CSC og politi blev advaret under it-angreb i 2012

Skrevet af admin

04/07/2014

Mest læste i dag

Danmarkshistoriens største hackerangreb kunne være blevet opdaget og delvis afværget, hvis Rigspolitiet og statens største it-leverandør, CSC, havde reageret på en kritisk revisionsrapport fra Deloitte i juni 2012.

Det mener tre it-tekniske eksperter, der har læst rapporten, der blev bestilt af CSC, og som Politiken har fået aktindsigt i.

På det tidspunkt, hvor rapporten om it-kontrollen af Rigspolitiets data hos CSC forelå, boltrede hackerne sig nemlig i CSC’s systemer og kopierede følsomme oplysninger i Rigspolitiets kørekortregister, kriminalregister og i Schengens informationssystem om efterlyste personer.

Hackerne trak gennem mindst fire og en halv måned i 2012 blandt andet fire millioner danske kørekortnumre fra systemerne, mener politiet. Men forseelsen blev først opdaget flere måneder senere.

- Revisionsrapporten er en rygende pistol i forhold til den elendige it-sikkerhed, som gjorde hackerangrebet muligt. Der sker simpelthen det, at Deloitte sender et stykke papir og fortæller CSC og Rigspolitiet, at de står med et helt hus, hvor døre og vinduer står åbne.

- På samme tidspunkt render de ubudne gæster rundt og tager, hvad de vil have i huset. Men CSC og Rigspolitiet reagerer ikke, siger Peter Kruse, direktør i sikkerhedsfirmaet CSIS, der har indgående kendskab til sagen, til Politiken.

Først ni måneder efter at revisionsrapporten kom, i marts 2013, gik alvoren op for Rigspolitiet og it-leverandøren efter et tip fra svensk politi.

Rapporten fra Deloitte oplister syv konkrete it-sikkerhedsbrist og nævner blandt andet et "stort antal kritiske sårbarheder" og "manglende aftale med CSC om opfølgning på logs".

Under flere af punkterne skriver Deloitte, at sikkerhedshullerne er "lukket". Men det var utilstrækkeligt bare at lukke hullerne, forklarer de tre eksperter.

Med så alvorlige brist burde Rigspolitiet og CSC have foretaget en konsekvensanalyse for at afdække, om sikkerhedshullerne var blevet udnyttet.

Rigspolitiets it-direktør, Michael Steen Hansen, ønsker ikke at lade sig interviewe, men medgiver i en mail, at der ikke blev foretaget en konsekvensanalyse.

/ritzau/