Tirsdag denne uken meldte den danske IT-publikasjonen Version2 at Danmarks Nationalbank var blitt rammet av de omfattende Solarwinds-angrepen som ble avdekket i desember 2020.
Her i Digi.no ble saken bare omtalt i en kort NTB-melding. Ifølge Version2 skal statssponsede hackere ha brukt sårbarheter i programvare fra Solarwinds til å installere én eller flere bakdører i nasjonalbankens systemer.
Ifølge Version2 har ingen hos Danmarks Nationalbank ønsket å stille til intervju. I stedet kom banken i går med en pressemelding hvor banken fullstendig avviser at sårbarhetene i bankens Solarwinds-systemer har blitt utnyttet i løpet av de sju månedene sårbarhetene eksisterte.
Nasjonalbanken hevder derfor at den ikke har blitt hacket og at ingen bakdør dermed har stått åpen.
Omtaler selv bakdør i dokumenter
Version2 har basert saken på både informasjon fra en varsler og på dokumenter som avisen har fått tilgang til gjennom innsynsbegjæringer. Den har også innhentet ekspertuttalelser som omtaler funnene som oppsiktsvekkende.
Den danske avisen hevder at dokumenter skrevet av nasjonalbankens driftsleverandør, BEC, omtaler tilfeller hvor Solarwinds-installasjonen til banken har gjort forespørsler til servere som kontrolleres av hackere. Men akkurat dette var også tilfellet hos 18.000 andre brukere av Solarwinds-programvaren og dermed langt fra enestående.
Men i dokumentene som Version2 har fått utlevert av nasjonalbanken, skal det også være omtalt det BEC kaller for en bakdør, som var klar til å reagere på hackernes kommandoer.
Kritikk for manglende åpenhet
Uavhengig av hva som er korrekt, er det flere som stiller seg kritisk til nasjonalbankens manglende åpenhet i saken. IT-sikkerhetsprofessor Carsten Schürmann ved IT-Universitetet sier til Version2 at det hviler et visst åpenhetsansvar på de virksomheter og organisasjoner som drifter landets kritiske infrastruktur og at disse bør ha åpenhet rundt sikkerhetsbrister og helt eller delvis vellykkede angrep.
Han får støtte av John Foley, et medlem av Den nationale operative stab, som skal sikre tverrgående samarbeid ved krisehendelser i Danmark. Foley mener det er betenkelig at nasjonalbanken ikke vil svare på kritiske spørsmål om dens håndtering av Solarwinds-angrepene.
Begge mener at Danmark generelt henger etter flere andre land, inkludert USA, når det gjelder gjennomsiktighet og informasjon om IT-sikkerhet.