Det store CSC-hack: Datatilsynet klar med hård kritik af Rigspolitiet

Datatilsynet har offentliggjort sin store afgørelse om CSC-hackersagen, og der er hård kritik af Rigspolitiet.

Datatilsynets afgørelse af sagen om det store hackerangreb mod CSC er netop offentliggjort, og det er ikke rar læsning for Rigspolitiet, der er den dataansvarlige myndighed. 

Ved hackerangrebet fik de kriminelle blandt andet adgang til Schengen-registret og 1,2 millioner oplysninger, data fra kørekort-registret og CPR-registret.

Det kunne lade sig gøre, fordi it-sikkerhedsniveauet hos Rigspolitiet slet ikke var godt nok.

Hovedpointerne i kritikken af Rigspolitiet er:

•    at Schengen-informationssystemets drift var utilstrækkeligt adskilt fra andre dataansvarliges informationssystemer og services. 

•    at sikkerheden omkring Schengen-informationssystemet var utilstrækkelig på grund af omfattende deling af IT-systemmæssige ressourcer som mainframe, LPAR, operativsystem, disksystem og RACF med andre dataansvarlige.

•    at Schengen-informationssystemet blev driftet i en mainframe, som ikke var isoleret fra internettet.

•    at Schengen-informationssystemet blev driftet i mainframen i en LPAR, hvortil der helt unødvendigt var adgang for alle fra det åbne internet til en aktiv webserver, som tjente en anden dataansvarligs driftsmæssige behov.

•    at de netværksmæssige sikkerhedsforanstaltninger omkring Schengen-informationssystemet var utilstrækkelige, fordi sikkerhedsforanstaltningerne var delte/fælles med andre dataansvarlige og var blevet indrettet efter disse andres driftsmæssige behov.

•    at filer med udtræk af data i Schengen-informationssystemet lå lagret, efter at filerne havde opfyldt deres formål.

Blandt de specifikke problemer er blandt andet:
I stedet for at have en isoleret mainframe til at håndtere de personfølsomme data, brugte man en lokal partition på en af CSC's mainframes, som også havde tre andre lokale partitioner med andre systemer fra andre dataansvarlige og blandt andet fungerede som webserver for Moderniseringsstyrelsen. 

En webserver som skulle vise sig at blive hackernes adgangsdør til hele mainfraimen.

Det er en praksis, som Datatilsynet gentagne gange beskriver som "uforsigtig", inden de skriver at Rigspolititet "...helt unødvendigt" har  "eksponeret Schengen-informationssystemet for at hackerangreb fra internettet."

Delte firewall og IDS
Når filen med udtrækket fra Schengen-informationssystemet og filen med RACF-databasen i det hele taget kunne komme ud af systemet, skyldes det blandt andet "...at firewall-clusteret , som skulle beskytte mainframen og informationssystemerne herpå, herunder Schengen-informationssystemet, var en sikkerhedsforanstaltning, som Rigspolitiet delte med andre dataansvarlige." 

Af hensyn til de andre dataansvarlige behov, var nogle indstillinger i firewall-clusteret sat mindre end optimalt, så det "...de facto tillod adgang til mainframen fra internettet for alle."

Heller ikke denne praksis ser man på med milde øjne i Datatilsynet:

"Rigspolitiet har således delt netværksmæssige sikkerhedsforanstaltninger med andre dataansvarlige. Ved at gøre det har Rigspolitiet reelt etableret et unødvendigt lavt beskyttelsesniveau mod trusler fra internettet, ligesom det har bevirket, at Rigspolitiets forsvar i dybden af Schengen-informationssystemet reelt er blevet undergravet."

Gamle filer lå og flød
Et andet kritikpunkt er, at de filer, som blev brugt til konsistenscheck med den tilsvarende database i Strasbourg, aldrig blev slettet, men lå tilgængelige på det delte filsystem, som andre dataansvarlige og hackere altså kunne skaffe sig adgang til.

Alt i alt konkluderer Datatilsynet, at "...den manglende efterlevelse af persondatalovens § 41, stk. 3, og Schengen-konventionens artikel 118 (1) b), c) og d) overordentlig kritisabel."

Måske er andre databaser hacket
Det er muligt, at en række af politiets andre databaser også er blevet ramt af hackere med samme fremgangsmåde som i CSC-sagen.

Datatilsynet hæfter sig nemlig i afgørelsen ved, at konklusionerne om overholdelsen af persondatalovens § 41, stk. 3, "...tilsvarende gør sig gældende for Rigspolitiets andre informationssystemer, som blev driftet på mainframen, heriblandt Kriminalregisteret, Pasregisteret, Kørekortregisteret og Index-registeret."

Læs også:

Rigspolitiet erkender brøler: Her fejlede politiet ved det store CSC-hack

Så ringe er politiets it-systemer: Ansætter spilder 45 minutter om dagen på bøvl







Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer & Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Customer Experience 2021 - fokus på CX-strategi og teknologi til at forankre kundeoplevelsen

De gode kundeoplevelser er altafgørende for virksomheden, og netop derfor er det nødvendigt at have fokus på CX-strategi og teknologi, der kan være med til at forbedre kundeoplevelsen endnu mere. Det kræver tid og ressourcer, men det gavner hele virksomheden på lang sigt.

03. december 2020 | Læs mere


Træf det rigtige cloud-valg: Hør om mulighederne med hybrid- og multi-cloud

Vi kan ikke komme udenom, at cloud-teknologien bare vokser og vokser. Den giver adgang til store fordele for din virksomhed, men det kræver at virksomheden træffer strategiske, arkitektoniske og teknologiske vælg. Få indblik i, hvordan ud kan få sikkerhed, release cycles og andet til at gå op i en højere enhed.

09. december 2020 | Læs mere


Er du klar til at rekruttere de attraktive it-talenter i 2021?

Hvad betyder aller mest for danske it-kandidater, og har corona været med til at skubbe til it-kandidaternes værdisæt? Det gennemgår vi på denne times webinar, hvor der naturligvis også vil være plads til spørgsmål og mulighed for videre dialog.

10. december 2020 | Læs mere






Premium
Datatilsynet øger GDPR-kontrollen med ny strategi: Første del bliver spørgeskema med 100 spørgsmål
Det danske Datatilsyn er på vej med en ny data- og risikobaseret strategi i tre faser. Den første bliver et skema med op mod 100 spørgsmål, som virksomheder og myndigheder skal besvare. "Tilsynsmodellen har et element af stikprøvekontrol og er opbygget som en tragt," siger tilsynschef Frederik Siegumfeldt.
Computerworld
Bitcoinen nåede lige at kulminere igen – men så kom krakket
Der blev sat en ny rekord for bitcoinens værdi i år – men godt 24 timer efter blev der høvlet næsten 20.000 kroner af den.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Digital transformation tvinger organisationer til at nå deres digitale mål på nye måder
Allerede for to år siden hævdede nordiske virksomheder, at virksomhedernes konkurrenceevne og sågar overlevelse var afhængig af en vellykket digitalisering. De var klar, fulde af håb og på vej mod det digitale paradis. Hvordan gik det så? Hvor er de nu? For at finde ud af det, interviewede DigiPlex og Norstat 377 forretningsledere og IT-beslutningstagere fra organisationer fordelt over hele Danmark, Sverige og Norge om deres digitaliseringsfremskridt, om hvordan de har håndteret pandemien, og om hvordan IT understøtter eller står i vejen for indfrielsen af deres bæredygtighedsmål. DigiPlex kan nu dele en rapport med resultaterne fra undersøgelsen samt tanker om, hvordan man håndterer dem. De deler også nogle nyttige tips til, hvordan man skaber en pålidelig infrastruktur, der kan tilskynde til og understøtte ambitioner i den digitale økonomi. Læs mere i rapporten Nordic Data Center Trends 2020: Riding out the Storm.