Artikel top billede

Det store CSC-hack: Datatilsynet klar med hård kritik af Rigspolitiet

Datatilsynet har offentliggjort sin store afgørelse om CSC-hackersagen, og der er hård kritik af Rigspolitiet.

Datatilsynets afgørelse af sagen om det store hackerangreb mod CSC er netop offentliggjort, og det er ikke rar læsning for Rigspolitiet, der er den dataansvarlige myndighed. 

Ved hackerangrebet fik de kriminelle blandt andet adgang til Schengen-registret og 1,2 millioner oplysninger, data fra kørekort-registret og CPR-registret.

Det kunne lade sig gøre, fordi it-sikkerhedsniveauet hos Rigspolitiet slet ikke var godt nok.

Hovedpointerne i kritikken af Rigspolitiet er:

•    at Schengen-informationssystemets drift var utilstrækkeligt adskilt fra andre dataansvarliges informationssystemer og services. 

•    at sikkerheden omkring Schengen-informationssystemet var utilstrækkelig på grund af omfattende deling af IT-systemmæssige ressourcer som mainframe, LPAR, operativsystem, disksystem og RACF med andre dataansvarlige.

•    at Schengen-informationssystemet blev driftet i en mainframe, som ikke var isoleret fra internettet.

•    at Schengen-informationssystemet blev driftet i mainframen i en LPAR, hvortil der helt unødvendigt var adgang for alle fra det åbne internet til en aktiv webserver, som tjente en anden dataansvarligs driftsmæssige behov.

•    at de netværksmæssige sikkerhedsforanstaltninger omkring Schengen-informationssystemet var utilstrækkelige, fordi sikkerhedsforanstaltningerne var delte/fælles med andre dataansvarlige og var blevet indrettet efter disse andres driftsmæssige behov.

•    at filer med udtræk af data i Schengen-informationssystemet lå lagret, efter at filerne havde opfyldt deres formål.

Blandt de specifikke problemer er blandt andet:
I stedet for at have en isoleret mainframe til at håndtere de personfølsomme data, brugte man en lokal partition på en af CSC's mainframes, som også havde tre andre lokale partitioner med andre systemer fra andre dataansvarlige og blandt andet fungerede som webserver for Moderniseringsstyrelsen. 

En webserver som skulle vise sig at blive hackernes adgangsdør til hele mainfraimen.

Det er en praksis, som Datatilsynet gentagne gange beskriver som "uforsigtig", inden de skriver at Rigspolititet "...helt unødvendigt" har  "eksponeret Schengen-informationssystemet for at hackerangreb fra internettet."

Delte firewall og IDS

Når filen med udtrækket fra Schengen-informationssystemet og filen med RACF-databasen i det hele taget kunne komme ud af systemet, skyldes det blandt andet "...at firewall-clusteret , som skulle beskytte mainframen og informationssystemerne herpå, herunder Schengen-informationssystemet, var en sikkerhedsforanstaltning, som Rigspolitiet delte med andre dataansvarlige." 

Af hensyn til de andre dataansvarlige behov, var nogle indstillinger i firewall-clusteret sat mindre end optimalt, så det "...de facto tillod adgang til mainframen fra internettet for alle."

Heller ikke denne praksis ser man på med milde øjne i Datatilsynet:

"Rigspolitiet har således delt netværksmæssige sikkerhedsforanstaltninger med andre dataansvarlige. Ved at gøre det har Rigspolitiet reelt etableret et unødvendigt lavt beskyttelsesniveau mod trusler fra internettet, ligesom det har bevirket, at Rigspolitiets forsvar i dybden af Schengen-informationssystemet reelt er blevet undergravet."

Gamle filer lå og flød

Et andet kritikpunkt er, at de filer, som blev brugt til konsistenscheck med den tilsvarende database i Strasbourg, aldrig blev slettet, men lå tilgængelige på det delte filsystem, som andre dataansvarlige og hackere altså kunne skaffe sig adgang til.

Alt i alt konkluderer Datatilsynet, at "...den manglende efterlevelse af persondatalovens § 41, stk. 3, og Schengen-konventionens artikel 118 (1) b), c) og d) overordentlig kritisabel."

Måske er andre databaser hacket

Det er muligt, at en række af politiets andre databaser også er blevet ramt af hackere med samme fremgangsmåde som i CSC-sagen.

Datatilsynet hæfter sig nemlig i afgørelsen ved, at konklusionerne om overholdelsen af persondatalovens § 41, stk. 3, "...tilsvarende gør sig gældende for Rigspolitiets andre informationssystemer, som blev driftet på mainframen, heriblandt Kriminalregisteret, Pasregisteret, Kørekortregisteret og Index-registeret."

Læs også:

Rigspolitiet erkender brøler: Her fejlede politiet ved det store CSC-hack

Så ringe er politiets it-systemer: Ansætter spilder 45 minutter om dagen på bøvl




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Also A/S
Salg af serviceydelser inden for logistik, finansiering, fragt og levering, helhedsløsninger, digitale tjenester og individuelle it-løsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Den digitale trussel er konstant, kompleks og stadigt stigende - også i den offentlige sektor

I dagens Danmark har vi indrettet os sådan, at alt kommunikation mellem det offentlige og borgerne foregår på forskellige digitale platforme, hvilket gør både borgerne og de offentlige institutioner skrøbelige overfor cyberkriminalitet. Samtidig lyder det fra rapporter, at de offentliges it-systemer er støvede og fulde af teknisk gæld. Dette er en farlig cocktail for de offentlige institutioner, men en særdeles lækker drink for cyber-kriminelle.

28. maj 2024 | Læs mere


Industry 4.0 – sådan udnytter du AI og digitalisering til optimering af din produktion.

På denne konference fokuserer på en digitaliseret optimering af processer i produktions- og procesorienterede virksomheder. Herved bliver du f.eks. i stand til at kombinere maskiner med sales forecasting og derved planlægge anvendelsen af produktionsapparat og medarbejderallokering effektivt – samt begrænse materialespild og nedetid ved at optimere produktionsplanlægning og omstilling af produktionsmateriel.

29. maj 2024 | Læs mere


Forbered dig effektivt på cyber katastrofen

Da det ikke længere er et spørgsmål om, om man bliver ramt men et spørgsmål om hvornår, er det essentielt at analysere angrebsflader og designe en effektiv sikkerhedsinfrastruktur, som afvejer sikring af centrale data og systemer mod hensynet til brugervenlighed og medarbejdernes produktivitet.

30. maj 2024 | Læs mere