Du har ingen artikler på din læseliste

Hvis du ser en artikel, du gerne vil læse lidt senere, kan du klikke på dette ikon

Så bliver artiklen føjet til din læseliste, som du altid kan finde her, så du kan læse videre hvor du vil og når du vil.

Læs nu
Du har ingen artikler på din læseliste
Artiklen er føjet til din læseliste Du har ulæste artikler på din læseliste

Næste:
Næste:
Thomas Borberg
Foto: Thomas Borberg

Hacket. Angrebet kunne være blevet opdaget og delvis afværget, hvis Rigspolitiet og CSC havde reageret og foretaget en konsekvensanalyse, vurderede tre it-sikkerhedseksperter over for Politiken i juli i år.

Digitalt
Læs artiklen senere Gemt (klik for at fjerne) Læst

Rigspolitiet får kritik for it-svigt i angreb på CSC

Både Rigspolitiet og CSC burde have gjort mere for at forhindre det store hackerangreb i 2012, konkluderer ny rapport. Og det offentliges kontrol er utidssvarende.

Digitalt
Læs artiklen senere Gemt (klik for at fjerne) Læst

It-sikkerheden har sejlet konkret i Rigspolitiet og generelt hos offentlige myndigheder.

Det er læren af det omfattende hackerangreb på statens største it-leverandør, CSC, i 2012, konkluderer en ny rapport fra Center for Cybersikkerhed og Digitaliseringsstyrelsen om sikkerhed og udliciteret it-drift.

»Undersøgelserne i forbindelse med CSC-sagen har vist, at myndighederne skal være mere opmærksomme på at stille passende sikkerhedsmæssige krav til leverandørerne og følge løbende op på, at leverandørerne efterlever kravene«, lyder det i rapporten.

Langvarigt angreb ikke opdaget

Redegørelsen giver også en bredside til sikkerhedsniveauet hos de myndigheder, som har ansvaret for at passe godt på private oplysninger om danskerne:

»Forsvarets Efterretningstjenestes Center for Cybersikkerhed og Digitaliseringsstyrelsen vurderer i dag, at myndighederne – generelt set – kun i mindre grad tager hensyn til det aktuelle trusselsbillede, det vil sige, hvilke trusler it-løsningerne kan blive udsat for«.

DOKUMENTATION:Læs anbefalingerne her

I sagen om CSC trængte hackere sig gennem næsten fem måneder ind i it-selskabets såkaldte mainframe og fik dermed adgang til en række myndigheders databaser.

Blandt andet downloadede og kopierede hackerne data fra Rigspolitiets kørekortregister med 4 millioner kørekortnumre, kriminalregistret samt Schengens informationssystem med oplysninger om efterlyste europæere.

På tirsdag indledes retssagen mod en dansker og en svensker, der risikerer op til seks års fængsel for hacking og omfattende forstyrrelse af offentlig infrastruktur.

I begyndelsen af juli afslørede Politiken, at CSC og Rigspolitiet i 2012 midt under hackerangrebet blev advaret om store sårbarheder i en kritisk revisionsrapport.

Angrebet kunne være blevet opdaget og delvis afværget, hvis Rigspolitiet og CSC havde reageret og foretaget en konsekvensanalyse, vurderede tre it-sikkerhedseksperter over for Politiken.

Hverken CSC eller Rigspolitiet opdagede, hvad der overgik dem, før de 10 måneder efter angrebets start fik et tip fra svensk politi.

»De angrebne systemer på angrebstidspunktet var sårbare i en sådan grad, at det lykkedes angriberne at kompromittere fortroligheden af følsomme oplysninger, og at angriberne havde etableret et fodfæste i systemerne, så de potentielt kunne have forårsaget tab eller forvanskning af uerstattelige data«, lyder kritikken i den nye rapport, der dermed også rammer CSC.

It-sikkerhedsekspert Peter Kruse læser rapporten som en kritik af både Rigspolitiet, CSC og it-sikkerheden generelt i det offentlige.

»Der peges på, at Rigspolitiet bærer en del af ansvaret, fordi de jo har det juridiske ansvar for data, men ikke har stillet krav til CSC. Det kan man ikke være uenig i. Og så er der en klar kritik af det offentlige for ikke at have et tidssvarende sikkerhedsniveau. Det kan man heller ikke være uenig i«, vurderer Peter Kruse fra firmaet CSIS.

Anbefalinger kommer ti år for sent

Rapporten oplister en række anbefalinger til ledelsen i offentlige myndigheder om it-sikkerhed især i forbindelse med outsourcing af it-driften til private leverandører.

Sammenfattende handler rådene om, at en myndighed kan udlicitere sin it-drift, men den kan ikke udlicitere ansvaret for at beskytte data. Derfor skal myndigheden geares til løbende at kunne følge op på leverandørens sikkerhedsniveau.

Peter Kruse finder det skræmmende, at en sådan anbefaling til myndighederne er nødvendig i 2014. Hvis rapporten var dateret i 2004, havde det været rettidig omhu, siger han:

»Uanset om it-driften er in- eller outsourcet følger der forpligtelser med. I mange år har myndighederne tænkt, at det var bekvemt at flytte driften ud, så man ikke skulle bruge ressourcer på sikkerheden«.

Rigspolitiets it-direktør, Michael Steen Hansen, havde i går ikke læst rapporten. Heller ikke justitsminister Karen Hækkerup (S) eller CSC ønskede i går at kommentere sagen.

Læs mere:

Annonce

Annonce

For abonnenter

Annonce

Podcasts

Forsiden