OPROP om hackersag

Jeg har skrevet lidt om "hackersagen" ovre på version2, mest fra den rent IT-tekniske vinkel, men der er en side af sagen der hører hjemme her på ing.dk, for det berører alle danskere og dermed alle danske ingeniører.

Den absolut vigtigste "detalje" i hackersagen, er følgende (Citater fra domstolens kendelse)

"Den 7. april 2012 fandt den første konstaterede uberettigede adgang til CSC’s mainframe sted "

Bemærk ordet "konstaterede". I virkeligheden er der overhovedet ingen der aner hvor mange hackere der har været på CSCs mainframe.

"Udover download af RACF-databasen [Adgangskontrolfilen /phk] den 10. april 2012 skete der blandt andet download af større mængder data fra CSC's mainframe alle dage den 11.-16. april 2012, den 21.-22. april 2012, den 16.-17. juni 2012, den 24.-25. juni 2012, den 30. juni 2012, den 12.-13. juli 2012, den 20. juli 2012, den 22. juli 2012, den 28. juli 2012, den 1. august 2012, den 10.-11. august 2012, den 14.-16. august 2012 og den 27. august 2012."

I fire måneder downloader de kriminelle alt muligt fra CSC's mainframe.

"De downloadede filer og datasæt vedrørte navnlig personfølsomme data fra CPR-registret, politiets indexregistre, kriminalregistret, kørekortregistret og Schengen Informationssystemet."

Grunden til at vi ved at netop disse data er downloadet, er at vi har fundet dem på den dømtes laptop.

CSC's mainframe var så dårligt overvåget at de ikke opdagede at logningen blev slået fra og derfor aner vi ikke hvad der ellers måtte være downloadet.

Heller ingen aner hvad der skete med de downloadede data: vi ved ikke hvem der har kopier af dem, vi ved ikke hvor mange der har kopier af dem. Vi ved ikke hvad de vil blive brug til.

"Tiltalte T1 blev på foranledning af svensk politi anholdt af cambodiansk politi den 30. august 2012 i sin lejlighed i Phnom Penh i Cambodia"

... Hvilket får angreb og downloading til at stoppe.

Og endelig:

"De tre bagdøre, som gav uautoriseret adgang til CSC’s mainframe, blev ifølge vidnet Gs forklaring fjernet af CSC således, at første bagdør blev fjernet omkring den 27. februar 2013, mens anden og tredje bagdør blev fjernet senest den 6. marts 2013. "

ELLEVE måneder efter indbrudet, SEKS måneder efter at indbrudet tilfældigvis er stoppet af svensk politi, bliver hullet endelig lukket.

Og hvis man sidder og synes det er lidt sølle, så bliver det værre endnu:

Allerede mens angrebene stod på, i juni 2012 advarede svensk politi det danske politi om at de så noget der lignede indtrængen i CSCs systemer.

De henvendet sig igen i September 2012.

Og i Oktober 2012.

Og i November 2012.

Men fik intet svar og ingen reaktion af dansk politi.

Først i Februar 2013 giver dansk politiet giver sig til at læse de svenske henvendelser og se på sagen.

Herefter retter politiet henvendelse CSC.

Og først da opdager CSC at porten er vidt åben og hestene stukket af.

Dét er den helt centrale lære af hackersagen:

Der er ikke en skid styr på IT-sikkerheden i offentlig IT.

Der er mange aspekter og detaljer om hvilke vi kan have divergerende meninger inden for dette område.

F.eks om samfundskritisk IT infrastruktur og alle danskeres personfølsomme oplysninger skal udliciteres til laveste, eller ligefrem eneste bud fra udlandet.

Men der kan ikke længere være nogen tvivl om at skiftende regeringers forhastede og lemfældige tvangsdigitaliseringer har efterladt Danmark med et morads af usikre og dårligt beskyttede IT systemer fyldt med borgernes mest privatlivskritiske persondata.

Vores politikere har opfattet IT som en slags magisk tryllestav som man kunne svinge over et vilkårligt kontor i den offentlige administration for derefter at beskære budgettet med så mange procent man havde lyst til, med henvisning til "IT rationaliseringer".

Der er kun to ting man kan markedsføre i Danmark idag, uden nogen form for producentansvar: Religion og IT.

Havde det været fødevareområdet, var CSC blevet lukket på stedet af fødevarekontrollen, direktøren ville stå til fængselsstraf og store bøder, erstatningsansvar mv.

Men på IT området har vi kun det ornamentale Datatilsyn hvis beføjelser tillader dem at sende breve og hvis budget ikke giver dem råd dertil.

(Datatilsynet har intet gjort i CSC sagen, fordi hverken Rigspolitiet (som dataansvarlig) eller CSC har svaret på deres breve!)

Det må høre op!

Der er masser af teoretisk papirarbejde i alle mulige virksomheder og offentlige styrelser som handler om IT sikkerhed, men der er meget lidt faktisk IT-sikkerhed og der er slet ikke noget ansvar hvis der sker et indbrud.

Vi skal have et ministerium med ansvar for IT og privatliv.

Vi skal have et Datatilsyn som med iver og nidkærhed inspicerer og hiver stikket på alle datainstallationer der ikke holder stangmål på IT-sikkerhed.

Vi skal have love der gør at Direktøren For Det Hele ryger i fængsel hvis noget i kaliber med CSC sagen nogensinde gentager sig.

Vi skal have indberetningspligt for alle tilfælde hvor blot en eneste borgers personfølsomme oplysninger stjæles, mistes eller glemmes i S-toget, så vi kan underrette de ramte og føre statistik med problemets omfang.

Vi skal have producentansvar for programmer og IT driftsydelser.

Vi skal have en autorisationsordning for drift- og persondataansvarlige IT folk, på linie med el-, vvs- og kloak-installatører.

Vi skal have en autorisationsordning for IT-systemdesignere, på linie med Anerkendte Statikere.

Og vi skal have en IT-Havarikommission til at udrede hvad der gik galt og til at komme med anbefalinger til hvorledes gentagelser undgås.

Alle disse problemer kan kun og skal løses på Slotsholmen af vores folkevalgte politikere og det gør de ikke med mindre der bliver lagt meget stort press på dem fra befolkningen.

(EU's kommende databeskyttelsesdirektiv som tager nogle små skridt på dette område, er af danske regeringer blevet modarbejdet med fuld kraft.)

IT-sikkerhedsspecialister som jeg har råbt os hæse om dette i årvis, uden at der er sket en skid.

Nu håber jeg at resten af befolkningen også kan se problemet og at I slutter jer til vores protester.

Tag fat i jeres politikere og spørg hvad de vil gøre ved IT sikkerhed og persondatabeskyttelse.

Stem på nogen andre hvis de siger noget dumt eller hælder lommeuld ud.

Skriv læserbreve til aviserne.

Gør det til et emne i valgkampen.

Gør hvad som helst andet end at trække på skulderen.

phk