Datatilsynet kommer i en ny afgørelse om den store såkaldte CSC-hackersag fra 2012 med en yderst markant og usædvanlig kritik af Rigspolitiet. Sådan lyder udlægningen fra DR Nyheders P1 Orientering, som har gennemgået afgørelsen.
Kritikken går på, at hackere blandt andet kunne komme til at stjæle oplysninger om efterlyste personer i det europæiske Schengen-register, fordi Rigspolitiet havde tilsidesat helt enkle grundprincipper for datasikkerhed.
Hackerangrebet mod statens it-leverandør CSC er blevet kaldt danmarkshistoriens største og stod på fra marts 2012 til august samme år.
Databaser og webservere adskilt
I den periode blev der stjålet oplysninger fra flere offentlige registre - herunder CPR-registret og politiets kriminalregister.
'Hackeren opnåede ubegrænset adgang til alle data og dermed adgang til at kopiere, slette, ændre og tilføje data', skriver Datatilsynet i sin afgørelse.
Når det kunne lade sig gøre, er det, fordi computeren med Schengensystemet var koblet til internettet. Og det strider mod et it-sikkerhedsprincip, hvor man adskiller webservere og informationsdatabaser, fremgår det af afgørelsen, der er tilgængelig på Datatilsynets hjemmeside.
Det er bare det ene af tre grundprincipper for datasikkerhed, som Datatilsynet mener, at Rigspolitiet har tilsidesat, skriver DR Nyheder. Ved at tilsidesætte disse enkle principper har Rigspolitiet - ifølge Datatilsynet - handlet ulovligt både i henhold til persondataloven og i henhold til Schengen-konventionen.
Det er 'overordentligt kritisabelt', konstaterer tilsynet.
Ansvar ike placeret
Det fremgår af Datatilsynets afgørelse, at Rigspolitiet har haft rig lejlighed til både at forklare sig og forholde sig til den omfattende kritik - men kun i begrænset omfang har benyttet sig af den mulighed.
- Datatilsynet har specifikt spurgt Rigspolitet om, hvem der har truffet beslutning om, at webserveren skulle kunne tilgås fra internettet af brugere uden for CSC's lokalitet. I to omgange har Rigspolitiet ikke besvaret spørgsmålet, lyder det fra Datatilsynet.
DR Nyheder har foreholdt Rigspolitiet Datatilsynets afgørelse. Politimyndigheden svarer, at man ikke har nogen kommentarer, før man har haft lejlighed til at læse afgørelsen.
Ritzau
Tekst, grafik, billeder, lyd og andet indhold på dette website er beskyttet efter lov om ophavsret. DK Medier forbeholder sig alle rettigheder til indholdet, herunder retten til at udnytte indholdet med henblik på tekst- og datamining, jf. ophavsretslovens §11 b og DSM-direktivets artikel 4.
Kunder med IP-aftale/Storkundeaftaler må kun dele DK Indkøbs artikler internt til brug for behandling af konkrete sager. Ved deling af konkrete sager forstås journalisering, arkivering eller lignende.
Kunder med personligt abonnement/login må ikke dele DK Indkøbs artikler med personer, der ikke selv har et personligt abonnement på DK Indkøb
Afvigelse af ovenstående kræver skriftlig tilsagn fra DK Medier.
