Der er en helt reel trussel om alvorlige og meget skadelige cyberangreb mod danske myndigheder – og det skal de fremover tage mere alvorligt og blive bedre til at håndtere.
Sådan lyder hovedkonklusionen i en ny rapport, hvor Center for Cybersikkerhed og Digitaliseringsstyrelsen sammen har set på det store hackerindbrud hos CSC i 2012 og omsat det til anbefalinger om it-sikkerhed.
»… myndighederne skal være mere opmærksomme på at stille passende sikkerhedsmæssige krav til leverandørerne og følge løbende op på, at leverandørerne efterlever kravene,« fremgår det af rapporten.
Helt fra starten slår rapporten fast, at angrebet mod CSC, hvor politiets kørekortregister og Schengen-register var i hackernes vold, var dybt alvorligt, og at manglende sikkerhed hos CSC banede vejen:
»Sagen viser også, at de angrebne systemer på angrebstidspunktet var sårbare i en sådan grad, at det lykkedes angriberne at kompromittere fortroligheden af følsomme oplysninger, og at angriberne havde etableret et fodfæste i systemerne, så de potentielt kunne have forårsaget tab eller forvanskning af uerstattelige data,« lyder det i rapporten.
For at undgå tilsvarende sager i fremtiden skal danske myndigheder blive bedre til at holde snor i leverandørernes it-sikkerhed. Det kræver de rigtige kompetencer hos myndigheden selv – man kan ikke bare tro, at ansvaret kan overlades til en leverandør.
»Herunder er det væsentligt, at der hos myndigheden er kompetencer, som (bl.a. i dialog med leverandøren) kan vurdere behov for tilkøb af sikkerhedsrelaterede ydelser (såsom opdeling af netværk, vedligehold af forbindelse til internettet, opdatering af systemer mv.),« anbefaler rapporten.
Sikkerhed er heller ikke kun et spørgsmål om at pakke sine systemer godt ind, men handler også om, hvordan systemerne er skruet sammen fra starten af, og hvorvidt hele arkitekturen er tidssvarende.
Myndighederne skal løbende forebygge ’tilsanding’ af systemerne og have styr på, at systemer og funktionalitet, som ikke længere bliver brugt, bliver stoppet, lyder en anbefaling.
Rigspolitiet bliver ikke nævnt ved navn i den 18 sider lange rapport, men får indirekte kritik for ikke at have haft godt nok styr på sikkerheden for systemerne hos CSC.
En direkte lære fra CSC-sagen er således, at sikkerheden kan forbedres ’væsentligt’, hvis kunde og leverandør har et løbende og aktivt samarbejde om sikkerhed, som også ISO27001-standarden kræver det, lyder det for eksempel.
Har man gamle systemer i porteføljen – som Rigspolitiet jo i høj grad har – skal man være særligt opmærksom, fordi trusselsbilledet var helt anderledes, da de blev designet. Når de bliver koblet sammen med internet-tjenester, kan det give sikkerhedsmæssige problemer, fordi der ikke er taget højde for trusler udefra, lyder en af erfaringerne fra CSC-hacket.
Rapporten om CSC-hackersagen er den tredje, som Center for Cybersikkerhed har forfattet, men den første, som bliver offentliggjort, da de to første går mere i detaljer om, hvordan angrebet foregik.
Denne tredje rapport er mest tænkt som anbefalinger til it-chefer i den offentlige sektor, som har eksterne leverandører til it-driften. Læs hele rapporten (pdf).
Siden hackerangrebet blev offentligt kendt i juni 2013, har en ung dansk mand siddet varetægtsfængslet, anklaget for at stå bag sammen med svenskeren Gottfrid Svartholm Warg, som blev udleveret til dansk retsforfølgelse fra Sverige i november 2013. Sagen mod de to anklagede begynder tirsdag den 2. september. Kravet fra anklageren lyder på fire års fængsel.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
