Det var muligvis rent held, at personerne bag hackingen af politiets it-systemer på CSC’s mainframe ikke også fik fuld adgang til den komplette database over danskernes CPR-numre.
Det viser dokumenter, som Version2 har fået aktindsigt i.
I et brev til Indenrigsministeriets CPR-kontor dateret 6. juni 2013 skriver CSC således om den sårbarhed, som hackerne udnyttede:
»Sårbarheden kunne have medført adgang til CPR-registrets data. Imidlertid har CSC i tæt samarbejde med Rigspolitiets it-afdeling støttet politiets efterforskning og undersøgt alle dele af den berørte mainframe. Dette arbejde har ikke resulteret i nogen indikation af, at CPR-registeret skulle have været berørt eller truet af det oplevede angreb af CSC’s mainframe.«
Version2 erfarer, at brevet er sendt, fordi Indenrigsministeriet afkrævede en reaktion fra CSC, efter at politiet den 5. juni offentliggjorde anholdelsen af en dansker sigtet for hacking af den selvsamme CSC-mainframe, som CPR-registret ligger på.
Men formuleringen i brevet om, at CPR-registret ikke har været truet af angrebet på politiets it-systemer, stemmer dårligt overens med en formulering fra et andet dokument, Version2 har fået aktindsigt i, nemlig politiets egen redegørelse til Datatilsynet om hackerangrebet.
Her fremgår det, at hackerne forsøgte at bruge den tiltvungne adgang til politiets systemer til at skaffe sig adgang til andre systemer på CSC’s mainframe.
»De hidtidige undersøgelser viser endvidere, at der den 8. april 2012 var aktivitet mod CPR-registrets miljø på mainframen fra politiets miljø på mainframen. De hidtidige undersøgelser viser dog ingen tegn på aktivitet mod CPR-registrets miljø efter dette tidspunkt.«
Version2 har forelagt CSC de to forskellige udlægninger af forløbet:
»Vi har svært ved at kommentere rapporten fra politiet, men vi fastholder den beskrivelse og forklaring, der fremgår af vores brev til CPR-kontoret,« skriver CSC’s pressechef, Kim E. Møller, i en kortfattet mail til Version2.
Leave a Reply