Del : SMS
Berlingske Business

IT-virksomhed overså alvorlige sikkerhedshuller

Hacker_politi.
I fem måneder havde hackere ifølge BT fri adgang til danske cpr-numre hos IT-firmaet CSC. Rigspolitichef Jens Henrik Højbjerg (Tv.), daværende PET-chef Jakob Scharf (th.) og Københavns politidirektør Thorkild Fogde holdt 6. juni 2013 et fælles pressemøde, hvor de kunne fortælle, at CSC havde været udsat for hackerangreb. Foto:

IT-virksomheden CSC overså alle advarsler om sikkerhedshuller. Hackere havde fri adgang til danskernes CPR-numre i fem måneder.

Artiklen fortsætter under annoncen

Landets borgere så måbende til, da politiets øverste chefer på et fælles pressemøde torsdag den 6. juni 2013 kunne fortælle, at Rigspolitiets registre hos IT-leverandøren CSC var blevet hacket. Alle borgere med kørekort havde fået stjålet deres cpr-numre.

Det skriver BT tirsdag.

Nu viser en rapport fra Danmarks nationale IT-sikkerhedsmyndighed, Center for Cybersikkerhed, at CSC, som administrerer myndighedernes mest følsomme oplysninger, i cirka tre måneder overså en meddelelse fra IBM om, at der var sikkerhedsbrister i den mainframesoftware, som CSC benytter, og at der dermed var sikkerhedshuller i systemerne. Det skriver bt.dk.

Det drejede sig om systemer hos Rigspolitiet, Skat, CPR-kontoret og Moderniseringsstyrelsen, der blandt andet håndterer statens lønsystem.

Da politicheferne – rigspolitichef Jens Henrik Højbjerg, daværende PET-chef Jakob Scharf og Københavns politidirektør Thorkild Fogde – 6. juni holdt pressemøde, kunne de fortælle, at CSC i fem måneder fra april 2012 til 27. august 2012 havde været udsat for »det hidtil største hackerangreb i Skandinavien«. Sådan beskriver Center for Cybersikkerhed angrebet i sin rapport »Foreløbig rapport om sikkerhedsbrud hos CSC«.

Rapporten er fra juli 2013, men har været hemmelig-stemplet til kort før jul. Adskillige passager er dog fortsat hemmeligholdt.

I rapporten skriver Center for Cybersikkerhed:

»Det bemærkes, at CSC i den konkrete sag var cirka tre måneder om at patche (rette, red.) IBMs mainframemiljø (store centrale servere, red.), uanset at de patches, som IBM havde udsendt, var markeret som kritiske.«

IBM havde opdaget sikkerhedsbristerne i oktober 2012 og udsendte rettelser i december 2013. Rettelserne blev markeret som »kritiske«. Men CSC opdagede dem ikke.

På grund af disse sikkerhedsbrister i systemerne lykkedes det hackere at downloade oplysninger fra politiets kørekortregister – herunder cpr-numre, og 10.000 polititjenestemænds email-konti og passwords. De havde desuden haft adgang til oplysninger om efterlyste personer i Schengen-registrene.

Men hverken politiet eller CSC havde selv opdaget, at de havde været udsat for et hackerangreb.

Det finder dansk politi ud af i januar 2013, ti måneder efter hackerangrebet begyndte, da svensk politi orienterede dansk politi om, at den kendte svenske hacker Gottfrid Svartholm Warg, der er medstifter af fildelingstjenesten Pirate Bay, har haft adgang til data hos CSC i Danmark.

Selv hvis CSC straks havde opdaget meddelelserne fra IBM, ville det ikke have forhindret hackerangrebet, da det allerede havde fundet sted. Men miseren sætter spørgsmålstegn ved, om CSCs sikkerhedsniveau er godt nok.

Center for Cybersikkerhed skriver ydermere i rapporten:

»Det er ligeledes ikke muligt at fastslå, om der i dag generelt er et passende sikkerhedsniveau i CSCs mainframemiljø.«

27. november 2013 blev den svenske hacker udleveret til Danmark, hvor han blev varetægtsfængslet.

Også en 20-årig dansk IT-konsulent er involveret. It-konsulenten bliver anholdt 5. juni 2013 af Københavns Politi og varetægtsfængslet, sigtet for indbrud, forstyrrelse og hærværk mod offentlige IT-systemer. Begge er fortsat varetægtsfængslede.

BT har forsøgt at få en kommentar til rapporten fra CSC, men CSC har meddelt, at man først vil udtale sig, når den nye rapport, som forventes af komme i begyndelsen af det nye år, er færdig.

0 Kommentarer

Business blogs Alle blogs

Forsiden lige nu

Til forsiden

Business anbefaler

Gratis breaking news på mobilen

Send BUSINESS BREAK til 1929 og modtag en SMS med en bekræftelse. Det er gratis - tilmelding koster kun almindelig takst. Du kan til hver en tid afmelde tjenesten igen.

Afmeld: sms BUSINESS BREAK STOP til 1929

Tilmeld Afmeld

Business Nyhedsbrev

Få breaking news og det bedste overblik fra Business.dk morgen og eftermiddag - eller modtag hver uge et prioriteret overblik over investorstof, privatøkonomi, ejendomme, digtal, karriere, media og vækst.

Se alle nyhedsbreve

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

<p>Henrik Olejasz Larsen</p>

Hør investeringsdirektør Henrik Olejasz fortælle hvor galt det i virkeligheden står til med Italien, og om vi er på vej mod en ny EU-krise efter nej'et ved folkeafstemningen søndag:

Business Events Se alle

Business.dk anvender cookies til at huske dine indstillinger, statistik og at målrette annoncer. Denne information deles med tredjepart. Læs mere