PET-rapport afslører it-svagheder hos CSC

It-sikkerheden hos firmaet CSC, der blandt andet håndterer følsomme oplysninger for staten, har haltet på en række punkter, og det har varet længe at få rettet skuden op.

Det fremgår af en rapport fra politiets og forsvarets efterretningstjenester, PET og FE, der er udarbejdet i kølvandet på et storstilet hackerangreb rettet mod CSC fra februar til august i 2012. Ved hackerangrebet blev store mængder følsomme oplysninger kopieret.

Efter angrebet var det nødvendigt for CSC at gennemføre otte tiltag, som var rettet mod, hvad der kaldes "en meget betydelig svaghed" i CSC's systemer, fremgår det af rapporten.

Konsulentfirmaet PWC, som har undersøgt CSC i forlængelse af hackersagen, bemærkede i november 2013, at kun seks af de otte tiltag på det tidspunkt var gennemført. På det tidspunkt havde de danske myndigheder kendt til hackerangrebet i knap et år.

- Vi skal dog bemærke, at det har taget forholdsvis lang tid at få en række af disse (sikkerhedstiltag, red.) implementeret, og at der stadig er en række udestående tiltag, lyder PWC's bemærkning i PET-rapporten.

CSC har ifølge rapporten efterfølgende oplyst til PET og FE, at de sidste tiltag mod meget betydelige svagheder skulle være på plads.

En svensk mand er for tiden ved Retten på Frederiksberg tiltalt for at stå bag hackerangrebet. En ung dansker er også tiltalt i sagen for at have opildnet svenskeren til at hacke CSC.

Under retssagen er det kommet frem, at yderst personfølsomme oplysninger om internationalt efterlyste personer og igangværende efterforskninger, oplysninger om dømte personer i Danmark samt en række andre følsomme oplysninger er blevet kopieret fra CSC's dataanlæg.

Hackerangrebet er sket gennem udnyttelse af en såkald zeroday-sårbarhed i den IBM mainframe-computer, som CSC benytter. Via sårbarheden har hackerne gradvist skabt sig adgang til flere og flere oplysninger i CSC's dataanlæg.

Ifølge efterretningsrapporten vurderer PWC, at CSC fremadrettet har et "væsentligt potentiale for forbedringer" på sikkerhedsfronten.

De nærmere detaljer om forbedringerne er i rapporten streget over. Det er nemlig kun en afklassificeret version af rapporten, som er offentlig tilgængeligt. Den afklassificerede rapport er sendt fra justitsministeren til Folketingets Retsudvalg.

Rapporten indeholder så mange oplysninger, der ifølge efterretningstjenesterne er hemmelige, at adskillige sider er streget over.

/ritzau/

Dagens Gossip