Berlingske Business

IT-virksomhed overså alvorlige sikkerhedshuller

Hacker_politi.
I fem måneder havde hackere ifølge BT fri adgang til danske cpr-numre hos IT-firmaet CSC. Rigspolitichef Jens Henrik Højbjerg (Tv.), daværende PET-chef Jakob Scharf (th.) og Københavns politidirektør Thorkild Fogde holdt 6. juni 2013 et fælles pressemøde, hvor de kunne fortælle, at CSC havde været udsat for hackerangreb. Foto:

IT-virksomheden CSC overså alle advarsler om sikkerhedshuller. Hackere havde fri adgang til danskernes CPR-numre i fem måneder.

Landets borgere så måbende til, da politiets øverste chefer på et fælles pressemøde torsdag den 6. juni 2013 kunne fortælle, at Rigspolitiets registre hos IT-leverandøren CSC var blevet hacket. Alle borgere med kørekort havde fået stjålet deres cpr-numre.

Det skriver BT tirsdag.

Nu viser en rapport fra Danmarks nationale IT-sikkerhedsmyndighed, Center for Cybersikkerhed, at CSC, som administrerer myndighedernes mest følsomme oplysninger, i cirka tre måneder overså en meddelelse fra IBM om, at der var sikkerhedsbrister i den mainframesoftware, som CSC benytter, og at der dermed var sikkerhedshuller i systemerne. Det skriver bt.dk.

Det drejede sig om systemer hos Rigspolitiet, Skat, CPR-kontoret og Moderniseringsstyrelsen, der blandt andet håndterer statens lønsystem.

Da politicheferne – rigspolitichef Jens Henrik Højbjerg, daværende PET-chef Jakob Scharf og Københavns politidirektør Thorkild Fogde – 6. juni holdt pressemøde, kunne de fortælle, at CSC i fem måneder fra april 2012 til 27. august 2012 havde været udsat for »det hidtil største hackerangreb i Skandinavien«. Sådan beskriver Center for Cybersikkerhed angrebet i sin rapport »Foreløbig rapport om sikkerhedsbrud hos CSC«.

Rapporten er fra juli 2013, men har været hemmelig-stemplet til kort før jul. Adskillige passager er dog fortsat hemmeligholdt.

I rapporten skriver Center for Cybersikkerhed:

»Det bemærkes, at CSC i den konkrete sag var cirka tre måneder om at patche (rette, red.) IBMs mainframemiljø (store centrale servere, red.), uanset at de patches, som IBM havde udsendt, var markeret som kritiske.«

IBM havde opdaget sikkerhedsbristerne i oktober 2012 og udsendte rettelser i december 2013. Rettelserne blev markeret som »kritiske«. Men CSC opdagede dem ikke.

På grund af disse sikkerhedsbrister i systemerne lykkedes det hackere at downloade oplysninger fra politiets kørekortregister – herunder cpr-numre, og 10.000 polititjenestemænds email-konti og passwords. De havde desuden haft adgang til oplysninger om efterlyste personer i Schengen-registrene.

Men hverken politiet eller CSC havde selv opdaget, at de havde været udsat for et hackerangreb.

Det finder dansk politi ud af i januar 2013, ti måneder efter hackerangrebet begyndte, da svensk politi orienterede dansk politi om, at den kendte svenske hacker Gottfrid Svartholm Warg, der er medstifter af fildelingstjenesten Pirate Bay, har haft adgang til data hos CSC i Danmark.

Selv hvis CSC straks havde opdaget meddelelserne fra IBM, ville det ikke have forhindret hackerangrebet, da det allerede havde fundet sted. Men miseren sætter spørgsmålstegn ved, om CSCs sikkerhedsniveau er godt nok.

Center for Cybersikkerhed skriver ydermere i rapporten:

»Det er ligeledes ikke muligt at fastslå, om der i dag generelt er et passende sikkerhedsniveau i CSCs mainframemiljø.«

27. november 2013 blev den svenske hacker udleveret til Danmark, hvor han blev varetægtsfængslet.

Også en 20-årig dansk IT-konsulent er involveret. It-konsulenten bliver anholdt 5. juni 2013 af Københavns Politi og varetægtsfængslet, sigtet for indbrud, forstyrrelse og hærværk mod offentlige IT-systemer. Begge er fortsat varetægtsfængslede.

BT har forsøgt at få en kommentar til rapporten fra CSC, men CSC har meddelt, at man først vil udtale sig, når den nye rapport, som forventes af komme i begyndelsen af det nye år, er færdig.

Kære læser

Berlingske har skiftet det system, vi bruger til at håndtere kommentarer til de enkelte artikler. Det betyder, at tidligere kommentarer nu er slettet. For fremtiden kan artikler kun kommenteres og debateres med et log ind til Facebook.

Med venlig hilsen

Redaktionen

Forsiden lige nu

Til forsiden

Business anbefaler

 

Business i billeder

Se alle

BrandView Hvad er Brandview?

BrandView er en service fra Berlingske Media, hvor virksomheder har mulighed for at kommunikere deres specialviden direkte til brugere og læsere af Berlingske.
Dette kan gøres på print i Berlingske og Berlingske Business, eller online på b.dk og business.dk.

Ønsker du at vide mere om BrandView, bedes du kontakte content marketing afdelingen Public Impact via e-mail: info@publicimpact.dk.

Annonce

De første kvartalsregnskaber, primært fra USA, der tegner en fortsættelse af billedet for 2017-billedet, både når det handler om teknologiorienterede forbrugsselskaber som Netflix og traditionelle sel...

Kære læser. Velkommen til business.dk.

Vi kan se, at du har installeret en adblocker, så vi ikke kan vise dig annoncer. Det er vi kede af, fordi indtægter fra annoncer er en helt afgørende årsag til, at vi dagligt kan tilbyde dig journalistik af høj kvalitet.

Vi håber derfor, at du i din adblocker vil tillade visning af annoncer fra business.dk Det er nemt og tager kun et øjeblik: Se hvordan du gør her.

Med venlig hilsen
Berlingske Business

Tilbage til artiklen