It-politisk forening: Hacking af Rigspolitiets it-systemer kan ske igen

Datatilsynets afgørelse antyder, at der ikke er kommet styr på sikkerheden hos Rigspolitiet, vurderer It-politisk forening.

Datatilsynet antyder i sin afgørelse, at Rigspolitiet endnu ikke har fået styr på it-sikkerheden, vurderer Jesper Lund fra IT-Politisk forening. (© DR)

Hackingen af dybt fortrolige oplysninger fra Schengen-registret er dybt pinlig for både Rigspolitiet og Danmark.

Sådan lyder det fra interesseorganisationen It-politisk forenings formand, Jesper Lund, der har nærlæst dagens afgørelse fra Datatilsynet, hvor Rigspolitiet kritiseres i usædvanligt skarpe vendinger for ikke at have godt nok styr på it-sikkerheden.

Hvorvidt der så er kommet det, er fortsat et ubesvaret spørgsmål, for i afgørelsen spørger Datatilsynet også til, hvorvidt Rigspolitiet har overvejet eller nu vil overveje at flytte de fortrolige data væk fra den webserver, der har adgang til internettet.

Det tyder ifølge Jesper Lund på, at det endnu ikke er sket, til trods for det netop er et af kritikpunkterne i Datatilsynets afgørelse.

- Sådan læser jeg Datatilsynets afgørelse. Det lyder, som om de har lavet nogle små ændringer i sikkerheden, men den grundlæggende robusthed mod hackerangreb lyder det ikke til, de har implementeret, siger han.

Data og webservere skal adskilles

Det strider ifølge tilsynet mod helt banale it-sikkerhedsprincipper, hvor man adskiller webservere og informationsdatabaserne.

- Man begrænser absolut ikke konsekvenserne (af et hacker-angreb, red.) ved at samle alle æg i samme kurv – hvilket reelt er det, der er sket hos CSC, hvor en lang række systemer har ligget på samme server.

Er det tilfældet, så kan et hacker-angreb – som det i 2012, hvor en svensk hacker fik adgang til Schengen-registret, kørekortregistret, kriminalregistret og meget andet – ske igen i dag, vurderer formanden.

- Ja, hvis systemerne stadig kører på den måde, som beskrevet i Datatilsynets afgørelse, så kunne det her ske igen – det er helt sikkert.

IT-hul kan skyldes besparelser

Hvorfor Rigspolitiets it-sikkerhed har været fyldt med så mange huller er også fortsat et åbent spørgsmål. Ifølge Jesper Lund kan der være to forklaringer. Den ene handler om, at det formentlig er dyrere at adskille services til forskellige maskiner.

- En anden forklaring kan være af historiske årsager. Mainframes (en form for webserver, red.) er blevet betragtet som uigennemtrængelige, men det er de bestemt ikke. Men hvis man stadig lever i den tro, så ser man måske ikke nogen grund til at lave om på det, siger Jesper Lund.

DR Nyheder har forelagt kritikken fra henholdsvis Datatilsynet og It-politisk forenings formand for Rigspolitiet. Her har man tirsdag ingen kommentarer, da man først vil nærlæse afgørelsen.

Facebook
Twitter