CSC: Nå, hvem vandt væddemålene ?

Jeg kender af omveje et antal medarbejdere hos CSC og ved, at der har været en del uformelle væddemål om, hvornår nogen brød ind i deres systemer via en af de mange "hemmelige bagdøre", der bruges til mere eller mindre lemfældige overførsler af personfølsomme data imellem danske offentlige it-systemer.

Hvem vandt?

Dem, der væddede på, at der ikke ville ske indbrud hos CSC, er i stort omfang selve kerne-problemet i dansk it-sikkerhed.

Men vi skal jo videre, skal vi ikke? Med digitaliseringen mener jeg?

Eller burde vi måske lige trække vejret dybt?

Er det f.eks nu, vi skal tage en alvorssnak om anvendelsen af FTP-servere til at flytte kopier af CPR-registeret ?

Eller skal vi hellere tale om medarbejderen, der sidder og giver hostname, login og default password til samme FTP-server i telefon, på vej imod Jylland i et propfyldt IC3-tog ?

Der er også mange andre ting, vi burde have en alvorssamtale om.

Senere i dag skal jeg til "IDA-IT-workshop" på borgen. Ideen er at give de få politikere, der gider dukke op, nogle gode ideer til yderligere digitalisering af Danmark.

Jeg deltager modstræbende i håbet om, at der er en chance for at få et skeptisk ord klemt ind imellem alle hurra-ideerne.

Selv foreslog følgende emne til en arbejdsgruppe:

it-kvalitet: Gennemførsel og opfølgning på it-projekter

Alle gode ideer til digitalisering af det offentlige er forgæves,
hvis it-projekterne kører af sporet, inden de nogensinde leverer
de forventede fordele.

Lidt kynisk kunne man mene, at en af de helt store rationaliseringer,
det offentlige kan lave, er at lade være med at kuldsejle med
it-projekter.

Hvorledes sorterer vi dårlige fra dårlige ideer, umulige
fra mulige projektplaner og hvorledes følger vi op på projekterne,
hvad enten de gik godt eller ej, så vi er klogere næste gang?

Den blev åbenbart ikke "købt" af IDA-IT, for den er ikke med i det færdige program.

Hvad skal der til, før vi får en alvorssamtale om offentlig it?

phk

PS: Kan I huske alt den ballade, der var om offentlig registersamkøring for nogle år siden?

Overvej at der intet er til hinder for, at kriminelle sammenkører de registre, de stjæler.

Kommentarer (28)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Poul Bundgaard

Med "Hvorledes sorterer vi dårlige fra dårlige ideer" går jeg ud fra der menes "Hvorledes sorterer vi gode fra dårlige ideer"? ;o) På et overordnet niveau, hvad kan vi gøre for at sikre en bedre lydhørhed fra den politiske verden - kan du opfordre nogle af de få der gider møde op til at tage en dialog f.eks. her på Ing.dk - det kunne være rart at vide hvem der er værd at stemme på :o)

  • 2
  • 0
#5 Max Tobiasen

"...anvendelsen af FTP servere til at flytte kopier af CPR registeret ?"

Vent, hvad? Det er da forhåbentlig løgn. Er det en second- hand historie, eller noget du rent faktisk ved er sket?

  • 2
  • 0
#7 Peter Rosenberg

..kan du tilføje: - Fælles Grund Data til Alle - Fælles Offentlig Datapusher Begge, nogle der vil være interesse for hos parter, som data-ejere sikkert ønsker meget høj 'justits' med, og begge projekter som er igang hos ModerniseringsStyrelsen. Det skal tænkes IT-sikkerhed ind fra starten, også selvom det tilsyneladende er 'uskyldige' data.

  • 0
  • 0
#8 Anders Jensen

Jeg kan bekræfte at det er tilfældet at der overføres cpr-data via ikke-krypteret ftp hos csc, vi modtager dagligt ændringer til det fulde cpr på den måde. Eneste sikkerhed er brugernavn+kodeord (8 tegn, to char. classes) samt ip-begrænsning.

  • 12
  • 0
#9 Nils Bøjden

Mon ikke indførelsen af Statens it-projektråd, der skal ind over alle it-projekter på over 10 mkr, på sigt vil løse problemet med kuldsejlede it-projekter?

Næ. Det eneste der sker at der kommer endnu et omsvøbsdepartement. Hvor mange ansatte tror du der er plads til her? 100? 200? Og hvad tror du deres professionelle baggrund er? Programmører? Dataloger ? INgeniører ? DJØFer ?

Men der kommer helt sikker nogle imponerende rapporter ud af det som sikrer at Statens IT projektråd ikke har del i de fejlslagne projekter der kommer.

  • 8
  • 0
#12 Henrik Pedersen

Jeg har en Suzuki Wagon R+ med halvrusten bagklap som jeg gerne vil stille til rådighed!

Om ikke andet har de da sat IP begrænsning på. Men det skal undre mig meget hvis FTP klienterne ikke har gemt passwordet, og de alle sammen bruger Filezilla...

  • 3
  • 0
#13 Martin Kofoed

De maksimalt otte chars skyldes i øvrigt zOS-backenden og RACF. Men nu er det vel ikke sikkert, at FTP har været indgangen til de dejlige data? De kunne principielt have haft 3270 terminaladgang.

Man må sige, det tog lidt tid inden denne historie fik luft under vingerne. Det er da nogle måneder siden, vi hørte om udleveringsbegæringen på Gottfrid? Det er lidt mere end en webfrontend-defacement, de har haft gang i her ...

  • 3
  • 0
#14 Kenn Nielsen

Man må sige, det tog lidt tid inden denne historie fik luft under vingerne. Det er da nogle måneder siden, vi hørte om udleveringsbegæringen på Gottfrid? Det er lidt mere end en webfrontend-defacement, de har haft gang i her ...

Ja men dengang nævnte man kun pengeoverførslen.

Det må antages at samtlige "chokerede" politikere der udtaler sig i dag, og som er fra et regeringsparti, har haft mindst 2 måneder til at øve skuespillet.

K

  • 2
  • 1
#15 Peter Rosenberg

Så vidt jeg husker, så implicerer oprettelse af en zOS Mainframe FTP brugerlogin, også en Login til TSO,3270 og deslige. Det er så ikke sikkert der er åbnet for tilladelse til at disse apps kan anvendes, hvis man altså styrer applikationsadgangene.

  • 0
  • 0
#18 Kim Madsen

Jeg var inde på noget lign. vedr tiltroen til krypterede data for ca. 1/2 år siden her, hvor jeg nærmest blev latterliggjort. Jeg har haft fornøjelsen at arbejde for offentlige og private instanser, og PHKs observationer er helt i tråd med hvad jeg har oplevet i mit virke (og rigspolitichefen burde ikke være overrasket btw ;). Afdelingen i Hvidovre havde ihvertfald heller ikke den bedste sikkerhed (erfaringer dog fra en del år siden)). Og så burde man nok også overveje at kigge på Skat samt kommune installationer som også (igen fra tidligere erfaringer) har haft et ringe sikkerhedsniveau.

Og lige endnu et trut i trompeten om at krypterede data absolut ikke betyder at data er sikre, kun at de er lidt mere besværlige at tilgå.

mvh Kim Madsen kbm@kbmitexperts.dk

  • 2
  • 0
#21 Morten Jensen

Så-så Baldur, din feje maskinstormende luddit! Vent du bare en 4-5-6 år til den gyldne rapport udkommer, så vil du rigtig nok se at du tager fejl. Det er nemlig slet ikke CSC's skyld. Det er den dumme medarbejder hos Politi/CSC, hvis konto er blevet hacket, der er skyld i hele miseren! Han ku bare ha valgt et stærkere password.

CSC laver vældig sikre systemer! De blir næsten aldrig hacket, og når de gør blir hullerne lukket fluks. Det siger Morten Bødskov ;)

  • 5
  • 0
#22 Lars Bjerregaard

Der skal nok, desværre, som sædvanligt lig på bordet, før der for alvor er basis for en seriøs samtale. Det skulle da måske lige være undtaget et IT-havari så stort, at det gør et seriøst indtryk på finansloven. Naahhh....

  • 0
  • 0
#24 Sascha Dibbern

Det nok ikke min intention at fornærme Mainframe-folkene eller dem der betaler/leder dem generelt; men hvis man har siddet 30 år med den samme kasse (eller klasse af kasser) så bliver man med stor sandsynlighed blind for, at der skal forandringer til for at betale den tekniske gæld der er opstået. Verdenen udenfor har forandret sig. Nye klasser af angrebs-vektore er kommet til, og værktøjer og metoder for angreb er bleven til dedikerede produkter, som enten anvendes i ond tro (crack) eller i god tro (test).

Ja mainframen har en masse features som decentrale systemer (wintel/unix/linux/...) først nu eller fornyeligt har fået; men med den forskel at decentrale systemers udvikling og udviklingen af procedurer til vedlighold af decentrale systemer (i visse størrelsesordener) er forløbet under konstante trussel-scenarier og usikkerhed pga. den korte levetid af systemerne, større grænseflade til internettet, hurtig produktudviklinger (os, vendor-applikationer og inhouse kode),.......

"En mainframe er stabil og sikkert nok" er en fejlagtig og selvskadende antagelse og viser at man har formeget tiltro til producenten, driftsleverandøren, procedurerne, folks knowhow. I værste tilfælde vil det ende i total ignorance af risici især i organisationer, hvor man har en blandet slik-butik og hvor den officielle sikkerhed-organisation vil have et (halv-)blindt øje for mainframen. Sikkerheds-folkene/it-revision finder det mere spændende / kender bedre til / oplever risiko-potentialet som mere imminent i de decentrale systemer. Ved man derimod selv også om svaghederne i det egne system-setup eller nægter man at anerkende mod bedre viden, så handler man forsætlig og gør sig ligeså skyldig som crackeren.

Det er derfor at jeg tidligere brugte metaforen af et is-bjerg. Den ruller sig lige nu, og vandet skvulper; men prisen anses / er for højt / interessen er for lille at dykke i dybden og se det hele farepotentiale. Mainframen gemmer sig mere og mere i en niche (fysisk og økonomisk) og bliver mere usynlig i organisation, når decentrale systemer vinder indpas. Den systemiske opfattelse af dens vigtighed forsvinder hos ledelsen siden støjen fra de decentrale systemers drift og vedlighold nok præger mere dagligdagen. Samme vil også gælde for sikkerhedsorganisationen, som oftest lider af overfladisk kendskab til mainframen. "Hack en mainframe"-kurser er ikke særlig udbredt og det er nemmere at blive certificere i at lave sikkerhedspolitikker. Sikkerhedspolitikker

  1. som mainframefolk ikke altid kan overholde siden deres hænder er bagbundet pga. den tekniske gæld i deres systemer

  2. som mainframefolk ikke altid kan implementer siden der ikke er folk / økonomi nok til at splitte ansvarsfordeligen i driften på systemet.

  3. som kræver med indsigt i materien (mainframe) fra ledelsen end der nogengange er til stede

  • 2
  • 0
#25 Poul-Henning Kamp Blogger

Det nok ikke min intention at fornærme Mainframe-folkene

Du har nogle valide pointer, både om mainframes og om organisationer, men det her handler ikke om mainframes, det handler om gennemsigtighed i beslutningsprocessen, ansvarsplacering, faglig kompetence og rygradden til at sige fra, frem for at slå hælene sammen og ryste på hovedet.

  • 4
  • 0
#28 Frithiof Andreas Jensen

Det næste er vel at pengetransporten foregår i en Fiat 127 med rust i bagklappen?

Ja, hvorfor ikke? Der synes at väre dannet et ustabilt mönster af svigtende pengeoverförsler omkring den förste.

Benzindäkslet på 127'eren er erstattet af en klud og man fylder kun benzin i for en 50'er af gangen, så tanken er ofte tom efter 30 dage om sommeren eller fyldt med vand om vinteren ... eller teenageren har "lånt" bilen - nöglen er jo kun en gammel skrueträkker for "deniability" (Hvis nu at landbetjenten skulle möde bilen uden for matriklen, körekortet er jo röget for längst og syn, forsikring & den slags unyttigt bureaukrati, det bruger vi ikke i IT-udkants-Danmark).

  • 1
  • 0
Log ind eller Opret konto for at kommentere