Du har ingen artikler på din læseliste

Hvis du ser en artikel, du gerne vil læse lidt senere, kan du klikke på dette ikon

Så bliver artiklen føjet til din læseliste, som du altid kan finde her, så du kan læse videre hvor du vil og når du vil.

Læs nu
Du har ingen artikler på din læseliste
Artiklen er føjet til din læseliste Du har ulæste artikler på din læseliste

Næste:
Næste:

CSC og politi blev advaret under angreb

Rigspolitiet og CSC undlod at reagere på en kritisk rapport om it-sikkerheden, mens hackere høstede millioner af oplysninger under hackerangreb i 2012.

Danmark
Læs artiklen senere Gemt (klik for at fjerne) Læst

Danmarkshistoriens største hackerangreb kunne være blevet opdaget og delvis afværget, hvis Rigspolitiet og statens største it-leverandør, CSC, havde reageret på en kritisk revisionsrapport fra Deloitte i juni 2012.

Det mener tre it-tekniske eksperter, der har læst rapporten, der blev bestilt af CSC, og som Politiken har fået aktindsigt i.

DOKUMENTATIONDeloittes revisionserklæringer for 2011 og 2012 om it-kontroller for Rigspolitiets it-miljøer hos CSC

På det tidspunkt, hvor rapporten om it-kontrollen af Rigspolitiets data hos CSC forelå, boltrede hackerne sig nemlig i CSC’s systemer og kopierede følsomme oplysninger i Rigspolitiets kørekortregister, kriminalregister og i Schengens informationssystem om efterlyste personer.

Hackerne trak gennem mindst 4½ måned i 2012 blandt andet 4 millioner danske kørekortnumre fra systemerne, mener politiet. Men forseelsen blev først opdaget flere måneder senere.

»Revisionsrapporten er en rygende pistol i forhold til den elendige it-sikkerhed, som gjorde hackerangrebet muligt. Der sker simpelthen det, at Deloitte sender et stykke papir og fortæller CSC og Rigspolitiet, at de står med et helt hus, hvor døre og vinduer står åbne. På samme tidspunkt render de ubudne gæster rundt og tager, hvad de vil have i huset. Men CSC og Rigspolitiet reagerer ikke«, siger Peter Kruse, direktør i sikkerhedsfirmaet CSIS, som har indgående kendskab til sagen.

LÆS ARTIKEL

Først 9 måneder efter at revisionsrapporten kom, i marts 2013, gik alvoren op for Rigspolitiet og it-leverandøren efter et tip fra svensk politi.

Eksperter: Ikke nok at lukke huller

Rapporten fra Deloitte oplister 7 konkrete it-sikkerhedsbrist og nævner blandt andet et »stort antal kritiske sårbarheder« og »manglende aftale med CSC om opfølgning på logs«.

Under flere af punkterne skriver Deloitte, at sikkerhedshullerne er »lukket«. Men det var utilstrækkeligt bare at lukke hullerne, forklarer de tre eksperter. Med så alvorlige brist burde Rigspolitiet og CSC have foretaget en konsekvensanalyse for at afdække, om sikkerhedshullerne var blevet udnyttet.

LÆS ARTIKEL

»Hackerne har kunnet holde deres egen lille fest og hive informationer ud af systemerne i længere tid, end man skulle tro muligt. Jo længere tid man er om at undersøge konsekvenserne af sårbarhederne, desto længere tid giver man hackerne til at hive informationer ud af systemerne, gemme dem væk og slette spor«, siger Thomas Bo Nielsen, it-sikkerhedskonsulent i C-Cure.

Rigspolitiets it-direktør, Michael Steen Hansen, ønsker ikke at lade sig interviewe, men medgiver i en mail, at der ikke blev foretaget en konsekvensanalyse:

»Det var ikke fast praksis i branchen at gennemføre en omfattende undersøgelse af, om nogen har udnyttet svaghederne, medmindre der konkret er noget, der giver mistanke om det. På daværende tidspunkt var der intet, der indikerede, at CSC’s systemer havde været udsat for et hackerangreb«.

Proaktivitet kunne have stoppet angrebet

Først nu, to år efter gerningstidspunktet, kan politiet fremvise et anklageskrift mod de to tiltalte i sagen, der begynder i Retten på Frederiksberg i september. It-sikkerhedschef i Solido Networks Henrik Kramshøj kritiserer Rigspolitiet for at have skudt sig selv i foden med en forsinket efterforskning, fordi man undlod at reagere på revisionsrapporten.

Annonce

Artiklen fortsætter efter annoncen

Annonce

»De kunne have stoppet angrebet og sparet samfundet for en masse penge ved at være mere proaktive«, siger han.

LÆS ARTIKEL

Politiken har efterspurgt et svar på, om sikkerhedssvigtet ikke bør få konsekvenser for Rigspolitiet og CSC. Men justitsminister Karen Hækkerup (S) er på ferie, ministeriet har ingen kommentarer, og Datatilsynet, som fører opsyn med, om persondata bliver opbevaret forsvarligt, har ikke besvaret Politikens henvendelse.

CSC skriver fra sit kontor i New York, at selskabet ikke umiddelbart kunne forhindre hackerangrebet i 2012, da det blev udført gennem en dengang ukendt it-sårbarhed: »Vi ser frem til de danske myndigheders grundige undersøgelser og anbefalinger, som vil vise sig værdifulde til at mindske den stigende trussel fra cyberangreb«, skriver kommunikationschef Richard C. Adamonis.

I dag blev myndighederne og CSC viklet ind i en ny sag om it-svigt, da 900.000 personnumre ved en fejl blev lækket fra det offentlige cpr-kontor.

Læs mere:

Annonce

For abonnenter

Annonce

Podcasts

Forsiden