Havde fri adgang til danske cpr-numre: CSC overså hacker-huller

I fem måneder havde hackere fri adgang til danske cpr-numre. It-firmaet CSC overså alle advarsler om sikkerhedshuller

Landets borgere så måbende til, da politiets øverste chefer på et fælles pressemøde torsdag den 6. juni 2013 kunne fortælle, at Rigspolitiets registre hos it-leverandøren CSC var blevet hacket. Alle borgere med kørekort havde fået stjålet deres cpr-numre.

Nu viser en rapport fra Danmarks nationale it-sikkerhedsmyndighed Center for Cybersikkerhed, at CSC, som administrerer myndighedernes mest følsomme oplysninger, i cirka tre måneder overså en meddelelse fra IBM om, at der var sikkerhedsbrister i den mainframesoftware, som CSC benytter, og at der dermed var sikkerhedshuller i systemerne.

Det drejede sig om systemer hos Rigspolitiet, Skat, CPR-kontoret og Moderniseringsstyrelsen, der blandt andet håndterer statens lønsystem.

Største angreb i Skandinavien

Da politicheferne – rigspolitichef Jens Henrik Højbjerg, daværende PET-chef Jakob Scharf og Københavns politidirektør Thorkild Fogde – 6. juni holdt pressemøde, kunne de fortælle, at CSC i fem måneder fra april 2012 til 27. august 2012 havde været udsat for ’det hidtil største hackerangreb i Skandinavien’. Sådan beskriver Center for Cybersikkerhed angrebet i sin rapport ’Foreløbig rapport om sikkerhedsbrud hos CSC’.

Rapporten er fra juli 2013, men har været hemmelig-stemplet til kort før jul. Adskillige passager er dog fortsat hemmeligholdt.

I rapporten skriver Center for Cybersikkerhed:

- Det bemærkes, at CSC i den konkrete sag var ca. tre måneder om at patche (rette, red.) IBM’s mainframemiljø (store centrale servere, red.), uanset at de patches, som IBM havde udsendt, var markeret som kritiske.

Opdagede ikke angreb

IBM havde opdaget sikkerhedsbristerne i oktober 2012 og udsendte rettelser i december 2013. Rettelserne blev markedet som ’kritiske’. Men CSC opdagede dem ikke.

Sikkerhedschef: Vanskeligt at forhindre angreb

På grund af disse sikkerhedsbrister i systemerne, lykkedes det hackere at downloade oplysninger fra politiets kørekortregister – herunder cpr-numre, og 10.000 polititjenestemænds email-konti og passwords. De havde desuden haft adgang til oplysninger om efterlyste personer i Schengen-registrene.

Men hverken politiet eller CSC havde selv opdaget, at de havde været udsat for et hackerangreb.

Det finder dansk politi ud af i januar 2013, ti måneder efter hackerangrebet begyndte, da svensk politi orienterede dansk politi om, at den kendte svenske hacker Gottfrid Svartholm Warg, der er medstifter af fildelingstjenesten Pirate Bay, har haft adgang til data hos CSC i Danmark.

Selv hvis CSC straks havde opdaget meddelelserne fra IBM, ville det ikke have forhindret hackerangrebet, da det allerede havde fundet sted. Men miseren sætter spørgsmålstegn ved, om CSCs sikkerhedsniveau er godt nok.

Center for Cybersikkerhed skriver ydermere i rapporten:

- Det er ligeledes ikke muligt at fastslå, om der i dag generelt er et passende sikkerhedsniveau i CSC’s mainframemiljø.

Varetægtsfængslet i sagen

27. november 2013 bliver den svenske hacker udleveret til Danmark, hvor han bliver varetægtsfængslet.

Også en 20-årig dansk it-konsulent er involveret. It-konsulenten bliver anholdt 5. juni 2013 af Københavns Politi og varetægtsfængslet, sigtet for indbrud, forstyrrelse og hærværk mod offentlige it-systemer. Begge er fortsat varetægtsfængslede.

BT har forsøgt at få en kommentar til rapporten fra CSC, men CSC har meddelt, at man først vil udtale sig, når den nye rapport, som forventes af komme i begyndelsen af det nye år, er færdig.

Sagen om CSC

Læs også: