CSC-mainframen der sladrede

Den store sal i Retten på Frederiksberg er noget ganske særligt.
Der er nemlig et tykt lag skudsikkert glas mellem tilhørerne på den ene side og anklagere, forsvarere, nævninge, dommere og de anklagede på den anden. Der er til gengæld aflange huller i glasset – muligvis for at lyden fra salen skal kunne nå os, publikummet og journalisterne, der sidder herude.
De gange jeg har siddet der, og det er en del gange, har jeg teoretiseret over, om man mon kunne få et pistolløb gennem de huller? Om nogen mon havde tænkt over det?CSC - making it real
Når man ser gennem glasset, ser man ind på en scene: De anklagede sidder til højre, Gottfried Swartholm Warg sammen med forsvarer Luise Høj, og den 21-årige medtiltalte dansker, med navneforbud, med sin forsvarer Michael Juul Eriksen. Til venstre holder de to anklagere til: senioranklager Maria Cingari og Anders Riisager fra Statsadvokaten.
Sidstnævnte indledte første retsdag med en erklæring om, at computere for ham var som ’kryptonit for Superman’ – en udtalelse, der på mange måder blev symptomatisk for hele sagen. Vi, tilskuerne, der talte en bred flok af journalister, familie og det, man kalder it-interesserede, fnes nervøst.
Gottfried Swartholm Warg, også kaldet Anakata, blev idømt tre og et halvt års fængsel, og den 21-årige med navneforbuddet fik seks måneder.
Tre dommere og fire nævninge mente, at Warg var hovedmand bag hackerangrebet og stod for selve udførelsen af angrebet.
De fandt det samtidig bevist, at den 21-årige havde medvirket til angrebet i den indledende fase.

Med den hårde dom på tre et halvt års ubetinget fængsel til Gottfried Swartholm Warg og den helt iskolde afvisning af muligheden af, at hans computer kunne have været fjernstyret, har retten, og dermed den danske stat, delt seriøse ørefigner ud. En hidtil ustraffet 21-årig dansk mand sidder varetægtsfængslet i 17 måneder og inkasserer så seks måneders ubetinget fængsel – alene for at have deltaget i en chat-samtale. Det er i den hårde ende. Ved at undlade at gøre sikkerhedsforholdene hos databehandleren CSC, Computer Sciences Corporation, til en del af sagen har det offentlige Danmark samtidig spredt gift rundt omkring sig selv og alle os andre.

Fem måneders frit spil

Det hele begynder i februar 2012. Nogen forsøger at logge ind på en ukrypteret FTP-server tilknyttet CSC’s IBM-mainframe. Men ingen er kommet ind. Endnu. Og ingen alarmer er gået hos CSC.
Den 7. april, 2012 trænger nogen så helt ind, angiveligt via en såkaldt zeroday-sårbarhed. Dagen efter overføres et script til CSC’s mainframe, og nu har indtrængerne administratorrettigheder. Den adgang bliver brugt til at lave tre bagdøre i systemet og sætte gang i en massiv kopiering og overførsel af data fra CSC’s systemer.
Der er downloadet filer og datasæt fra CPR-registeret, politiet, kriminalregisteret, kørekortregisteret og Schengen-informationssystemet. Det er de mest følsomme data, vi overhovedet har.
De data passerer gennem servere i Cambodia, Tyskland og Iran. Den sidste “uberettigede aktivitet” sker den 28. august!
De mest højlydte advarsler kommer fra svensk politi i juni 2012. De gentager dem tre gange mere i det efterår. Ingen lytter.
Samtidig, i juni 2012, undlader CSC og Rigspolitiet at reagere på en stærkt kritisk revisionsrapport fra Deloitte.
Svensk politi anholder Gottfried Swartholm Warg i Cambodia i august 2012. Hans computere er fyldt med data fra CSC’s servere og indeholder et program, der kan simulere en mainframe magen til den, CSC bruger. Det svenske politi ringer til Danmark igen.
I februar 2013 underretter dansk politi CSC om indbruddet. CSC får først lukket den sidste smækkende bagdør 6. marts 2013 – angiveligt for ikke at forstyrre kunderne på systemet for meget.

Det amerikansk ejede firma CSC er en af den danske stats største it-leverandører. CSC har siden maj 2001 stået for al it i Folketinget og stort set alle andre funktioner i det offentlige Danmark. Det kan undre, at et så betroet firma ikke har haft bedre sikkerhed, men det har hidtil ikke været sagens kerne: Medier og myndigheder har endnu en gang valgt at fokusere på symptomerne; i dette tilfælde den meget dygtige Warg og den dansker, han har været perifert i kontakt med via en chat.
Gottfried Swartholm Warg kan, yderst teoretisk, have haft det motiv at slette data om sig selv i Schengen-registreret, hvor han stod opført som undvegen fra dommen mod Pirate Bay i sin tid. Hvad angår den 21-årige, ja så kunne det måske have været interessant for anklagerne at se, hvad der gemte sig i den krypterede del af den computer, han med fuld ret har nægtet politiet adgang til – og dermed i øvrigt til fulde har bevist, at kryptering virker.
Men det er kun forestillinger. Selve meningen og beviserne kniber det med.
Dansk politi har ikke selv har haft adgang til CSC’s systemer. CSC hyrede et helt tredje firma til at gennemgå systemerne, og det er oplysningerne fra CSC’s egen “hired gun”, der er blevet brugt i retten.

– Basalt set er sagen ligesom alle andre. Der er nogle tekniske udfordringer, men det skal jo bare køres ned til, om der er foregået noget strafbart, sagde forsvarer Michael Juul Eriksen i mit radioprogram, “Aflyttet”, efter at den 21-årige sigtede dansker havde været gennem første afhøring.

Men sådan kom det ikke til at gå: Chatten var for eksempel et andet problem. Det er den, man har dømt den 21 årige og nogen grad også Warg ud fra. Den 21-årige har ikke benægtet, at han har deltaget i den chat. Han har forklaret, at det navn, han ifølge anklageren skulle have optrådt under, “Advanced Persisitant Terrorist Threat”, ikke var hans “handle”.

Der er god grund til at være mistænksom over for den chat: Den var nemlig kun lagret som en kopieret text-fil og er et uddrag af en længere chat-samtale. Og som de to nævninge, der ikke mente Warg var skyldig, udtalte i kendelsen: “…der er usikkerhed forbundet med at anse det for bevist, at det var tiltalte Warg, der under navnet “My Evil Twin” deltog i chatten”. To nævninge mener begge, at der er rimelig tvivl om, hvorvidt Warg er skyldig. Fire mener det modsatte, og mens Gottfried Swartholm Warg stadig er fængslet i Danmark under skærpede forhold, er sagen nu anket til landsretten. Anklagemyndigheden var tilfreds. Der blev sat præcedens. Nogen blev dømt. Hårdt.

– Borgerne er også potentielt blevet berørt og er det måske stadig. Blandt andet har Warg haft adgang til kriminalregistret, der er blevet kompromitteret, og det er i sig selv en enorm skadevirkning. Vi ved jo ikke, om der er ændret i oplysninger og straffeattester, sagde anklager Maria Cingari efter domsafsigelsen. Havde hun havde taget sine egne ord alvorligt, burde hun briste i gråd, og vi andre, os, borgerne, kræve de ansvarliges hoved på et fad.
Hvad gør vi?

Ud over de nu dømte, hvem er så de ansvarlige, der har sendt hele den danske registerkultur, grundlaget for retssamfundet, forvaltningens DNA, på en virtuel dødsrute via Iran, Tyskland, Cambodia?

Er det CSC?
Ja, Center For Cybersikkerhed (CFCS) har faktisk tildelt selskabet en forsigtig kindhest: “… myndighederne skal være mere opmærksomme på at stille passende sikkerhedsmæssige krav til leverandørerne og følge løbende op på, at leverandørerne efterlever kravene,” skriver CFCS i en hemmelig rapport, som Politiken fik indsigt i.
Hvordan den kontrol skal udføres i forhold til et stort udenlandsk firma uden danske statsansatte inden for murene – og med et dybt underbudgetteret datatilsyn, der ikke har kompetencerne – har hidtil fået lov til at stå uforklaret.
Hvis nogen har tænkt sig at lære af CSC-sagen, går de meget stille med dørene. Der er ellers nok af gode spørgsmål at tage fat på.
Det første er, om det overhovedet er en god ide at have så mange følsomme data liggende på et sted. På samme maskine. Og med adgang til internettet.
Det andet er, om det er forsvarligt at have dem liggende hos kommercielle, udenlandske firmaer, hvis logs, opdateringsrutiner og soft- og hardware vi ikke har en kinamands chance for at kontrollere.
Det tredje spørgsmål er, hvornår nogen stikker den der pistol ind gennem hullerne i det virtuelle glas, vi gemmer samfundets mest kritiske data bag, og begynder at fyre løs på må og få, så vi endegyldigt mister muligheden for at vide, om det, der står tilbage, nu er sandt eller falsk, hvis røgen nogensinde lægger sig.
Politikerne har råbt op, men alt for forsigtigt, da de selv står bag udliciteringerne, ikke tør ændre kurs, absolut intet ved om it-sikkerhed og derfor er afhængige af dyrt betalte konsulenter fra andre, udenlandske, firmaer.
Men de tror åbenbart, i ramme alvor, at man kan true sig til sikkerhed med kontrakter. De påstår igen og igen, at det kun handler om mere regulering og jura, mens de samtidig skærer ned på Datatilsynets bevillinger. Og som aben cykler syngende rundt der mellem datatilsyn, ministerier, ordensmagt og CSC, er vi nogle, der tæller ned til næste gang, det sker: Den store, endegyldige ofring af borgernes følsomme data på det naive forvaltningssjuskeris alter, der hvor man fejrer en Gud, der naturligvis aldrig vil stille sig tilfreds med et par “it-interesserede” mænd, men som vil blive ved med at kræve ind, til vi alle sammen ligger der, uden sikker viden, endnu flere syvmileskridt inde i et tvangsdigitaliseret Danmark med knuste logfiler i hjertet.

ARTIKLEN ER TIDLIGERE BRAGT I PROSABLADET HER: https://www.prosa.dk/aktuelt/prosabladet/artikel/artikel/csc-mainframen-der-sladrede/?tx_prosamag_pi1%5Bpageid%5D=5978

USA vs DK: Er folketingets data sikre?

In progress: af Anders Kjærulff(opdateret 13.8.2013)
CSC - making it real
Kan man indtage et land uden at løsne et eneste skud? Ja, måske…Hvis man nu f.eks. sidder på al kommunikation og har adgang til samtlige beslutningtageres e-mails og hele flowet af interne dokumenter er man nået ret langt. Og hvis man samtidig kan komme ind hos Politiet, skattevæsenet og i alle borgernes adgang til det offentlige, hvad behøver man så mere? Hvis besættelsesmagten ovenikøbet på forhånd er os venligt stillede – og vi betragter dem som en uundværlig allieret, hvor nemt ville det så ikke være?
Når jeg stiller spørgsmålet er det fordi, det er et yderst muligt scenarie, at Danmark er blevet indtaget. Eller har ladet sig indtage. Helt frivilligt.
Jeg siger ikke at vi allerede er det. Det er teori. Håber jeg.
Væsentlige dele af dansk IT-infrastruktur er nemlig allerede på udenlandske hænder. Det er der ikke noget nyt i. Men kan vi stole på at de hænder vil os det godt – når hænderne nu er amerikanske?
Det amerikanske firma CSC er en af den danske stats største IT-leverandører. CSC har siden maj 2001 stået for al IT i Folketinget, og stort set alle andre funktioner i det offentlige rum i Danmark, inklusive CPR, Politi og SKAT. CSC har 79.000 ansatte over hele verden, heraf 2.700 i Danmark efter købet af 75% af det daværende ‘Datacentralen I/S af 1959′ i 1996.
På den mere civile side har de før været sponsor for et kendt cykelhold, team-CSC.
Men CSC arbejder også for NSA. De driver faktisk NSAs interne computersystemer – sansynligvis med noget af den samme software som Folketinget bruger, men ok, nu gætter jeg.
Men det her er fakta: CSC er ledere af den såkaldte ‘Eagle-Alliance’, en gruppe amerikanske IT-firmaer, der siden 2007 har haft enddog meget lukrative kontrakter med NSA:
‘Computer Sciences Corporation (NYSE: CSC) today announced that the Eagle Alliance, a CSC-led joint venture, has received notification from the National Security Agency (NSA) of its intent to exercise the three-year option on the Groundbreaker contract. This option, with an expected value of $528 million, was included in the originally announced award value of Groundbreaker in July 2001. The option will extend Eagle Alliance’s performance on the program through September 30, 2011′, skrev CSC i en investor-pressemeddelse.
Arbejdet for NSA er ikke stoppet i 2011 – kontrakterne er videreført.
CSC har hovedsæde i USA, og er derfor underlagt amerikansk datalov. De kan samtidig pålægges en FISAR, Foreing Intelligence Surveillance Act og dermed beordres til at spionere mod f.eks. DK via FISA-domstolen – hvis afgørelser er hemmelige.
Iflg. de seneste afsløringer af Edward Snowden, betyder det at al information, der flyder gennem CSCs systemer også (kan) deles med NSA.

CSCs afdeling i Danmark er vanvittigt meget involveret i digitaliseringsprocessen af vores offentlige sektor. ‘Dyb Digitalisering’ hedder deres vision.
Her hedder det blandt andet: ‘I tilrettelæggelsen af fremtidens offentlige sektor er det helt centralt at benytte nye kategorier i tænkningen og udarbejdelsen af nye processer. Vi skal fjerne fokus fra, hvordan teknologi kan bruges til at understøtte
eksisterende processer og i stedet fokusere på, hvilke nye principper og muligheder vi skal tænke i, når fremtidens offentlige sektor skal designes’.

CSC kalder det som sagt Dyb Digitalisering. Spørgsmålet er, HVOR dyb, den er?
Og hvem der svømmer med, dernede.

Og det bringer os frem til et enkelt og samtidig såre kompliceret spørgsmål: Er dansk infrastruktur sikret mod amerikansk industrispionage? Er folketingets kommunikation?
Eller stoler vi så meget på USA, at det ikke bekymrer os?
Nogen, der har et svar?
Der har tidligere været stillet et spørgsmål til folketinget omkring CLOUD-computing fra staten og USAs behandling af data.
Justitsministeriets svar henviser til dansk persondatalovging, men den har de seneste afsløringer jo altså vist at amerikanske firmaer hverken kan eller behøver overholde.
Jeg er godt klar over, at det her er teoretisk.
Men det var der rigtig mange ting, der var, før Edward Snowden blæste i fløjten. Som det ser ud nu, er alt muligt.
For det kan blive endnu mere uhyggeligt: Den 23.maj spørger Stine Brix fra Enhedslisten, justitsminister Morten Bødskov: ‘Ministeren bedes be- eller afkræfte at amerikanske myndigheder, med eller uden hjemmel i USA Patriot Act, kan få udleveret data om danske borgere, som behandles af en amerikanskejet virksomhed, f.eks. CSC, på vegne af danske myndighedersom f.eks. Politiet, SKAT eller CPR, uanset om der er indgået en databehandleraftale mellem den amerikansk ejede virksomhed og den danske myndighed og hvad denne aftale måtte indeholde, og derudover be- eller afkræfte at dette kan ske uden inddragelse af en dansk domstol, samt at de amerikanske myndigheder kan forbyde den amerikansk ejede virksomhed at gøre den danske myndighed opmærksom på, at der er blevet udleveret data?’
Svaret kommer ikke fra justitsministeren. Men fra Datatilsynet, der citerer EUs noget brede praksis for den slags som en stor del af svaret.

Der bliver aldrig sagt: Nej, det kan de ikke. Der bliver sagt, de ikke må. Og hvis de gør, er det en overtrædelse af persondataloven.
Ihvertfald sådan som Datatilsynet forstår det.
Justitsministeren selv er bemærkelsesværdig tavs.