og ændringer i flow'et af events.

Så kan det være at alarmerne også er slået fra. Eller logningen kan være delvis slået fra sådan at kun deres handlinger ikke logges og alamer ikke aktiveres. Det afhænger af hvor dybt de er trængt ind og hvor meget de har øvet sig på den simulator som de har anvendt.

I øvrigt kan de have installeret malware: spyware, logiske bomber og andre bagdøre imens systemet var bindet. Også i firmware og også i den firmware som ikke kan opdateres under drift idet de kan have lagt selvdestruktive script der udføres ved reboot ind som installere malware.

Derfor bør hele systemet lukkes ned og alt renses/reinstalleres med helt friske filer som der ikke kan være manipuleret med.

  • 0
  • 1
Christian Nobel

Så kan det være at alarmerne også er slået fra. Eller logningen kan være delvis slået fra sådan at kun deres handlinger ikke logges og alamer ikke aktiveres.

Som det blev sagt tidligere: et kompetent setup.

I et kompetent setup læser/henter en helt separat logningsserver, med egne credentials, logningsdata, hvorefter det er fra den alarmen går.

Dvs. at en eventuel hacker skal gennem en kæde af led før han har fat i logningsserveren.

Men igen, Frithiof brugte det af CSC totalt ukendte begreb kompetente.

I øvrigt kan de have installeret malware: spyware, logiske bomber og andre bagdøre imens systemet var bindet. Også i firmware og også i den firmware som ikke kan opdateres under drift idet de kan have lagt selvdestruktive script der udføres ved reboot ind som installere malware.

Nu er der (eller det burde der i hvert fald ikke være) tale om en tilfældig Windows boks, så det er lidt andre betragtninger der skal på banen.

Derfor bør hele systemet lukkes ned og alt renses/reinstalleres med helt friske filer som der ikke kan være manipuleret med.

Suk.

  • 2
  • 1
Bo Zachariasen

Suk.

Det jeg skriver fjerner ikke CSC's eventuelle ansvar. Så slap bare af. Jeg har ikke nok viden til at vurdere om CSC ikke har leveret det som de har fået betaling for eller om fx kravspecifikationerne ikke har været omfattende/præcise nok.

Er der beviser for at CSC ikke har sat logningen op efter kravspecifikationen så skal man selvfølgelige komme efter CSC. Og det kan også godt være at vi skal gå helt væk fra udenlandske/US systemleverandører.

Det er ikke kun Windows der kan inficeres. Hvis du mener at vide at mainframes er immune, hvis det er sat kompetent op, over for skadelig software så dokumentere dette - for det er et meget vidtgående standpunkt.

Jeg kan dokumenterer at Hackerne har:
Udnyttet en sårbarhed i et mainframes system og
Lagt scripts ind i et mainframes system som har givet dem administrator rettigheder og
Installeret bagdøre hvor de har kunne gå ind uden (af den ene eller anden grund) logning og
Været inde i systemet i mange måneder, hvor de i princippet har kunnet lave alt.

Dette kan godt skyldes undladelser fra CSC's side. Men jeg frygter at systemet stadig er kompromitteret hvis ikke systemet er allerede er renset helt i bund efter det månedsvise lange indbrud.

Jeg har ingen dokumentation for eller viden om at CSC er inkompetente, men derfor kan det meget vel være tilfældet. Men da du virker ret sikker på at CSC er inkompetente så forstår jeg ikke at du ikke frygter at CSC har overset en infektion, men bare læner dig op af at mainframe er immune overfor angreb hvis bare det bliver passet godt nok og at mainframe, efter et månedsvis langt indbrud, stadig er rent - for mainframe er ikke windåse?

Mainframe er selvfølgelige ikke usårlige. Det er, hvis jeg selv skal sige det, et kompetent udgangspunkt.

  • 0
  • 0
Christian Nobel

CSC ikke har leveret det som de har fået betaling for eller om fx kravspecifikationerne ikke har været omfattende/præcise nok.

Dybest set mener jeg det er komplet søgt overhovedet at tale om betaling for logning - det er bare noget man gør, også i egen interesse.

Er der beviser for at CSC ikke har sat logningen op efter kravspecifikationen så skal man selvfølgelige komme efter CSC.

CSC havde ikke logning, det kom frem under sagen - igen, det skal være helt naturligt, ikke efter kravspecifikation (eller mangel på selv samme).

Og det kan også godt være at vi skal gå helt væk fra udenlandske/US systemleverandører.

Uagtet jeg ikke har nogen sympati for US systemleverandører, så er de aktuelle kvajpander altså danske.

Det er ikke kun Windows der kan inficeres. Hvis du mener at vide at mainframes er immune, hvis det er sat kompetent op, over for skadelig software så dokumentere dette - for det er et meget vidtgående standpunkt.

Jeg vil hævde at mainframes er immune over for virus og almindelig malware, men ikke over for exploits som f.eks. shellshock, eller helt banal password gætning via FTP.

Jeg kan dokumenterer at Hackerne har:

DU kan dokumentere (uden e!) - aha, det lyder interessant - det er der vist ikke ret mange andre der kan.

Dette kan godt skyldes undladelser fra CSC's side. Men jeg frygter at systemet stadig er kompromitteret hvis ikke systemet er allerede er renset helt i bund efter det månedsvise lange indbrud.

Og så er det altså det gyser i mig når du bruger ordet "renset".

Jeg har ingen dokumentation for eller viden om at CSC er inkompetente

Det har jeg heller ikke, men den adfærd de har lagt for dagen siger vist det hele.

Men da du virker ret sikker på at CSC er inkompetente så forstår jeg ikke at du ikke frygter at CSC har overset en infektion,

Igen mener jeg infektion er et forkert ord, men jeg er på ingen måde overbevist om at Pandoras æske ikke er åben endnu.

men bare læner dig op af at mainframe er immune overfor angreb hvis bare det bliver passet godt nok og at mainframe, efter et månedsvis langt indbrud, stadig er rent - for mainframe er ikke windåse?

Jeg læner mig ikke op af noget som helt, forklarer bare at det er forskellige scenarier, og de skal håndteres derefter.

At håndtere en mainframe som en Windows maskine og omvendt vil være lige forkert i begge situationer.

Mainframe er selvfølgelige ikke usårlige. Det er, hvis jeg selv skal sige det, et kompetent udgangspunkt.

Men har CSC så haft et kompetent udgangspunkt?

  • 0
  • 0
Jan Nielsen

"CSC havde ikke logning, det kom frem under sagen"

Hvad mener du med "under sagen"? De eneste referencer, jeg kan finde, er et par artikler fra politiken.dk - referet her på version2 medio oktober - omhandlende en lækket "hemmelig" rapport fra Center for Cybersikkerhed. Af artiklerne fremgår at »Konkret har Center for Cybersikkerhed modtaget data svarende til et tocifret antal terabyte, hvilket i A4-papir svarer til en stak, der minimum kan nå fra Jorden til Månen og tilbage igen« Jeg formoder, der er tale om logdata.

  • 1
  • 1
Finn Christensen

Dem der husker noget af samfundets historie og kulturen ved, at tilid er godt, men uden kompetent kontrol produceres der Potemkinkulisser.

Jeg glemte desværre at tilføje, at med rigets slappe holdning til fortrolige data, datasikkerhed og den utilstrækkelige uddannelse af kompetent personal (deraf slapheden), så skal CSC slet ikke at udleverer noget, samt statsminister HTS kan helt uvidende sove roligt de næste 3-5 år ..http://www.politiko.dk/nyheder/politiets-it-er-guf-for-hackere

NSA kan selv nemt hente alt det de orker. Var muligt før og er muligt den dag i dag. Og da enhver record tilmed har en entydig nøgle (CPR), så har de på ingen tid sammenkørt et overflødighedshorn af vitale data incl. følsomme oplysninger på > 5 mio. mennesker.

Hvad ingen ved det har ingen ondt af :(

  • 2
  • 0
Log ind eller Opret konto for at kommentere