Avis: CSC og politiet ignorerede advarsler om hackerangreb

July 4, 2014 by admin · Leave a comment

Danmarkshistoriens største hackerangreb på CSC i 2012 kunne være blevet opdaget og endda delvis afværget, lyder det nu fra Politiken.

Det kunne det, hvis altså Rigspolitiet og CSC havde reageret på en meget kritisk revisionsrapport fra selskabet Deloitte fra 2012, som avisen har fået aktindsigt i.

Det gjorde de bare ikke, og det får nu flere eksperter til at give både politiet og CSC en voldsom kritik.

Læs også: Dokumentation: CSC overså kritiske opdateringer til politiets mainframe i tre måneder

Rapporten blev bestilt af CSC, og da den endelig forelå, viste det sig nemlig allerede, at hackerne var fuldt i gang med at suge oplysninger ud af CSC’s systemer og kopiere fortrolige oplysninger fra blandt andet kørekort- og kriminalregistret.

Ifølge avisen hev hackerne i løbet af en periode på mindst fire og en halv måned fire millioner danske kørekortnumre ud af systemet. Alligevel blev angrebet først opdaget flere måneder senere.

Først ni måneder efter rapporten forelå, i marts 2013, reagerede Rigspolitiet og CSC efter et tip fra svensk politi.

Læs også: CSC-hacking: Hemmelig rapport afslører alvorlige sikkerhedssvigt hos CSC

Læs også: Politiet ventede halvanden måned med at undersøge CSC-hacking

Oplysningerne er meget belastende for de involverede parter, mener flere eksperter.

»Revisionsrapporten er en rygende pistol i forhold til den elendige it-sikkerhed, som gjorde hackerangrebet muligt. Der sker simpelthen det, at Deloitte sender et stykke papir og fortæller CSC og Rigspolitiet, at de står med et helt hus, hvor døre og vinduer står åbne. På samme tidspunkt render de ubudne gæster rundt og tager, hvad de vil have i huset. Men CSC og Rigspolitiet reagerer ikke,« siger Peter Kruse, direktør i sikkerhedsfirmaet CSIS.

Ifølge Politiken oplistede Deloitte i 2012 syv konkrete sikkerhedsbrister, hvor der under nogle af punkterne har været tale om, at sikkerhedshullerne var lukkede, som Deloitte formulerer det.

Rigspolitiets it-direktør, Michael Steen Hansen, har ikke ønsket at lade sig interviewe af Politiken, men han medgiver i en mail over for avisen, at der ikke blev foretaget en sådan konsekvensanalyse.

»Det var ikke fast praksis i branchen at gennemføre en omfattende undersøgelse af, om nogen har udnyttet svaghederne, medmindre der konkret er noget, der giver mistanke om det. På daværende tidspunkt var der intet, der indikerede, at CSC’s systemer havde været udsat for et hackerangreb,« skriver han til Politiken.

Endelig oplyser CSC ifølge avisen, at selskabet ikke kunnet have gjort noget som helst ved angrebet, fordi det dengang udnyttede en hidtil ukendt sårbarhed.

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>