Datatilsynet kritiserer flere myndigheder for at dele mainframe og diske hos CSC

Skat, Moderniseringsstyrelsen og CPR-kontoret delte det samme disksystem på mainframen hos CSC som Rigspolitiet, og derfor kritiserer Datatilsynet dem for ikke at have haft tiltrækkelig kontrol.

Datatilsynets kritik af Rigspolitiet for det delte miljø på mainframen hos CSC, som blev hacket i 2012, bliver nu udvidet til at omfatte yderligere tre myndigheder, som anvendte det samme fysiske driftsmiljø.

Det drejer sig om Skat, CPR-kontoret og Moderniseringsstyrelsen, som havde systemer liggende på de fire logiske partitioner (LPAR), som var knyttet til samme fysiske diske og brugerstyringsdatabase (RACF).

Konklusionen fra Datatilsynet er, at de tre myndigheder ligesom Rigspolitiet ikke har haft tilstrækkelig kontrol med deres data, fordi der var tale om et delt miljø.

Moderniseringsstyrelsen var ansvarlig for et lønsystem, som var knyttet til en webserver, der kunne tilgås fra internettet. Det var et sikkerhedshul i denne webserver, som gav hackerne mulighed for at få fodfæste på mainframen.

Da de fire LPAR delte fysisk storage og database med brugerrettigheder var det muligt ved hjælp af zero day-sårbarheder at få adgang til at kopiere data fra alle fire LPAR.

For de tre myndigheder, som nu kritiseres, gælder også, at systemerne indeholdt personoplysninger som eksempelvis cpr-numre og oplysninger om løn- og pensionsforhold.

Da databasen med brugerrettigheder blev kompromitteret, indebærer det også, at der potentielt kan være foretaget ændringer i data i systemerne. Ingen af myndighederne har efterfølgende konstateret tegn på, at det er sket, men Datatilsynet finder det meget alvorligt, at det kunne være sket.

Myndighederne er alle dataansvarlige, og selvom CSC har stået for driften af mainframe-miljøet, så er det derfor myndighederne der i sidste ende er ansvarlige for sikkerheden.

CPR-kontoret oplyser ifølge Datatilsynet, at systemerne i marts 2014 blev flyttet til et selvstændigt driftsmiljø, ligesom systemet ikke længere anvender den fælles brugerrettighedsdatabase.

Databasen omfattede i alt cirka 85.000 brugere, hvoraf ikke alle var aktive brugere. Men alene de personoplysninger, som lå i denne database, er også beskyttet af persondataloven ifølge Datatilsynet.