Hackere havde årelang adgang til Socialstyrelsens databaser

ANGREB: En server med adgang til Socialstyrelsens databaser om stofmisbrugere og seksuelt krænkede børn har i årevis været infiltreret af hackere. Socialstyrelsen afviser, at personfølsomme oplysninger er sluppet ud, men kan ikke sige det med sikkerhed.

"I databasen kan der for eksempel stå noget om misbrugte børn, anbringelser udenfor hjemmet og mere konkret, hvad de er blevet udsat for," siger Christina Strauss, næstformand for Rådet for Socialt Udsatte.
"I databasen kan der for eksempel stå noget om misbrugte børn, anbringelser udenfor hjemmet og mere konkret, hvad de er blevet udsat for," siger Christina Strauss, næstformand for Rådet for Socialt Udsatte.Foto: Ólafur Steinar Gestsson/ Ritzau Scanpix
Kasper KaasgaardFreja SøgaardSimon Lessel

Hvis deres logningssystemer var sat rigtigt op og segmenteret, så ville de kunne se, hvad der er blevet hevet ud af systemerne.

John Foley
Rådgiver i cybersikkerhed, CC3P

Ukendte hackere havde i næsten fire år adgang til it-systemer hos Socialstyrelsen og det daværende SFI.

Fakta

De fem databaser

Hackere havde i 2012-2016 malware på en server hos forskningscenteret SFI. Serveren havde adgang til fem databaser hos Socialstyrelsen:

Børnehusene: Her koordinerer myndigheder indsatsen for misbrugte børn 0-17 år, så børn og unge undgår at gentage beretninger om overgreb.
Stofmisbrugsdatabasen: En fælles indberetningsplatform, der indsamler oplysninger om personer i henholdsvis social og sundhedsfaglig stofmisbrugsbehandling.
Ungdomssanktionen YLS: Youth Level of Service (YLS) er et værktøj til at vurdere risikoen for tilbagefald blandt unge, der har begået kriminalitet.
De Utrolige År: Arbejder med børn 0-12 år med det formål at forbedre deres forhold til både forældre og pædagoger/lærere. DUÅ har både et forebyggende og et behandlende sigte.
VIAS: Et styrings- og dokumentationsredskab i sagsforløbet på socialområdet og forløb med specialundervisning.


De fem databaser var placeret på servere hos Itavis, der var driftscenter for det daværende Koncern IT under Social- og Indenrigsministeriet.

Socialstyrelsen oplyser, at den infiltrede server, der altså havde adgang til databaserne, blev brugt til at lave rapporter på aggregerede data.

Kilde: Socialstyrelsen

Der er tale om en server med adgang til fem databaser i Socialstyrelsen med oplysninger om blandt andet seksuelt misbrugte børn, kriminelle unge og stofmisbrugere. Oplysningerne er “i visse tilfælde” personfølsomme.

Angrebet blev først opdaget i sommeren 2016, men stod på fra november 2012, hvor det daværende SFI fik hacket en server, der tilhører Socialstyrelsen. Det viser en aktindsigt, som Altinget har fået.

Dokumentation

Se Socialstyrelsens svar 

Altinget har ad flere omgange spurgt Socialstyrelsen, hvad de ved om hackerangrebet, og hvilke oplysninger de har haft adgang til. I første omgang forsøgte vi at få indsigt i, præcis hvilke oplysninger hackerne havde haft adgang til.
Her er Socialstyrelsens svar fra den første mailkorrespondance: 

Hvilke typer af oplysninger har hackerne haft adgang til? 
Svar: Data på aggregeret niveau. 

Det fremgår, at databaserne generelt indeholder oplysninger, som er personhenførbare og i visse tilfælde personfølsomme – hvilke typer oplysninger er der i det her tilfælde tale om? 
Svar: Der er tale om data i aggregeret form. Der er ingen personhenførbar data.

Vi spurgte efterfølgende ind til, hvordan Socialstyrelsens kunne sige, at der var tale om aggregerede data, når Rigsrevisionens kritik af den mangelfulde logning netop skulle besværliggøre at danne et billede af, hvordan misbrug af data foregår. 

I mødereferatet står der nemlig følgende: ”(…) det kan konstateres, at den kompromitterede server, der vedrører Socialstyrelsen, har haft adgang til data fra bl.a. Stofmisbrugsdatabasen, Børnehusene m.fl., og at disse databaser generelt indeholder oplysninger, som er personhenførbare og i visse tilfælde følsomme.” I skriver så nu, at hackerne ikke har haft adgang til personhenførbar data i de i alt fem hackede databaser. Hvordan ved I det? 
Svar: Der er intet, der tyder på, at der var fem hackede databaser. De fem fagsystemer var placeret på servere hos Itavis, der var driftscenter for det daværende Koncern IT under Social- og Indenrigsministeriet. Det var alene en webserver ved SFI, som var omfattet af sikkerhedsbruddet. Det mødereferat vedrørende tilsynsmøde med SFI fra den 16.06.16, som Altinget i anden forbindelse har fået aktindsigt i, er lavet kort tid efter Center for Cybersikkerhed den 7. juni 2016 informerede Koncern IT om, at der var identificeret software (malware) på den pågældende server hos SFI, som foretog scanninger på netværket. Dvs. på det tidspunkt havde man intet overblik over, hvilke servere der kunne være påvirket. 10 min efter Koncern IT fik beskeden den 7. juni 2016, slukkede man for netværksadgangen fra SFI-webserveren til ministeriets datacenter (Itavis), hvor selve fagsystemerne ligger.  

Rigsrevisionen har netop kritiseret den mangelfulde logning og skriver endvidere, at logning netop kan bruges til at opspore eventuel misbrug af data. Har jeres logdata været gode nok til at fastslå, hvad hackerne har haft adgang til, og hvordan kan I helt præcist vide, at de ikke har haft adgang til mere end de aggregerede data? 
Svar: Socialstyrelsen har alene interne notater vedrørende hændelsen, idet kommunikationen vedrørende hændelsen er gået mellem Center for Cybersikkerhed og Koncern IT under det daværende Social- og Indenrigsministerium. Anbefalingerne fra Center for Cybersikkerhed er blevet fulgt, og alle servere blev scannet i juni og juli i 2016 af et firma med ekspertise på it-sikkerhedsområdet. Scanningen viste, at der ikke var andre servere, der var inficeret. Efterfølgende blev webserveren fra SFI flyttet til det koncernfælles servermiljø hos Itavis. 

Hvordan kan I være sikre på, at hackerne ikke har haft adgang til mere end de aggregerede data? 
Svar: Center for Cybersikkerhed har ikke kunnet finde spor i den tilgængelige historik, der tyder på, at der har været adgang til personfølsomme oplysninger. Det er beskrevet, at sandsynligheden anses for at være begrænset. 


0:000:00