Dokumentation: CSC overså kritiske opdateringer til politiets mainframe i tre måneder

En gennemgang af sikkerheden hos CSC afdækker, at it-leverandøren tilbage i 2012 var tre måneder om at lappe et alvorligt sikkerhedshul i mainframesoftwaren, selvom leverandøren IBM havde udsendt to opdateringer markeret som kritiske. Det fremgår af materiale, som Version2 har fået aktindsigt i.

Materialet er en sikkerhedsrevisionsrapport udarbejdet af Deloitte for Rigspolitiet, der gennemgår de generelle it-kontroller, som CSC skal overholde i kraft af den databehandleraftale, virksomheden har indgået med myndigheden.

Under kontrollen af CSC’s ‘styring af tekniske sårbarheder’ opdagede Deloitte, at it-leverandøren ikke havde ordentlig styr på proceduren for at installere sikkerhedsopdateringer, såkaldt patch management.

»Vi har konstateret et stort antal kritiske sårbarheder som følge af manglende patching af VMware (lukket marts 2013),« fremgår det af rapporten.

VMware er software til at køre virtuelle maskiner i datacentre.

Læs også: CSC-hacking: Hemmelig rapport afslører alvorlige sikkerhedssvigt hos CSC

Overså kritiske opdateringer

I en uafhængig rapport udarbejdet af Center for Cybersikkerhed, og som Version2 ligeledes har fået indsigt i, fremgår det, at IBM den 21. december 2012 udsendte to patches, der var markeret som kritiske. Alligevel opdagede CSC først tre måneder senere, at den var gal.

»4. marts 2013: CSC bliver opmærksom på, at patches udsendt i december af IBM, som CSC på dette tidspunkt endnu ikke har implementeret, udbedrer en væsentlig sårbarhed i mainframesoftwaren,« lyder det i rapporten fra Center for Cybersikkerhed.

Sideløbende havde dansk politi også overset en advarsel fra svensk politi, der i en efterforskning af et svensk hacker-angreb havde fundet tegn på, at også danske registre, der lå hos CSC, kunne være blevet kompromitteret. Derfor var det først i slutningen af februar, at CSC blev indkaldt til et møde hos Rigspolitiet, der gjorde dem opmærksomme på hacker-angrebet.

Kort efter, i starten af marts, opdagede CSC de manglende patches.

Læs også: CSC-hackere angreb også CPR-register – trods CSC’s melding om det modsatte

CSC ser uprofessionel ud

Version2 har forelagt revisionsrapporten for professor på DTU Compute Lars Ramkilde Knudsen, der er ekspert i it-sikkerhed og blandt andet har været med til at tilrettelægge et nyt uddannelsesforløb i Computer Security på DTU. Han synes, CSC ser uprofessionel ud.

»Det ser ikke godt ud. Der fremgår ligefrem, at der er tale om et stort antal kritiske sårbarheder. Det er jo problematisk. Det virker lidt mærkeligt, at de ikke har patchet med det samme. Det har man svært ved at forstå,« siger Lars Ramkilde Knudsen til Version2.

Ud over patching-fejlen fandt Deloitte yderligere ét kritisabelt forhold blandt de 33 gennemgåede områder. Under kontrolpunktet for ‘styring af adgang til driftssystemer’ står der:

»Vi har konstateret, at der foretages service console-login på en VMware-host direkte med root (lukket december 2012).«

I resten af rapporten finder Deloitte ingen grund til anmærkninger hos CSC.

Hvor meget skal man så lægge i denne her fejl?

»En kæde er aldrig stærkere end det svageste led. Der skal jo helst ikke være fejl nogen steder, så det er da et problem. Jeg ville i hvert fald være meget bekymret, hvis jeg var it-chef og modtog sådan en rapport,« siger Lars Ramkilde Knudsen til Version2.

CSC har ikke ønsket at kommentere historien.

Læs hele revisionsrapporten her

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>