Gerningsmændene i den store CSC-hackersag havde alt for let spil, da de i 2012 havde held til at kopiere og stjæle personfølsomme oplysninger fra en række registre, som Rigspolitiet havde ansvaret for. Det konstaterer Datatilsynet i sin hidtil skarpeste kritik af en offentlig myndighed, og kritikken får en række folketingsmedlemmer til at reagere særdeles hårdt mod Rigspolitiet. Det skriver DR.
- Det er desværre en rendyrket skandale. Det er jo den mest alvorlige kritik, Datatilsynet har givet, og specielt når det handler om en offentlig myndighed, som ligger inde med så mange personfølsomme oplysninger, er det en skandale, siger SF's retsordfører Lisbeth Bech Poulsen til DR Nyheder.
Datatilsynet offentliggjorde tirsdag sin afgørelse, hvor man konkluderer, at Rigspolitiet ikke levede op til helt simple principper for it-sikkerhed og 'helt unødvendigt' eksponerede Schengen-informationssystemet for risici.
Alvorligste kritik nogensinde
Dermed fik hackerne adgang til ikke bare Schengen-registret med 1,2 millioner personfølsomme oplysninger, men samtidig også til data fra blandt andet kørekortregistret og CPR-registret.
- Det er en usædvanlig kritik. Vi er oppe i den høje ende, eller faktisk helt oppe i toppen af kritik-skalaen, hvis man kan tale om sådan en. Jeg har ingen erindring om, at vi tidligere i en sikkerhedsbristsag har udtalt en så alvorlig kritik, siger Datatilsynets it-chef, Sten Hansen, til DR Nyheder.
Ifølge Datatilsynet opnåede gerningsmændene i CSC-hackersagen 'ubegrænset adgang til alle data og dermed adgang til at kopiere, slette, ændre og tilføje data'.
Det skete kort fortalt, fordi de personfølsomme oplysninger blev opbevaret på en webserver, der kunne tilgåes af internetbrugere udefra, og ikke på en computer, der slet ikke havde forbindelse til internettet.
Chokerende
Enhedslistens retsordfører, Pernille Skipper, er chokeret over de nye oplysninger.
- Når man læser afgørelsen, virker det som om, at opbevaringen af vores meget personfølsomme oplysninger fra CPR-registret, kørekort, pas, osv., ikke bare har været usikker, men nærmest amatøragtig. Det er virkelig bekymrende, siger hun.
Det har ikke været muligt for Datatilsynet at få svar fra Rigspolitiet om, hvorvidt man stadig opbevarer personfølsomme oplysninger på en såkaldt mainframe, som er koblet op til internettet.
Det bekymrer Pernille Skipper, som nu vil tage sagen op med justitsminister Søren Pind (V).
- Vi skal have fundet ud af, hvordan man kunne finde på at lade alle de her systemer dele den samme base, kan man sige, og hvordan man kunne finde på indirekte at koble det op på internettet. For det er et kæmpe sikkerhedsmæssigt brud, siger Pernille Skipper, som frygter, at Rigspolitiets fortsat opbevarer borgeres personfølsomme oplysninger på udsatte it-systemer.
Justitsminister Søren Pind udtaler i en skriftlig kommentar:
- CSC-sagen er en sag, som Rigspolitiet og Justitsministeriet har taget alvorligt. Der skal ikke være huller i datasikkerheden hos offentlige myndigheder, som ligger inde med personfølsomme oplysninger om borgerne i Danmark. Rigspolitiet har strammet op med en række tiltag til at styrke sikkerheden, og jeg forstår på Rigspolitiet, at man har fokus på at sikre borgerne i Danmark mod lignende sikkerhedsbrister, lyder det fra Søren Pind.
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens §11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Indkøbs artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Indkøbs artikler med personer, der ikke selv har et personligt abonnement på DK Indkøb
Afvigelse af ovenstående kræver skriftlig tilsagn fra DK Medier.
