Datatilsynet i skarp kritik: Rigspolitiet havde ikke styr på banal it-sikkerhed

Rigspolitiet har tilsidesat helt enkle grundprincipper for it-sikkerhed i forbindelse med den såkaldte CSC-hackersag, konkluderer Datatilsynet.

Rigspolitiet har ikke haft styr på it-sikkerheden. Derfor kunne en hacker få oplysninger fra Schengen-registret, konstaterer Datatilsynet. (Foto: Torben Klint © Scanpix)

Da det lykkedes for hackere at kopiere og stjæle oplysninger om efterlyste personer i det europæiske Schengen-register i 2012 i den såkaldte CSC-hackersag, var det blandt andet et resultat af, at Rigspolitiet havde tilsidesat helt enkle grundprincipper for datasikkerhed.

Således lyder konklusionen i en netop offentliggjort afgørelse fra Datatilsynet, som P1 Orientering har gennemgået. Her kommer tilsynet med en yderst markant og usædvanlig kritik af Rigspolitiet.

For når det kunne lade sig gøre at få adgang til ikke bare Schengen-registret med 1,2 millioner oplysninger, men samtidig også til data fra kørekort-registret samt CPR-registret, så skyldtes det, at it-sikkerheden hos Rigspolitiet var ringe.

- Hackeren opnåede ubegrænset adgang til alle data og dermed adgang til at kopiere, slette, ændre og tilføje data, skriver Datatilsynet i sin afgørelse.

Fandt Schengen-register på svensk hackers computer

Konstateringen sker på baggrund af en kopi af de data, som er fundet på computeren tilhørende svenskeren Gottfrid Svartholm Warg, der i juni fik sin dom i sagen på 3,5 års fængsel stadfæstet ved Østre Landsret.

Når det kunne lade sig gøre, var det fordi, der på den samme computer i Valby også lå hjemmesiden www.tjenestemandspension.dk.

Her kunne tjenestemænd ansat i staten gå ind og holde øje med deres pensionsopsparinger. Men en uopdaget fejl i systemet betød, at hackere også kunne komme ind i computeren ad samme vej - og først opnå begrænset adgang til maskinen. Men med endnu et hul i systemet kunne hackerne få adgang til hele computeren og dermed ubegrænset adgang til alle data og dermed adgang til at kopiere, slette, ændre og tilføje data.

Computeren med Schengen-systemet var altså tilkoblet internettet. Og det strider mod helt banale it-sikkerhedsprincipper, hvor man adskiller webservere og informationsdatabaserne, skriver Datatilsynet i afgørelsen.

Det er bare det ene af tre grundprincipper for datasikkerhed, som Datatilsynet mener, at Rigspolitiet har tilsidesat.

Alvorlig kritik

Ved at tilsidesætte disse enkle principper - har Rigspolitiet - ifølge Datatilsynet - handlet ulovligt både i henhold til persondataloven og i henhold til Schengen-konventionen. Det er "overordentligt kritisabelt", konstaterer tilsynet.

Det fremgår af Datatilsynets afgørelse, at Rigspolitiet har haft rig lejlighed til at forklare sig, men kun i begrænset omfang har benyttet sig af den mulighed.

- Datatilsynet har specifikt spurgt Rigspolitet om, hvem (f.eks. Rigspolitiet eller CSC), der har truffet beslutning om, at webserveren skulle kunne tilgås fra internettet af brugere uden for CSC's lokalitet. I to omgange har Rigspolitiet ikke besvaret spørgsmålet.

DR Nyheder har foreholdt Datatilsynets afgørelse for Rigspolitiet. Her lyder svaret at, man ikke har nogen kommentarer, før man har haft lejlighed til at læse afgørelsen.