Datatilsyn om hackersag: Politiet svigtede it-sikkerhed
Historisk stor hackersag kunne blandt andet lade sig gøre på grund af Rigspolitiets handlinger, mener tilsyn.
Danmarkshistoriens største hackersag kunne blandt andet lade sig gøre, fordi Rigspolitiet havde tilsidesat enkle grundprincipper for datasikkerhed. Sådan lyder det fra Datatilsynet i en ny afgørelse.
Danmarkshistoriens største hackersag kunne blandt andet lade sig gøre, fordi Rigspolitiet havde tilsidesat enkle grundprincipper for datasikkerhed. Sådan lyder det fra Datatilsynet i en ny afgørelse. Foto: Colourbox/free


Datatilsynet kommer i en ny afgørelse om den store såkaldte CSC-hackersag fra 2012 med en yderst markant og usædvanlig kritik af Rigspolitiet.

Sådan lyder udlægningen fra DR Nyheders P1 Orientering, som har gennemgået afgørelsen.

Kritikken går på, at hackere blandt andet kunne komme til at stjæle oplysninger om efterlyste personer i det europæiske Schengen-register, fordi Rigspolitiet havde tilsidesat helt enkle grundprincipper for datasikkerhed.

Hackerangrebet mod statens it-leverandør CSC er blevet kaldt danmarkshistoriens største og stod på fra marts 2012 til august samme år.

I den periode blev der stjålet oplysninger fra flere offentlige registre - herunder CPR-registret og politiets kriminalregister.

- Hackeren opnåede ubegrænset adgang til alle data og dermed adgang til at kopiere, slette, ændre og tilføje data, skriver Datatilsynet i sin afgørelse.

Når det kunne lade sig gøre, er det fordi, computeren med Schengensystemet var koblet til internettet. Og det strider mod et it-sikkerhedsprincip, hvor man adskiller webservere og informationsdatabaser, fremgår det af afgørelsen, der er tilgængelig på Datatilsynets hjemmeside.

Det er bare det ene af tre grundprincipper for datasikkerhed, som Datatilsynet mener, at Rigspolitiet har tilsidesat, skriver DR Nyheder.

Ved at tilsidesætte disse enkle principper har Rigspolitiet - ifølge Datatilsynet - handlet ulovligt både i henhold til persondataloven og i henhold til Schengen-konventionen.

Det er "overordentligt kritisabelt", konstaterer tilsynet.

Det fremgår af Datatilsynets afgørelse, at Rigspolitiet har haft rig lejlighed til både at forklare sig og forholde sig til den omfattende kritik - men kun i begrænset omfang har benyttet sig af den mulighed.

- Datatilsynet har specifikt spurgt Rigspolitet om, hvem der har truffet beslutning om, at webserveren skulle kunne tilgås fra internettet af brugere uden for CSC's lokalitet. I to omgange har Rigspolitiet ikke besvaret spørgsmålet, lyder det fra Datatilsynet.

DR Nyheder har foreholdt Rigspolitiet Datatilsynets afgørelse. Politimyndigheden svarer, at man ikke har nogen kommentarer, før man har haft lejlighed til at læse afgørelsen.

/ritzau/

Følg os på Facebook

Så får du nyheder direkte leveret, og kan deltage i debatten på vores artikler.