Når eldre systemer svikter: Lærdommer fra bruddet i føderale domstoler

Når eldre systemer svikter: Lærdommer fra bruddet fra føderale domstoler

Av Danny Bradbury • 23 september 2025

Cyberangrep skjer hver dag, men noen er spesielt skremmende. Et angrep i sommer på det amerikanske rettssystemet burde ha sendt frysninger nedover alle ryggraden.

7. august, tjenestemenn bekreftet et angrep på det føderale rettsvesenet i USA. Angriperne gikk spesielt etter rettssystemet Case Management/Electronic Case Files (CM/ECF), også kjent under det offentlige grensesnittet PACER. New York Times sa at angrepet, som fant sted mellom slutten av juni og begynnelsen av 4. juli i år, sannsynligvis var knyttet til russiske statlige aktører.

Konsekvensene er betydelige. Mens mange saksmapper om CM/ECF er offentlig tilgjengelige via PACER, er mange andre forseglet fordi de inneholder sensitiv informasjon. Angriperne så ut til å ha lett etter saker som involverte russiske statsborgere.

Hendelsen skapte kaos i domstolene, og domstolene ble tvunget til å gå tilbake til papirbaserte arkivsystemer. Minst én dommer forbød til og med opplasting av forseglede dokumenter til PACER. Sensitive saker måtte migreres til frittstående systemer.

Enda mer bekymringsfullt er antydningen om at meksikanske narkotikakarteller kan ha tilgang til Noen av disse sensitive dataene kan potensielt eksponere vitner for forbrytelsene deres. Gjengkriminalitet knyttet til kartellene behandles ofte på tingrettsnivå, noe som betyr at sensitive saksmapper ligger i CM/ECF.

Det verste med dette er at en blanding av desentralisert implementering og gammel, eldre kode har skylden.

CM/ECF stammer fra slutten av 1990-tallet, da Northern District i Ohio bygde den å håndtere en rekke funn i noen asbestsaker. Deretter begynte andre domstoler å ta det i bruk tidlig på 2000-tallet, da en nasjonal utrulling så konkurs-, distrikts- og lagmannsdomstoler også implementere det. Innen 2007 var adopsjonen stort sett universell, men administrasjonen var stykkevis; hver domstol håndterte sin egen implementering av programvaren. Så da Administrative Office of the US Courts utga en større revisjon kjent som NexGen på 2010-tallet, oppdaterte ikke alle.

I en 2021 rapporterer Ansatte ved administrasjonskontoret klaget over at over 50 domstoler ikke hadde gått over til det nye systemet. Rapporten beklaget seg over foreldet grunnleggende teknologi. «Desentralisering og kompleksitet forårsaker systemustabilitet, høye vedlikeholdskostnader og sikkerhetsrisikoer», advarte den. «Nåværende kontrakter gjør det vanskelig å holde entreprenører ansvarlige for kvalitetsstandarder.»

Problemet har pågått, og resultatene har vært katastrofale. Justisdepartementet har også rapportert et brudd i 2021, som senere ble avslørt å ha involvert tre utenlandske aktører.

Problemet med eldre programvare

Dette problemet med eldre programvare er utbredt. Undersøkelsen I år avslørte en endring fra selskapet Saritasa, som driver med programvare for migrering, at 62 % av de 500 respondentene fortsatt var avhengige av eldre systemer. IT-avdelingen må alltid konkurrere med andre avdelinger om en del av budsjettet. Når teknologene får det, må de være forsiktige med å balansere nedbetaling av teknisk gjeld med forbedringer av ny programvare og maskinvare som tilfredsstiller bedriftens sponsorer. Hver eneste krone som brukes på å reparere gamle systemer må tas fra bedriftens lommebok.

Desentralisert IT-administrasjon skaper også blindsoner, spesielt når den er koblet til eldre programvare. Det gjør mange programvareprodukter uten oppdateringer. Det gjør det også vanskeligere å forstå hva som kjører på IT-infrastrukturen og koble det til sikkerhetspolicyer. Skygge-IT er resultatet, og det introduserer enda mer risiko.

Det føderale rettssystemet er ikke det eneste som viser noen av disse problemene. I 2019 publiserte Government Accountablity Office (GAO) en rapport som fremhevet en fortsatt mangel på oppmerksomhet rundt eldre systemer i den amerikanske regjeringen. I Storbritannia har regjeringen klassifiserer 28 % av IT-infrastrukturen er eldre, og dette øker til 70 % i enkelte områder.

Å temme arvedyret

Det finnes måter å ta tilbake kontrollen over IT-infrastrukturen din og i det minste forstå risikoene fra eldre arkitekturer, selv om du ikke klarer å fjerne dem fullstendig. Det er her et informasjonssikkerhetsstyringssystem (ISMS) som ISO 27001 er nyttig.

ISO 27001:2022 Annex A Control 5.9 omhandler håndtering av informasjonsressurser, sikring av at organisasjonen dokumenterer riktig hvem som er ansvarlig for hver ressurs i organisasjonen, og en beskrivelse av risikoene knyttet til den. Den pålegger en oversikt over ressurser for å støtte dette målet, og skaper en plattform for bedrifter å organisere aktivitetene sine rundt det. Du kan for eksempel dokumentere gjeldende oppdateringsnivåer knyttet til enhver ressurs.

Denne oversikten over eiendeler er et godt grunnlag for å lansere et program for nedbetaling av teknisk gjeld. Å prioritere systemer for oppdatering, oppgradering eller utskifting basert på risikofaktor gir ressursbegrensede team en klar handlingsplan. Du kan også bruke den til å lage styringsstrukturer rundt de plattformene som ikke er klientvendte, men som inneholder informasjon av høy verdi og lav profil. Disse dårlig beskyttede kronjuvelene er nettopp de eiendelene angripere vil komme etter.

Så kommer migreringsdiskusjonen, som skisserer hvordan man migrerer fra et eldre system til et nytt. Det krever nøye gjennomtenkning som tar hensyn til systemavhengigheter. Refaktorering (fornye noe kode i det eksisterende systemet) er ett alternativ, i likhet med erstatning (å rive ut systemet fullstendig og starte på nytt). Det siste alternativet skaper flere muligheter til å gå fra problematiske arkitekturer som monolittiske systemer til mer modulær, mikrotjenestebasert kode.

Andre tiltak for å håndtere risiko knyttet til eldre infrastruktur inkluderer å kjøre regelmessige trusselmodelleringsøvelser for å utforske den usynlige, eldre infrastrukturen som ingen noen gang ser på, for eksempel interne portaler eller kontraktsplattformer.

Å få den gamle arkitekturen i form er ikke noe du bør utsette til i morgen. Det er mye som fysisk helse. Hver dag brukt på å utsette ting kan skape problemer i fremtiden. En liten innsats nå – selv en liten, regelmessig månedlig innsats for å modernisere – kan avverge katastrofe i fremtiden. Bare spør en hvilken som helst distriktsdommer.

Danny Bradbury

Danny Bradbury har vært trykt journalist med spesialisering i teknologi siden 1989 og frilansskribent siden 1994. Han har skrevet for nasjonale publikasjoner på begge sider av Atlanterhavet og har vunnet priser for sitt undersøkende arbeid med cybersikkerhetsjournalistikk.

Les mer fra Danny Bradbury

Cyber sikkerhet 23 oktober 2025

Hvorfor FTCs chatbot-etterforskning burde bekymre B2B-selskaper

September var et vendepunkt for forkjempere for AI-etikk. FTC utstedte pålegg i henhold til paragraf 6(b) til syv store teknologiselskaper som produserer chatboter...

Danny Bradbury

Cyber sikkerhet 7 oktober 2025

Safe Harbor-gjennomgang betyr at business as usual – foreløpig

September var en vendepunktsmåned for selskaper i Europa som ønsket å dele data med USA. EUs domstol avviste en klage...

Danny Bradbury

Cyber sikkerhet 9 september 2025

hva den amerikanske AI-handlingsplanen betyr banner

Hva den amerikanske handlingsplanen for kunstig intelligens betyr

Det hvite hus avduket en omfattende handlingsplan for kunstig intelligens i juli som omformer USAs tilnærming til styring av kunstig intelligens. Det er et stort skifte fra...

Danny Bradbury