CSC-hacking: Hemmelig rapport afslører alvorlige sikkerhedssvigt hos CSC

Illustration: leowolfert/Bigstock
Det var umuligt for Center for Cybersikkerhed at vurdere sikkerhedsniveauet hos CSC efter angrebet på politiets it-systemer i 2012. Det fremgår af en afklassificeret rapport, der afslører alvorlige forsømmelser hos CSC.

Den største private leverandør af kritisk it-infrastruktur i Danmark, CSC, er endnu en gang genstand for alvorlig kritik af sin omgang med sikkerheden i forlængelse af hackerangrebet på virksomheden i 2012.

Denne gang kommer kritikken fra Danmarks nationale it-sikkerhedsmyndighed, Center for Cybersikkerhed, der ikke var i stand til at udføre sit arbejde og vurdere sikkerheden hos CSC oven på det, der er blevet kaldt Danmarkshistoriens største hacker-sag.

Læs også: Få overblikket: Politiet hacket - men hvad skete der?

Centeret kunne nemlig ikke indhente den nødvendige dokumentation for, hvilke sikkerhedstiltag CSC havde gjort for at sikre it-systemerne oven på hacker-angrebet. Det fremgår af en afklassificeret rapport udarbejdet af netop Center for Cybersikkerhed, som Version2 har fået aktindsigt i.

I slutningen af juni, kort efter at hacker-angrebet var blevet kendt, udarbejdede Center for Cybersikkerhed rapporten, der søgte at gøre status over sikkerheden hos CSC. Men det viste sig at være en umulig opgave.

»Det er ikke muligt at fastslå, om de sårbarheder, der muliggjorde den konstaterede kompromittering, på nuværende tidspunkt er fjernet, ligesom det ikke er muligt at fastslå, om CSC vil kunne forhindre forsøg på lignende kompromitteringer,« lyder det i rapporten, der fortsætter:

»Det er ligeledes ikke muligt at fastslå, om der i dag generelt er et passende sikkerhedsniveau i CSC’s mainframemiljø,« lyder en af rapportens konklusioner.

Læs også: CSC fandt 3 ekstra bagdøre til politiets systemer

"Der er tale om en foreløbig rapport"

Chef for Center for Cybersikkerhed, Thomas Lund-Sørensen påpeger, at man skal kigge på, hvornår og i hvilken kontekst rapporten er blevet til.

»Der er tale om en foreløbig rapport, som først og fremmest gik ud på at finde ud af, hvad der var sket, og hvad man kunne gøre for at begrænse skaderne. Det er klart, at rapporten er udarbejdet på dels en kort tidsperiode, og dels på et tidspunkt, hvor man ikke har haft mulighed for at analysere alle data igennem,« siger Thomas Lund-Sørensen til Version2.

Men det fremgår jo af rapporten, at det er fordi CSC ikke har stillet den nødvendige dokumentation til rådighed for jer.

»Det kan man ikke alene sige. Der er ingen tvivl om, at når man kommer som sikkerhedsmyndighed og beder om en masse data, så lægger man også et stort arbejde over på den virksomhed eller myndighed, som man beder om dataene fra. Ting tager tid,« siger Thomas Lund Sørensen og uddyber:

»Derudover kunne der jo være andre data, der ikke nødvendigvis lå hos CSC, som vi havde behov for at kigge på for at kunne forstå, hvad der var sket,« siger Thomas Lund-Sørensen til Version2.

Der står i rapporten: ‘Center for Cybersikkerhed har endnu ikke fra CSC fået udleveret dokumentation for, hvilke tiltag CSC har gennemført for at sikre it-systemet...’ Betyder det ikke, at CSC ikke kunne svare på, hvad de havde gjort for at lukke hullet?

»Det kan man ikke umiddelbart sige. Det ligger jo langt tilbage, så det er svært at huske præcis, hvad den formulering dækker over, men det kan betyde, at vi skulle have hentet nogle ting ud fra systemerne eller en teknisk dokumentation, som ikke umiddelbart var tilgængelig,« siger han.

Rapporten er den første af tre planlagte rapporter, og hos Center for Cybersikkerhed er de i øjeblikket ved at lægge sidste hånd på rapport nummer to, der forventes at være færdig i starten af det nye år.

Thomas Lund-Sørensen understreger, at de er blevet klogere siden den første rapport, men kan ikke løfte sløret for, hvad der kommer til at stå i den nye, der ligesom den første er blevet til i tæt samarbejde med CSC.

Om samarbejdet fortæller han, at dialogen har været god og konstruktiv, og er det fortsat.

Ud fra et sikkerhedsmæssigt perspektiv har de så opført sig professionelt?

»Det kan jeg simpelthen ikke sige noget om på nuværende tidspunkt. Der er rigtig mange aktører blandet ind i det her, og det er meningen med rapport tre, at vi skal kigge på, hvordan man sikrer en fornuftig dialog, som ud over det indholdsmæssige også omhandler sikkerhed,« siger Thomas Lund-Sørensen til Version2.

Det har inden for redaktionens deadline ikke været muligt at indhente en kommentar fra CSC.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Claus Jacobsen

Har man virkelig ikke dokumentation for hvorledes deres sikkerhedsprocedurer er? Eller er det ad hoc arbejde for de pågældende personer der lige var på arbejde den dag og som ikke bliver dokumenteret i nogen journal eller lignende? - Det lyder for mig helt utopisk at der ikke forefindes nogen som helst nedskreven dokumentation for hvorledes firmaet sikrer sine kunder!

Jeg må tilstå jeg som borger i DK har meget svært ved at have tillid til noget som helst CSC laver for det offentlige i dag. De har nu været i søgelyset med så mange ting og hvis man sammenfatter alle de sager, så viser det desværre et firma der overhovedet ikke har styr på noget som helst. - Jeg er helt sikkert ked af det på de ansattes vegne, men der er desværre i den grad en rød tråd mellem alle de her sager, og det er i høj grad at de overhovedet ikke ser ud til at have en viden om hvordan tingene gribes an eller kan styre deres projekter.

Spørgsmålet er jo i virkeligheden om ikke det offentlige danmark burde begynde at trække nogle streger i sandet og lave nogle tiltag som konsekvens af det her. Men det er nok desværre næsten ligeså utopisk at tro de kan det.

s_ mejlhede

"Thomas Lund-Sørensen understreger, at de er blevet klogere siden den første rapport, men kan ikke løfte sløret for, hvad der kommer til at stå i den nye, der ligesom den første er blevet til i tæt samarbejde med CSC."
= Vi vil i samarbejde med CSC lave en total intetsigende rapport, hvor der ikke pålægges nogen af parterne nogen fejl

"Ud fra et sikkerhedsmæssigt perspektiv har de så opført sig professionelt?

»Det kan jeg simpelthen ikke sige noget om på nuværende tidspunkt. "
= Nej det har de ikke, men i den endelige rapport har vi gemt det rigtigt godt af vejen. Eller kunne vi jo sige ja allerede nu, hvis de have det.

"Der er tale om en foreløbig rapport, som først og fremmest gik ud på at finde ud af, hvad der var sket, og hvad man kunne gøre for at begrænse skaderne. Det er klart, at rapporten er udarbejdet på dels en kort tidsperiode, og dels på et tidspunkt, hvor man ikke har haft mulighed for at analysere alle data igennem,« siger Thomas Lund-Sørensen til Version2."

= Når vi får noget mere tid, finder vi på bedre undskyldninger, og får gemt alle dumheder af vejen.

Henrik Pedersen

Jeg forsøgte at klikke plus mere end én gang, men det virkede ikke.
Jeg overvejer at lave et script til at oprette brugere og stemme dig op, fordi der er simpelthen så meget sandhed i det indlæg..

Der ud over mener jeg at overskriften bør ændres til:

"CSC-hacking: Hemmelig rapport bekræfter alvorlige sikkerhedssvigt hos CSC"

De fleste folk i IT branchen har vel hele tiden vidst at CSC var en flok narhoveder, og stadig er det...
Undskyld sproget, men der er ikke noget andet udtryk som rigtigt kan dække mine følelser for dem.

Kim Henriksen

Centeret kunne nemlig ikke indhente den nødvendige dokumentation for, hvilke sikkerhedstiltag CSC havde gjort for at sikre it-systemerne

Jeg kan godt forstælle hvorfor, det er fordi de slet ikke eksistere, og CSC har ikke kunne nå at forfatte dem

Lars Lk

...burde finde andre leverandører end CSC, når de udover af være infiltreret af NSA ikke kan garanterer noget som helst i forhold til sikkerhed generelt, så kan de jo ikke bruges til at behandle offentlige data, de er simpelthen for uprofessionelle...

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder