Rapport efter CSC-hack: Myndighedernes it-sikkerhed er for dårlig

Der er en helt reel trussel om alvorlige og meget skadelige cyberangreb mod danske myndigheder – og det skal de fremover tage mere alvorligt og blive bedre til at håndtere.

Sådan lyder hovedkonklusionen i en ny rapport, hvor Center for Cybersikkerhed og Digitaliseringsstyrelsen sammen har set på det store hackerindbrud hos CSC i 2012 og omsat det til anbefalinger om it-sikkerhed.

»… myndighederne skal være mere opmærksomme på at stille passende sikkerhedsmæssige krav til leverandørerne og følge løbende op på, at leverandørerne efterlever kravene,« fremgår det af rapporten.

Helt fra starten slår rapporten fast, at angrebet mod CSC, hvor politiets kørekortregister og Schengen-register var i hackernes vold, var dybt alvorligt, og at manglende sikkerhed hos CSC banede vejen:

»Sagen viser også, at de angrebne systemer på angrebstidspunktet var sårbare i en sådan grad, at det lykkedes angriberne at kompromittere fortroligheden af følsomme oplysninger, og at angriberne havde etableret et fodfæste i systemerne, så de potentielt kunne have forårsaget tab eller forvanskning af uerstattelige data,« lyder det i rapporten.

For at undgå tilsvarende sager i fremtiden skal danske myndigheder blive bedre til at holde snor i leverandørernes it-sikkerhed. Det kræver de rigtige kompetencer hos myndigheden selv – man kan ikke bare tro, at ansvaret kan overlades til en leverandør.

»Herunder er det væsentligt, at der hos myndigheden er kompetencer, som (bl.a. i dialog med leverandøren) kan vurdere behov for tilkøb af sikkerhedsrelaterede ydelser (såsom opdeling af netværk, vedligehold af forbindelse til internettet, opdatering af systemer mv.),« anbefaler rapporten.

Sikkerhed er heller ikke kun et spørgsmål om at pakke sine systemer godt ind, men handler også om, hvordan systemerne er skruet sammen fra starten af, og hvorvidt hele arkitekturen er tidssvarende.

Myndighederne skal løbende forebygge ’tilsanding’ af systemerne og have styr på, at systemer og funktionalitet, som ikke længere bliver brugt, bliver stoppet, lyder en anbefaling.

Rigspolitiet bliver ikke nævnt ved navn i den 18 sider lange rapport, men får indirekte kritik for ikke at have haft godt nok styr på sikkerheden for systemerne hos CSC.

En direkte lære fra CSC-sagen er således, at sikkerheden kan forbedres ’væsentligt’, hvis kunde og leverandør har et løbende og aktivt samarbejde om sikkerhed, som også ISO27001-standarden kræver det, lyder det for eksempel.

Har man gamle systemer i porteføljen – som Rigspolitiet jo i høj grad har – skal man være særligt opmærksom, fordi trusselsbilledet var helt anderledes, da de blev designet. Når de bliver koblet sammen med internet-tjenester, kan det give sikkerhedsmæssige problemer, fordi der ikke er taget højde for trusler udefra, lyder en af erfaringerne fra CSC-hacket.

Rapporten om CSC-hackersagen er den tredje, som Center for Cybersikkerhed har forfattet, men den første, som bliver offentliggjort, da de to første går mere i detaljer om, hvordan angrebet foregik.

Denne tredje rapport er mest tænkt som anbefalinger til it-chefer i den offentlige sektor, som har eksterne leverandører til it-driften. Læs hele rapporten (pdf).

Siden hackerangrebet blev offentligt kendt i juni 2013, har en ung dansk mand siddet varetægtsfængslet, anklaget for at stå bag sammen med svenskeren Gottfrid Svartholm Warg, som blev udleveret til dansk retsforfølgelse fra Sverige i november 2013. Sagen mod de to anklagede begynder tirsdag den 2. september. Kravet fra anklageren lyder på fire års fængsel.

Læs også: Dansk CSC-hacker har siddet i varetægt mere end et år

Læs også: Anklageskrift i CSC-hackersag ligger klar: Kræver fire års fængsel

Posted in computer.

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>