SolarWinds-rådgiver advarede om sløj sikkerhed flere år før hack

23. december 2020 kl. 12:304
Solarwinds
Illustration: BalkansCat / Bigstock Photo.
For flere år siden slog en sikkerhedsrådgiver alarm om lavt sikkerhedsniveau i virksomheden SolarWinds, der i øjeblikket spiller en nøglerolle i forbindelse med et stort it-angreb mod virksomheder og myndigheder i USA.
Christoffer Elmann Ranhauge
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Christoffer Elmann Ranhauge

En tidligere sikkerhedsrådgiver hos softwareleverandøren SolarWinds har sagt, at han advarede virksomhedens ledelse om it-sikkerhedsrisici og præsenterede en plan om at indføre forbedringer, som i sidste ende blev ignoreret.

Det skriver Bloomberg, der har set en 23-sider lang PowerPoint-præsentation om mulige it-tiltag, som it-sikkerhedsrådgiveren Ian Thornton-Trump præsenterede for SolarWinds i 2017.

»Det er min overbevisning, at SolarWinds set ud fra et sikkerhedsperspektiv var et utroligt let mål at hacke,« siger Ian Thornton-Trump, der i dag er chef for it-sikkerheden i sikkerhedsvirksomheden Cyjax, til Bloomberg.

Udtalelserne fra den tidligere SolarWinds-rådgiver kommer i kølvandet på, at flere amerikanske myndigheder og virksomheder er blevet ramt af et omfattende hackerangreb.

Artiklen fortsætter efter annoncen

Netop SolarWinds spiller en central rolle i forhold til angrebet, fordi gerningsmændene har benyttet sig af en bagdør, der har været placeret i it-løsninger, som SolarWinds har leveret til myndighederne og virksomhederne.

Ifølge Bloomberg opsagde Ian Thornton-Trump sin stilling som sikkerhedsrådgiver, fordi ledelsen i hans optik ikke var villig til at sætte gang i de nødvendige tiltag.

Han påpeger desuden, at det ville være uungåeligt, at virksomheden ville blive ramt af et stort sikkerhedsbrud med det sikkerhedsniveau, der eksisterede i SolarWinds.

Betragtningerne om, at der var sikkerhedshuller hos SolarWinds deles af Jacob Herbst, der er direktør i it-sikkerhedsfirmaet Dubex. Men selvom der har været svagheder, er der tale om et yderst udspekuleret og grundigt it-angreb, påpeger han overfor Version2.

»Hatten af for dem, der har lavet det her angreb, for de har været utrolig dygtige, og det virker som om, det er virkelig velorkestreret og velgennemført,« har Jacob Herbst udtalt til Version2.

Fokus
Emner
4 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
4
Lars Vosgerau
7. februar 2021 kl. 19:58

Det bliver endnu bedre, nej han skammer sig ikke!

  • more_vert
    • insert_linkKopier link
2
Poul-Henning Kamp
27. december 2020 kl. 17:59

Jeg håber han skammer sig.

Det håber jeg virkelig ikke!

IT-folk har samme ansvar overfor samfundet som alle andre har og i en situation hvor han personligt har advaret og er blevet ignoreret, skylder han både kunder, aktionærer, tilsynsmyndigheder og ikke mindst politikere at bidrage til sagens oplysning så vi kan forhindre at det sker igen.

Men det havde naturligvis været en klar forbedring for alle parter, hvis der havde været en IT-Havarikommision der kunne optage hans vidnesbyrd og behandle det fortroligt, frem for at han er nødt til at gå til pressen.

  • more_vert
    • insert_linkKopier link
1
Peter Valdemar Mørch
27. december 2020 kl. 17:45

Godt man ikke er kunde hos Ian Thornton-Trump eller Cyjax.

Et er at han har set det og sagt noget internt som konsulent. Noget helt andet er bagefter at udtale sig offentligt. Han har jo garanteret også underskrevet en NDA, selvom det ikke burde være nødvendigt. Jeg håber han skammer sig.

  • more_vert
    • insert_linkKopier link