PORTRÆT It-firma bag cpr-læk har flere gamle møgsager

It-virksomheden CSC har før været ramt af sikkerhedsbrud. Eksperter kalder selskabets håndtering af cpr-numre for inkompetent.

IT-virksomheden CSC har været indblandet i en lang række negative sager - senest offentliggørelse af CPR-numrene på 900.000 danskere. (© DR)

It-virksomheden CSC erkender, at de har været skyld i, at 900.000 cpr-numre ved en fejl er blevet videregivet til en række virksomheder. Sådan står der i en redegørelse, som virksomheden her til eftermiddag har afgivet i sagen, og som Ritzau har fået indsigt i.

Men dagens sag er langt fra første gang, CSC gør sig negativt bemærket i offentligheden.

Selskabet leverer blandt andet it-løsninger til staten. I 2012 kasserede Rigspolitiet et nyt sagsbehandlingssystem fra CSC, kaldet Polsag, der kostede statskassen over en halv milliard kroner på grund af tekniske problemer. Rigspolitiet og CSC indgik efterfølgende et forlig, og staten fik 40 millioner kroner tilbage.

Navnet CSC indgår også i fortællingen om Danmarks største hackersag, hvor to mænd er anklaget for at hacke politiets kørekortregister. Det kunne lade sig gøre på grund af en sikkerhedsbrist hos CSC. Det fremgår af en rapport, der blev offentliggjort i vinters.

Eksperter: Det er helt sort

Videregivelsen af de 900.000 cpr-numre er formentlig sket, fordi CSC sender listen med danskere, der er registreret på Robinson-listen, videre til cpr-kontoret, efter at CSC manuelt har bearbejdet den. Det sker en gang i kvartalet.

Men at listen overhovedet bliver lavet manuelt, møder usædvanligt hård kritik fra en række it-sikkerhedseksperter.

- Det er jo klamphuggeri ud over alle grænser, siger it-eksperten Poul-Henning Kamp, der er selvstændig systemprogrammør og manden bag bloggen it-skepsis på Ingeniørens it-hjemmeside Version2.

Sådan en procedure bør nemlig være automatiseret, så man undgår fejl, mener han, og det bliver bakket op af Jens Højland, sikkerhedskonsulent i it-sikkerhedsfirmaet CSIS.

- Det er helt sort (at listen er blevet lavet manuelt, red.). Så beder man om, at der sker fejl. Der er ikke nogen, som skal tænke over, det bliver gjort, siger Jens Højland til DR Nyheder.

Dinosaur-virksomheder

Men spørgsmålet er, om borgerne kan føle sig trygge ved at lægge deres it-følsomme oplysninger i hænderne på CSC. Poul-Henning Kamp ser helst, at staten hjemtager driften af sit it, når det handler om så it-vitale funktioner.

- Det er ikke kun et problem hos CSC. Alle de her it-selskaber er jo gamle dinosaur-virksomheder, siger han med henvisning til andre selskaber, der tidligere har været offentlige, men nu leverer it-løsninger til staten som private selskaber.

Ekspert: Jeg kan godt blive lidt nervøs

Ifølge sikkerhedskonsulent Jens Højland fra CSIS, så mangler staten at give os et svar på, hvilke andre kørsler som CSC udarbejder manuelt, og dermed kan være udsat for en sikkerhedsrisiko.

- Det virker som om, der er noget, der har indflydelse på sikkerheden, som halter. Det kunne tyde på, der ikke er helt styr på procedurerne, siger Jens Højland

DR Nyheder har flere gange torsdag forgæves forsøgt at få et interview med CSC. Virksomheden er dog endnu ikke vendt tilbage på vores henvendelser. I en redegørelse, som Ritzau har fået indsigt i, beklager virksomheden dog sagen med ordene:

- CSC beklager naturligvis det skete og vil gerne indgå i dialog med CPR om, hvorledes kontrolprocedurerne hos både CSC og CPR Kontoret kan optimeres, således at denne type fejl videst muligt omfang undgås fremover, står der i redegørelsen.

Nyhedsbrev Tag dr.dk Nyheder med dig

Vælg mailingliste:

Vis alle nyhedsbreve

  • Kun breaking:
  • Alle nyheder:

DR Nyheder på YouTube