Rigspolitiet fastholder mainframe-system trods hacking og kritik

Illustration: Virrage Images/Bigstock
Rigspolitiet vil beholde den 40 år gamle it-infrastruktur, der var målet for Danmarks største hackerangreb.

Til trods for et omfattende hackerangreb og skarp kritik fra Datatilsynet har Rigspolitiet ingen planer om at droppe mainframe-miljøet som it-løsning. Det fremgår af en redegørelse fra politiet til Datatilsynet, skriver Politiken.

Læs også: Datatilsynet kritiserer: Rigspolitiet dumper i banal it-sikkerhed

Redegørelsen er et svar på den skarpe kritik, tilsynsmyndigheden kom med i sidste måned. Her bad man blandt andet Rigspolitiet overveje, om en mainframe kunne leve forsvarligt op til sikkerhedskravene. Men det ser ordensmagten altså ingen problemer i.

’Det er Rigspolitiets vurdering, at den tekniske arkitektur for det omhandlede mainframemiljø ikke i sig selv er en hindring for implementering af anerkendte principper for sikkerhed,’ lyder det i Rigspolitiets redegørelse.

Læs også: CSC-hacking: Rigspolitiet erkender sikkerhedssjusk

Politiet påpeger desuden, at man ikke finder det nødvendigt at adskille systemerne fysisk, hvilket ellers var et af Datatilsynets konkrete kritikpunkter.

Sikkerhedsekspert Peter Kruse understreger over for Politiken, at han ikke er tryg ved, at politiet holder fast i en løsning, han betragter som utidssvarende.

»Jeg ville være langt mere tryg ved, at man vendte bøtten på hovedet og arbejdede sig hen mod en anden løsning end mainframemiljøet, der i 2015 ikke er på det niveau, hvor en it-sikkerhedsløsning skal være«, siger Peter Kruse, der er partner i sikkerhedsfirmaet CSIS.

Læs også: IBM og Datatilsynet uenige om mainframe-sikkerhed

Datatilsynet har flere gange spurgt Rigspolitiet om, hvem der er ansvarlig for, at mainframens webserver skulle kunne tilgås via internettet af personer uden for CSC. Den beslutning er tilsyneladende truffet af CSC uden at informere Rigspolitiet, fremgår det af redegørelsen.

Rigspolitiet har nu indskærpet over for CSC, at Rigspolitiet skal inddrages, når der ændres i væsentlige indstillinger i it-miljøet.

Datatilsynet har tilsyneladende ikke lyst til at gøre mere i sagen foreløbigt, men understreger i et svar, at Rigspolitiet til enhver tid er ansvarlig for sikkerheden omkring deres data.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Christensen

Datatilsynet har flere gange spurgt Rigspolitiet om, hvem der er ansvarlig for, at mainframens webserver skulle kunne tilgås via internettet af personer udenfor CSC. Den beslutning er tilsyneladende truffet af CSC uden at informere Rigspolitiet, fremgår det af redegørelsen.
Det lyder i betænkelig grad som et eksempel på at leverandøren tager skraldet (så det politiske system kan vaske hænder), med den (forhåbentligt) implicit forventede modydelse at der ikke rokkes ved leverandørens status som leverandør...

  • 8
  • 0
Ulf Herold-Jensen

Som jeg bemærkede ovre på ING, så opfører de sig jo som elefanter i en glasbutik.
Hvorfor nu holde fast i det her netop som de indstiller jstitsministerens udkast om ANPG til vedtagelse? Hvem tror nu på at ANPG-data kan holdes hemmeligt? De er jo ærlig talt til grin.

  • 2
  • 1
Michael Jensen

Okay det er rimelig hård kritik af mainframe CSIS giver der. Med en passende opsætning og patchning tror jeg det er nemmere at fastholde en høj sikkerhed i et mainframemiljø. Men det er måske også to store forudsætninger at forlange.....
Hvilke miljøer skulle det ellers baseres på? Linux? BSD? Windows?

  • 1
  • 0
Christian Jørgensen

Jeg finder det temmelig misvisende og sensationsagtigt at betegne en mainframe som "den 40 år gamle it-infrastruktur"!

Selvfølgelig er det ikke 40 år gammel hardware og software, som bruges af CSC og Rigspolitiet, men ny og opdateret hardware og software. At systemet måske blev udtænkt for 40 år siden er ikke i sig selv diskvalificerende, når det løbende er blevet opdateret og sikret. Jeg kan nævne IBM i som et andet eksempel: Styresystemet blev præsenteret for 26 år siden under navnet OS/400 (på serveren kaldet AS/400), og er løbende blevet udviklet, så det i dag er et af de sikreste styresystemer med færrest antal sikkerheds events.

At Version2 skriver "40 år gammel" siger vist betydelig mere om Version2's vidensniveau om mainframe end om hvor sikker en mainframe kan være...

  • 4
  • 1
Bjarne Nielsen

Jeg har lige skimmet Datatilsynets udtalelse igen, og jeg kan ikke lige se, hvor de skulle kritisere mainframes som sådan.

De finder den konkrete opsætning delte ressourcer og opsætning for mange forskellige systemer, som ikke umiddelbart har noget noget med hinanden at gøre og som har vidt forskellig sikkerhedsprofil, og drift af disse på samme fysiske maskine, for kritisabelt. Men de siger vel ikke noget om mainframes som sådan.

At noget skal sættes rigtigt op for at være sikkert, og at der dermed også er mulighed for at sætte det forkert op, kombineret med det faktum at opsætning af mainframes ofte er over-gennemsnitligt kompliceret og ugennemskueligt, er så en anden snak.

  • 8
  • 0
Tonni Pedersen

Hvad skulle det bedre alternativ være, et x86 system, som man gang på gang oplever blive hacket, det være sig betalingskorts databaser eller offentlige systemer af den ene eller anden art. Det har jo ikke så meget med systemet at gøre, men udelukkende med den måde det er opbygget på. Og så er det jo ligegyldigt om CSC eller andre har forfattet svaret.

  • 0
  • 1
Nikolaj Brinch Jørgensen
  • 0
  • 0
Tonni Pedersen

Det må jeg desværre tilstå at det har jeg ikke noget tal på, men det formoder jeg at du har! Men da det ikke er første gang at en mainframe er blevet hacket (og sikkert heller ikke sidste) må der være et par stykker. Netop derfor skriver jeg også at det er opsætningen af systemet (tilgang til net, adskillelse i bruger- og system-del) der er problemet, og ikke det at det er en mainframe.

  • 0
  • 0
Log ind eller Opret konto for at kommentere