Gerningsmændene i den store CSC-hackersag havde alt for let spil, da de i 2012 havde held til at kopiere og stjæle personfølsomme oplysninger fra en række registre, som Rigspolitiet havde ansvaret for.
Det konstaterer Datatilsynet i sin hidtil skarpeste kritik af en offentlig myndighed, og kritikken får en række folketingsmedlemmer til at reagere særdeles hårdt mod Rigspolitiet.
- Det er desværre en rendyrket skandale. Det er jo den mest alvorlige kritik, Datatilsynet har givet, og specielt når det handler om en offentlig myndighed, som ligger inde med så mange personfølsomme oplysninger, er det en skandale, siger SF’s retsordfører Lisbeth Bech Poulsen til DR Nyheder.
Datatilsynet offentliggjorde tirsdag sin afgørelse, hvor man konkluderer, at Rigspolitiet ikke levede op til helt simple principper for it-sikkerhed og ”helt unødvendigt” eksponerede Schengen-informationssystemet for risici.
Alvorligste kritik nogensinde
Dermed fik hackerne adgang til ikke bare Schengen-registret med 1,2 millioner personfølsomme oplysninger, men samtidig også til data fra blandt andet kørekortregistret og CPR-registret.
- Det er en usædvanlig kritik. Vi er oppe i den høje ende, eller faktisk helt oppe i toppen af kritik-skalaen, hvis man kan tale om sådan en. Jeg har ingen erindring om, at vi tidligere i en sikkerhedsbristsag har udtalt en så alvorlig kritik, siger Datatilsynets it-chef, Sten Hansen, til DR Nyheder.
Ifølge Datatilsynet opnåede gerningsmændene i CSC-hackersagen ”ubegrænset adgang til alle data og dermed adgang til at kopiere, slette, ændre og tilføje data”.
Det skete kort fortalt, fordi de personfølsomme oplysninger blev opbevaret på en webserver, der kunne tilgåes af internetbrugere udefra, og ikke på en computer, der slet ikke havde forbindelse til internettet.
Enhedslisten: Amatøragtigt og bekymrende
Enhedslistens retsordfører, Pernille Skipper, er chokeret over de nye oplysninger.
- Når man læser afgørelsen, virker det som om, at opbevaringen af vores meget personfølsomme oplysninger fra CPR-registret, kørekort, pas, osv., ikke bare har været usikker, men nærmest amatøragtig. Det er virkelig bekymrende, siger hun.
Det har ikke været muligt for Datatilsynet at få svar fra Rigspolitiet om, hvorvidt man stadig opbevarer personfølsomme oplysninger på en såkaldt mainframe, som er koblet op til internettet.
Det bekymrer Pernille Skipper, som nu vil tage sagen op med justitsminister Søren Pind (V).
- Vi skal have fundet ud af, hvordan man kunne finde på at lade alle de her systemer dele den samme base, kan man sige, og hvordan man kunne finde på indirekte at koble det op på internettet. For det er et kæmpe sikkerhedsmæssigt brud, siger Pernille Skipper, som frygter, at Rigspolitiets fortsat opbevarer borgeres personfølsomme oplysninger på udsatte it-systemer.
- Hvis man kigger i afgørelsen, kan vi faktisk ikke læse, om Rigspolitiet og CSC, som leverer ydelsen til Rigspolitiet, har rettet op på det, som Datatilsynet kalder fuldstændig elementært. Så bliver man jo bange for, at det stadig ser sådan ud, siger hun.
Minister skal i samråd
SF vil ligeledes have Søren Pind på banen og kalder derfor justitsministeren i samråd.
- Vi er nødt til at få nogle procedurer og forsikringer om, at det her ikke kommer til at ske igen. Den slags sjusk må ikke finde sted i en offentlig myndighed, som ligger inde med millioner af personfølsomme oplysninger, siger retsordfører Lisbeth Bech Poulsen.
- Og det er jo ikke kun danske borgeres oplysninger. Det er også Schengen-oplysninger, og vi bliver til grin i hele Europa over, at der med utrolig lethed er blevet hacket, og oplysninger kan være blevet ændret eller slettet – uden at vi ved det med sikkerhed, siger hun.
Alternativet vil ligeledes stille spørgsmål til justitsminister Søren Pind om, hvorvidt der er ”kommet styr på de ting, der er sket i CSC-sagen”, siger René Gade, som er partiets ordfører for digitale frihedsrettigheder og it.
Hos Socialdemokraterne slår retsordfører Trine Bramsen fast, at sikkerheden skal være i orden, men hun går samtidig ud fra, at Rigspolitiet har rettet op på sikkerheden i den konkrete sag.
- Der skal være styr på datasikkerheden overalt i det offentlige, og det her er en ups’er, som ikke må ske, siger Trine Bramsen.
- Men jeg har da en klar forventning om, at der er taget hånd om det, der bliver påpeget i Datatilsynets kritik, og at vi ikke ser det forekomme fremadrettet. Det må være konsekvensen af så hård en kritik, at man får styr på det, der er påpeget, siger hun.
Pind og politiet: Der er blevet strammet op
Rigspolitiet udtaler i en skriftlig kommentar til DR Nyheder, at man siden hackerangrebet i 2012 har ”foretaget en række tiltag for at styrke sikkerheden”.
- Herunder er den webserver, der blev anvendt ved hackerangrebet, nedlagt. Rigspolitiet har siden hændelsen haft løbende drøftelser med CSC om de sikkerhedsmæssige retningslinjer og procedurer for til stadighed at sikre et tidssvarende sikkerhedsniveau. Således bliver de omtalte filer fra Schengen-informationssystemet ikke længere genereret, ligesom sikkerhedsniveauet for flytning af data fra systemerne til internettet er højnet betydeligt, hedder det blandt andet.
Det fremgår dog ikke af udtalelsen, om Rigspolitiet fortsat opbevarer personfølsomme oplysninger på en computer, der er tilkoblet internettet, eller ej.
Heller ikke justitsminister Søren Pind besvarer det spørgsmål. Han udtaler – ligeledes i en skriftlig kommentar – følgende:
- CSC-sagen er en sag, som Rigspolitiet og Justitsministeriet har taget alvorligt. Der skal ikke være huller i datasikkerheden hos offentlige myndigheder, som ligger inde med personfølsomme oplysninger om borgerne i Danmark. Rigspolitiet har strammet op med en række tiltag til at styrke sikkerheden, og jeg forstår på Rigspolitiet, at man har fokus på at sikre borgerne i Danmark mod lignende sikkerhedsbrister, lyder det fra Søren Pind.