»Der er brug for en fundamental gentænkning af statens data-håndtering.«
Sådan lyder det fra professor på CBS Kim Normann Andersen oven på danmarkshistoriens største hackersag, som i går blev afsluttet. Svenske Gottfrid Svartholm Warg blev dømt for hacking af CSC, mens hans danske medtiltalte blev dømt for medvirken til forsøg på hacking.
Hackerangrebet ramte en af statens største it-leverandører, og har kompromittereret vitale persondata for den danske befolkning. Og mens staten har påbegyndt arbejde for at højne sikkerheden, så er det ikke nok, mener Kim Normann Andersen.
»Det, der er sat i gang efter denne sag breakede, handler om, at gentænke sikkerheden i forhold til, hvem der har adgang til data, samt hvor der er brug for oprustning. Men vi mangler at se opdatering af planer for, hvordan staten skal reagere når uheldet er ude, og der har været et vellykket hackerangreb,« siger han til Version2.
En stor del af truslen fra it-angreb skyldes, at mens dansk it er blevet overdraget til private virksomheder, har staten ikke opdateret sin sikkerhed tilstrækkeligt.
»For år tilbage havde vi Kommunedata, og det hele var i offentlige hænder. Det er det overhovedet ikke i dag. Sikkerhed anno 2014 er fundamental anderledes og statens sikkerhedsprocedurer har i mine øjne ikke fuldt med,« forklarer it-professoren.
Hackersagen er et »wake up call«
Trusselsbilledet fra it-kriminelle er imidlertid heller ikke blevet mindre af, at datahåndteringen ligger mange æg i samme kurv.
»Det uheldige er, at opgaverne er samlet på store internationale aktører. De står for brug, drift og transport af data. Det gør dem til meget attraktive mål for it-kriminelle. Det er en del af det trusselsbillede, som ikke er blevet opdateret,« siger Kim Normann Andersen, der dog understreger, at visse ting kan være ændret bag lukkede døre.
Forsvarsadvokaten for den nu hackerdømte Gottrid Svartholm Warg, Luise Høj, forklarede igår i retten, at konsekvenserne af angrebet kunne have været meget være. For eksempel kunne hackeren have slettet politiets registrer helt. Endnu er det dog uvist, præcis hvilken skade der er sket. Manglende logning hos CSC gør det nemlig umuligt at udelukke, om den ulovlige adgang til CSC’s mainframe er blevet brugt til at redigere i statens filer- for eksempel kriminalregistret.
Kim Normann Andersen ser sagen som en anledning til at gentænke statens it-sikkerhed fra bunden.
»Hackersagen var et wake up call. Men denne sag er ikke enestående. Der er mange historier om læk af personlige data. Derfor er man nødt til at starte fra scratch og gentænke, hvordan man vil
holde dansk data sikker, og hvordan man vil reagere, når der sker brister på sikkerheden.«
Leave a Reply