Rapport efter CSC-hackersag: Myndighederne har dårlig it-sikkerhed generelt

Illustration: leowolfert/Bigstock
En ny rapport med erfaringer fra hackersagen mod politiets systemer hos CSC peger på en generel opstramning ikke bare hos Rigspolitiet, men også i resten af den offentlige sektor.

Der er en helt reel trussel om alvorlige og meget skadelige cyberangreb mod danske myndigheder – og det skal de fremover tage mere alvorligt og blive bedre til at håndtere.

Sådan lyder hovedkonklusionen i en ny rapport, hvor Center for Cybersikkerhed og Digitaliseringsstyrelsen sammen har set på det store hackerindbrud hos CSC i 2012 og omsat det til anbefalinger om it-sikkerhed.

»… myndighederne skal være mere opmærksomme på at stille passende sikkerhedsmæssige krav til leverandørerne og følge løbende op på, at leverandørerne efterlever kravene,« fremgår det af rapporten.

Helt fra starten slår rapporten fast, at angrebet mod CSC, hvor politiets kørekortregister og Schengen-register var i hackernes vold, var dybt alvorligt, og at manglende sikkerhed hos CSC banede vejen:

»Sagen viser også, at de angrebne systemer på angrebstidspunktet var sårbare i en sådan grad, at det lykkedes angriberne at kompromittere fortroligheden af følsomme oplysninger, og at angriberne havde etableret et fodfæste i systemerne, så de potentielt kunne have forårsaget tab eller forvanskning af uerstattelige data,« lyder det i rapporten.

For at undgå tilsvarende sager i fremtiden skal danske myndigheder blive bedre til at holde snor i leverandørernes it-sikkerhed. Det kræver de rigtige kompetencer hos myndigheden selv – man kan ikke bare tro, at ansvaret kan overlades til en leverandør.

»Herunder er det væsentligt, at der hos myndigheden er kompetencer, som (bl.a. i dialog med leverandøren) kan vurdere behov for tilkøb af sikkerhedsrelaterede ydelser (såsom opdeling af netværk, vedligehold af forbindelse til internettet, opdatering af systemer mv.),« anbefaler rapporten.

Sikkerhed er heller ikke kun et spørgsmål om at pakke sine systemer godt ind, men handler også om, hvordan systemerne er skruet sammen fra starten af, og hvorvidt hele arkitekturen er tidssvarende.

Myndighederne skal løbende forebygge ’tilsanding’ af systemerne og have styr på, at systemer og funktionalitet, som ikke længere bliver brugt, bliver stoppet, lyder en anbefaling.

Rigspolitiet bliver ikke nævnt ved navn i den 18 sider lange rapport, men får indirekte kritik for ikke at have haft godt nok styr på sikkerheden for systemerne hos CSC.

En direkte lære fra CSC-sagen er således, at sikkerheden kan forbedres ’væsentligt’, hvis kunde og leverandør har et løbende og aktivt samarbejde om sikkerhed, som også ISO27001-standarden kræver det, lyder det for eksempel.

Har man gamle systemer i porteføljen – som Rigspolitiet jo i høj grad har – skal man være særligt opmærksom, fordi trusselsbilledet var helt anderledes, da de blev designet. Når de bliver koblet sammen med internet-tjenester, kan det give sikkerhedsmæssige problemer, fordi der ikke er taget højde for trusler udefra, lyder en af erfaringerne fra CSC-hacket.

Rapporten om CSC-hackersagen er den tredje, som Center for Cybersikkerhed har forfattet, men den første, som bliver offentliggjort, da de to første går mere i detaljer om, hvordan angrebet foregik.

Denne tredje rapport er mest tænkt som anbefalinger til it-chefer i den offentlige sektor, som har eksterne leverandører til it-driften. Læs hele rapporten (pdf).

Siden hackerangrebet blev offentligt kendt i juni 2013, har en ung dansk mand siddet varetægtsfængslet, anklaget for at stå bag sammen med svenskeren Gottfrid Svartholm Warg, som blev udleveret til dansk retsforfølgelse fra Sverige i november 2013. Sagen mod de to anklagede begynder tirsdag den 2. september. Kravet fra anklageren lyder på fire års fængsel.

Læs også: Dansk CSC-hacker har siddet i varetægt mere end et år

Læs også: Anklageskrift i CSC-hackersag ligger klar: Kræver fire års fængsel

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Michael Foley

Rapporten er stort set intetsigende og uden væsentlige anbefalinger. I rapporten nævnes ikke engang politiets svigt og der afsløres intet nyt. Både myndigheder og leverandører fortsætter som hidtil med at svigte befolkningen, når det drejer sig om beskyttelse af personfølsomme oplysninger. Privatlivets fred og befolkningens retssikkerhed lades der hånt om.
Hverken Center for Cyber(u)sikkerhed, Digitaliseringsstyrelsen eller Datatilsynet magter deres opgaver. Både før og efter CSC sagen har der næsten dagligt været eksempler på kompromitteringssager, hvor de tre instanser og offentlige myndighederne har svigtet.

  • 12
  • 0
Kristian Sørensen

Den egentlige skandale er at man først nu opdager tingenes tilstand.

Det er ren teater.

Hvorfor skal der i DK altid lig på bordet eller som i dette tilfælde et spektakulært indbrud til før man kan tage fat på et oplagt, tydeligt og alvorligt emne?

Kan vi ikke snart vende tilbaeg til oplysningstiden hvor det var en dyd at erhverve sig viden og anvende den.

  • 4
  • 0
Michael Christensen

Ja, de søger en medarbejder - ikke en sikkerhedschef. Det er selvfølgelig en start, men der skal nok mere pondus til, hvis medarbejderen skal have den fornødne gennemslagskraft. Hvis medarbejderen refererer til den chef, der skal have noget "udført", så kan krav til sikkerheden hurtigt blive kørt på en sidelinje og prioriteret ned.

  • 1
  • 0
Henrik Bøgh

Hverken Center for Cyber(u)sikkerhed, Digitaliseringsstyrelsen eller Datatilsynet magter deres opgaver. Både før og efter CSC sagen har der næsten dagligt været eksempler på kompromitteringssager, hvor de tre instanser og offentlige myndighederne har svigtet.

For myndigheder uden for Forsvarsministeriets område, er det jo frivilligt om man vil "tilslutte" sig Center for Cybersikkerhed. Datatilsynet har ikke tungere værktøjer end påtale eller politianmeldelse (og det sidste kan være en ganske omstændig omgang) og har i øvrigt nogle begrænsninger i forhold til deres inspektioner.

Lur mig om ikke der ville være en frygtelig masse kritik, hvis man tvang alle private virksomheder, der opbevarede data for det offentlige til at tilmelde sig Center for Cybersikkerhed, og samtidigt meddelte at uhindret inspektionsadgang fra Datatilsynet var et krav?

  • 0
  • 0
Kevin Johansen

Ikke når nu digitaliseringsstyrelsen som krav for at åbne for pengekassen forlanger at chefen påtager sig ansvaret for udførelsen af IT-projektet. Så kan vedkommende da så fint ignorere IT-sikkerhed, men det vil så også være med følger for ens kommende karriere. Og hvis der er én ting offentlige chefer (på det niveau) har respekt for, så er det karrieremulighederne.

  • 1
  • 0
Log ind eller Opret konto for at kommentere