BREAKING:Preben Damgaard er død

Artikel top billede

Det store CSC-hack: Datatilsynet klar med hård kritik af Rigspolitiet

Datatilsynet har offentliggjort sin store afgørelse om CSC-hackersagen, og der er hård kritik af Rigspolitiet.

Datatilsynets afgørelse af sagen om det store hackerangreb mod CSC er netop offentliggjort, og det er ikke rar læsning for Rigspolitiet, der er den dataansvarlige myndighed. 

Ved hackerangrebet fik de kriminelle blandt andet adgang til Schengen-registret og 1,2 millioner oplysninger, data fra kørekort-registret og CPR-registret.

Det kunne lade sig gøre, fordi it-sikkerhedsniveauet hos Rigspolitiet slet ikke var godt nok.

Hovedpointerne i kritikken af Rigspolitiet er:

•    at Schengen-informationssystemets drift var utilstrækkeligt adskilt fra andre dataansvarliges informationssystemer og services. 

•    at sikkerheden omkring Schengen-informationssystemet var utilstrækkelig på grund af omfattende deling af IT-systemmæssige ressourcer som mainframe, LPAR, operativsystem, disksystem og RACF med andre dataansvarlige.

•    at Schengen-informationssystemet blev driftet i en mainframe, som ikke var isoleret fra internettet.

•    at Schengen-informationssystemet blev driftet i mainframen i en LPAR, hvortil der helt unødvendigt var adgang for alle fra det åbne internet til en aktiv webserver, som tjente en anden dataansvarligs driftsmæssige behov.

•    at de netværksmæssige sikkerhedsforanstaltninger omkring Schengen-informationssystemet var utilstrækkelige, fordi sikkerhedsforanstaltningerne var delte/fælles med andre dataansvarlige og var blevet indrettet efter disse andres driftsmæssige behov.

•    at filer med udtræk af data i Schengen-informationssystemet lå lagret, efter at filerne havde opfyldt deres formål.

Blandt de specifikke problemer er blandt andet:
I stedet for at have en isoleret mainframe til at håndtere de personfølsomme data, brugte man en lokal partition på en af CSC's mainframes, som også havde tre andre lokale partitioner med andre systemer fra andre dataansvarlige og blandt andet fungerede som webserver for Moderniseringsstyrelsen. 

En webserver som skulle vise sig at blive hackernes adgangsdør til hele mainfraimen.

Det er en praksis, som Datatilsynet gentagne gange beskriver som "uforsigtig", inden de skriver at Rigspolititet "...helt unødvendigt" har  "eksponeret Schengen-informationssystemet for at hackerangreb fra internettet."

Delte firewall og IDS

Når filen med udtrækket fra Schengen-informationssystemet og filen med RACF-databasen i det hele taget kunne komme ud af systemet, skyldes det blandt andet "...at firewall-clusteret , som skulle beskytte mainframen og informationssystemerne herpå, herunder Schengen-informationssystemet, var en sikkerhedsforanstaltning, som Rigspolitiet delte med andre dataansvarlige." 

Af hensyn til de andre dataansvarlige behov, var nogle indstillinger i firewall-clusteret sat mindre end optimalt, så det "...de facto tillod adgang til mainframen fra internettet for alle."

Heller ikke denne praksis ser man på med milde øjne i Datatilsynet:

"Rigspolitiet har således delt netværksmæssige sikkerhedsforanstaltninger med andre dataansvarlige. Ved at gøre det har Rigspolitiet reelt etableret et unødvendigt lavt beskyttelsesniveau mod trusler fra internettet, ligesom det har bevirket, at Rigspolitiets forsvar i dybden af Schengen-informationssystemet reelt er blevet undergravet."

Gamle filer lå og flød

Et andet kritikpunkt er, at de filer, som blev brugt til konsistenscheck med den tilsvarende database i Strasbourg, aldrig blev slettet, men lå tilgængelige på det delte filsystem, som andre dataansvarlige og hackere altså kunne skaffe sig adgang til.

Alt i alt konkluderer Datatilsynet, at "...den manglende efterlevelse af persondatalovens § 41, stk. 3, og Schengen-konventionens artikel 118 (1) b), c) og d) overordentlig kritisabel."

Måske er andre databaser hacket

Det er muligt, at en række af politiets andre databaser også er blevet ramt af hackere med samme fremgangsmåde som i CSC-sagen.

Datatilsynet hæfter sig nemlig i afgørelsen ved, at konklusionerne om overholdelsen af persondatalovens § 41, stk. 3, "...tilsvarende gør sig gældende for Rigspolitiets andre informationssystemer, som blev driftet på mainframen, heriblandt Kriminalregisteret, Pasregisteret, Kørekortregisteret og Index-registeret."

Læs også:

Rigspolitiet erkender brøler: Her fejlede politiet ved det store CSC-hack

Så ringe er politiets it-systemer: Ansætter spilder 45 minutter om dagen på bøvl




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Targit A/S
Udvikling og salg af software til business intelligence.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI & machine learning i dagligdagen – teknologi og best practice

Kunstig intelligens og machine learning er i gang med at forandre de måder, som vi arbejder på i organisationer og virksomheder - både i det store og i det små. Bliv inspireret til hvordan kan du selv udnytte dem til at gøre din organisation klogere, skarpere og mere effektiv.

06. december 2022 | Læs mere


ERP løsninger til SMV segmentet

For små og mellemstore virksomheder gemmer der sig meget store muligheder for effektivisering og data-udnyttelse i valget af ERP-system. Med det rigtige valg kan man udnytte eksempelvis machine learning, AI, procesautomatisering og meget andet på tværs af hele organisationen til blandt andet lagerstyring, produktion, distribution, intelligent afrapportering.

07. december 2022 | Læs mere


Identity & Access Management - sådan holder du din virksomhed sikker

God styring af brugerrettigheder er en af de mest effektive måder til at højne it-sikkerheden. For det kan hurtigt gå galt, hvis system-rettigheder, system-adgang og lignende ikke hele tiden opdateres. Kom og hør om erfaringer og muligheder til hurtigt og nemt hele tiden at sikre, at der er styr på brugerrettighederne i hele din organisation- også uden at genere brugerne.

08. december 2022 | Læs mere