Når ældre systemer fejler: Lærdomme fra de føderale domstoles brud

Af Danny Bradbury • 23 September 2025

Cyberangreb sker hver dag, men nogle er særligt uhyggelige. Et angreb i sommer på det amerikanske retssystem burde have sendt kuldegysninger ned ad alle rygge.

Den 7. august, embedsmænd bekræftet et angreb på det føderale retsvæsen i USA. Angriberne gik især efter dets retslige arkiveringssystem, Case Management/Electronic Case Files (CM/ECF), også kendt under dets offentligt tilgængelige brugerflade PACER. New York Times sagde, at angrebet, der fandt sted mellem slutningen af juni og begyndelsen af den 4. juli i år, sandsynligvis var knyttet til russiske statslige aktører.

Konsekvenserne er betydelige. Mens mange sagsakter om CM/ECF er offentligt tilgængelige via PACER, er mange andre forseglede, fordi de indeholder følsomme oplysninger. Angriberne syntes at have ledt efter sager, der involverede russiske statsborgere.

Hændelsen skabte kaos i domstolene, og domstolene blev tvunget til at vende tilbage til papirbaserede arkiveringssystemer. Mindst én dommer forbød endda upload af forseglede dokumenter til PACER. Følsomme sager måtte migreres til separate systemer.

Endnu mere bekymrende er antydningen om, at mexicanske narkokarteller kan have adgang til Nogle af disse følsomme data kan potentielt afsløre vidner for deres forbrydelser. Bandekriminalitet med tilknytning til kartellerne behandles ofte på distriktsdomstolsniveau, hvilket betyder, at følsomme sagsakter findes i CM/ECF.

Det værste ved dette er, at en blanding af decentral implementering og gammel, ældre kode er skyld i det.

CM/ECF stammer fra slutningen af 1990'erne, hvor Northern District of Ohio byggede det at håndtere en byge af fund i nogle asbestsager. Derefter begyndte andre domstole at implementere det i begyndelsen af 2000'erne, da en national udrulning betød, at konkurs-, distrikts- og appeldomstole også implementerede det. I 2007 var implementeringen stort set universel, men forvaltningen var fragmenteret; hver domstol håndterede sin egen implementering af softwaren. Så da det administrative kontor for de amerikanske domstole udgav en større revision kendt som NexGen i 2010'erne, opdaterede ikke alle.

I en 2021 indberette I forbindelse med systemet klagede personalet i det administrative kontor over, at over 50 domstole ikke var gået over til det nye system. Rapporten beklagede sig over forældet grundlæggende teknologi. "Decentralisering og kompleksitet forårsager systemustabilitet, høje vedligeholdelsesomkostninger og sikkerhedsrisici," advarede den. "Nuværende kontrakter gør det vanskeligt at holde entreprenører ansvarlige for kvalitetsstandarder."

Problemet har været vedvarende, og resultaterne har været katastrofale. Retsministeriet rapporteret et brud i 2021, som senere viste sig at have involveret tre udenlandske aktører.

Problemet med ældre software

Dette problem med ældre software er udbredt. undersøgelse I år afslørede en undersøgelse fra virksomheden Saritasa, der specialiserer sig i migreringssoftware, at 62 % af deres 500 respondenter stadig var afhængige af ældre systemer. IT-afdelingen skal altid konkurrere med andre afdelinger om en del af budgettet. Når teknologerne får det, skal de være omhyggelige med at finde en balance mellem at betale den tekniske gæld og at forbedre ny software og hardware, der tilfredsstiller virksomhedens sponsorer. Hver en krone, der bruges på at reparere gamle systemer, skal tages fra virksomhedens pengepung.

Decentraliseret IT-administration skaber også blinde vinkler, især når den er koblet til ældre software. Det efterlader mange softwareprodukter uden patches. Det gør det også vanskeligere at forstå, hvad der kører på IT-infrastrukturen, og at knytte det til sikkerhedspolitikker. Skygge-IT er resultatet, og det introducerer endnu mere risiko.

Det føderale domstolssystem er ikke det eneste, der udviser nogle af disse problemer. I 2019 offentliggjorde Government Accountablity Office (GAO) en rapport, der fremhævede den fortsatte mangel på opmærksomhed på ældre systemer i den amerikanske regering. I Storbritannien har regeringen klassificerer 28 % af sin IT-infrastruktur som ældre infrastruktur, hvilket stiger til 70 % i nogle områder.

Tæmning af arvedyret

Der findes måder at genvinde kontrollen over din IT-infrastruktur og i det mindste forstå risiciene fra ældre arkitekturer, selvom du ikke er i stand til at fjerne dem fuldstændigt. Det er her, et informationssikkerhedsstyringssystem (ISMS) som ISO 27001 er nyttigt.

ISO 27001:2022 Anneks A Kontrol 5.9 omhandler styring af informationsaktiver, sikring af, at organisationen korrekt dokumenterer, hvem der er ansvarlig for hvert aktiv i organisationen, og beskrivelse af de risici, der er forbundet med det. Den kræver en oversigt over aktiver for at understøtte dette mål og skaber en platform, hvor virksomheder kan organisere deres aktiviteter omkring det. Du kan f.eks. dokumentere de aktuelle patchniveauer, der er forbundet med ethvert aktiv.

Denne oversigt over aktiver er et godt grundlag for at lancere et program til nedbetaling af teknisk gæld. Prioritering af systemer til opdatering, opgradering eller udskiftning baseret på deres risikofaktor giver ressourcebegrænsede teams en klar handlingsplan. Du kan også bruge den til at oprette styringsstrukturer omkring de platforme, der ikke er klientvendte, men som indeholder information af høj værdi og lav profil. Disse dårligt beskyttede kronjuveler er netop de aktiver, som angribere vil komme efter.

Derefter kommer diskussionen om migrering, som beskriver, hvordan man migrerer fra et ældre system til et nyt. Det kræver omhyggelig overvejelse, der tager højde for systemafhængigheder. Refactoring (fornyelse af noget kode i det eksisterende system) er én mulighed, ligesom udskiftning (at rive systemet helt ud og starte forfra). Sidstnævnte mulighed skaber flere muligheder for at bevæge sig fra problematiske arkitekturer såsom monolitiske systemer til mere modulær, microservices-baseret kode.

Andre foranstaltninger til at håndtere ældre risici omfatter regelmæssige trusselsmodelleringsøvelser for at udforske den usynlige ældre infrastruktur, som ingen nogensinde kigger på, såsom interne portaler eller kontraktplatforme.

At få din ældre arkitektur i form er ikke noget, du bør udsætte til i morgen. Det minder meget om fysisk sundhed. Hver dag, der bruges på at udsætte tingene, kan skabe problemer i fremtiden. En lille indsats nu – selv en lille regelmæssig månedlig indsats for at modernisere – kan afværge en katastrofe i fremtiden. Bare spørg enhver distriktsdommer.

Danny Bradbury

Danny Bradbury har været printjournalist med speciale i teknologi siden 1989 og freelanceskribent siden 1994. Han har skrevet for nationale publikationer på begge sider af Atlanten og har vundet priser for sit undersøgende cybersikkerhedsjournalistikarbejde.

Læs mere fra Danny Bradbury

Cyber sikkerhed 13. November 2025

Vurdering af Trump-administrationens ændring i den amerikanske cybersikkerhedspolitik (banner)

Vurdering af Trump-administrationens ændring i amerikansk cybersikkerhedspolitik

Nylige udøvende handlinger og omstruktureringer af agenturer markerer en betydelig ændring i den føderale cybersikkerhedsstrategi, hvilket rejser spørgsmål om national residentialitet...

Danny Bradbury

Cyber sikkerhed 23 oktober 2025