Den største private leverandør af kritisk it-infrastruktur i Danmark, CSC, er endnu en gang genstand for alvorlig kritik af sin omgang med sikkerheden i forlængelse af hackerangrebet på virksomheden i 2012.
Denne gang kommer kritikken fra Danmarks nationale it-sikkerhedsmyndighed, Center for Cybersikkerhed, der ikke var i stand til at udføre sit arbejde og vurdere sikkerheden hos CSC oven på det, der er blevet kaldt Danmarkshistoriens største hacker-sag.
Centeret kunne nemlig ikke indhente den nødvendige dokumentation for, hvilke sikkerhedstiltag CSC havde gjort for at sikre it-systemerne oven på hacker-angrebet. Det fremgår af en afklassificeret rapport udarbejdet af netop Center for Cybersikkerhed, som Version2 har fået aktindsigt i.
I slutningen af juni, kort efter at hacker-angrebet var blevet kendt, udarbejdede Center for Cybersikkerhed rapporten, der søgte at gøre status over sikkerheden hos CSC. Men det viste sig at være en umulig opgave.
»Det er ikke muligt at fastslå, om de sårbarheder, der muliggjorde den konstaterede kompromittering, på nuværende tidspunkt er fjernet, ligesom det ikke er muligt at fastslå, om CSC vil kunne forhindre forsøg på lignende kompromitteringer,« lyder det i rapporten, der fortsætter:
»Det er ligeledes ikke muligt at fastslå, om der i dag generelt er et passende sikkerhedsniveau i CSC’s mainframemiljø,« lyder en af rapportens konklusioner.
“Der er tale om en foreløbig rapport”
Chef for Center for Cybersikkerhed, Thomas Lund-Sørensen påpeger, at man skal kigge på, hvornår og i hvilken kontekst rapporten er blevet til.
»Der er tale om en foreløbig rapport, som først og fremmest gik ud på at finde ud af, hvad der var sket, og hvad man kunne gøre for at begrænse skaderne. Det er klart, at rapporten er udarbejdet på dels en kort tidsperiode, og dels på et tidspunkt, hvor man ikke har haft mulighed for at analysere alle data igennem,« siger Thomas Lund-Sørensen til Version2.
Men det fremgår jo af rapporten, at det er fordi CSC ikke har stillet den nødvendige dokumentation til rådighed for jer.
»Det kan man ikke alene sige. Der er ingen tvivl om, at når man kommer som sikkerhedsmyndighed og beder om en masse data, så lægger man også et stort arbejde over på den virksomhed eller myndighed, som man beder om dataene fra. Ting tager tid,« siger Thomas Lund Sørensen og uddyber:
»Derudover kunne der jo være andre data, der ikke nødvendigvis lå hos CSC, som vi havde behov for at kigge på for at kunne forstå, hvad der var sket,« siger Thomas Lund-Sørensen til Version2.
Der står i rapporten: ‘Center for Cybersikkerhed har endnu ikke fra CSC fået udleveret dokumentation for, hvilke tiltag CSC har gennemført for at sikre it-systemet…’ Betyder det ikke, at CSC ikke kunne svare på, hvad de havde gjort for at lukke hullet?
»Det kan man ikke umiddelbart sige. Det ligger jo langt tilbage, så det er svært at huske præcis, hvad den formulering dækker over, men det kan betyde, at vi skulle have hentet nogle ting ud fra systemerne eller en teknisk dokumentation, som ikke umiddelbart var tilgængelig,« siger han.
Rapporten er den første af tre planlagte rapporter, og hos Center for Cybersikkerhed er de i øjeblikket ved at lægge sidste hånd på rapport nummer to, der forventes at være færdig i starten af det nye år.
Thomas Lund-Sørensen understreger, at de er blevet klogere siden den første rapport, men kan ikke løfte sløret for, hvad der kommer til at stå i den nye, der ligesom den første er blevet til i tæt samarbejde med CSC.
Om samarbejdet fortæller han, at dialogen har været god og konstruktiv, og er det fortsat.
Ud fra et sikkerhedsmæssigt perspektiv har de så opført sig professionelt?
»Det kan jeg simpelthen ikke sige noget om på nuværende tidspunkt. Der er rigtig mange aktører blandet ind i det her, og det er meningen med rapport tre, at vi skal kigge på, hvordan man sikrer en fornuftig dialog, som ud over det indholdsmæssige også omhandler sikkerhed,« siger Thomas Lund-Sørensen til Version2.
Det har inden for redaktionens deadline ikke været muligt at indhente en kommentar fra CSC.
Leave a Reply