Datatilsyn om hackersag: Politiet svigtede it-sikkerhed

Infrastruktur

06/08/2015 23:08

Nick Allentoft

Historisk stor hackersag kunne blandt andet lade sig gøre på grund af Rigspolitiets handlinger, mener tilsyn.

Datatilsynet kommer i en ny afgørelse om den store såkaldte CSC-hackersag fra 2012 med en yderst markant og usædvanlig kritik af Rigspolitiet. 

Sådan lyder udlægningen fra DR Nyheders P1 Orientering, som har gennemgået afgørelsen.

Kritikken går på, at hackere blandt andet kunne komme til at stjæle oplysninger om efterlyste personer i det europæiske Schengen-register, fordi Rigspolitiet havde tilsidesat helt enkle grundprincipper for datasikkerhed. 

Hackerangrebet mod statens it-leverandør CSC er blevet kaldt danmarkshistoriens største og stod på fra marts 2012 til august samme år.

I den periode blev der stjålet oplysninger fra flere offentlige registre - herunder CPR-registret og politiets kriminalregister.

- Hackeren opnåede ubegrænset adgang til alle data og dermed adgang til at kopiere, slette, ændre og tilføje data, skriver Datatilsynet i sin afgørelse.

Når det kunne lade sig gøre, er det fordi, computeren med Schengensystemet var koblet til internettet. Og det strider mod et it-sikkerhedsprincip, hvor man adskiller webservere og informationsdatabaser, fremgår det af afgørelsen, der er tilgængelig på Datatilsynets hjemmeside. 

Det er bare det ene af tre grundprincipper for datasikkerhed, som Datatilsynet mener, at Rigspolitiet har tilsidesat, skriver DR Nyheder.

Ved at tilsidesætte disse enkle principper har Rigspolitiet - ifølge Datatilsynet - handlet ulovligt både i henhold til persondataloven og i henhold til Schengen-konventionen. 

Det er "overordentligt kritisabelt", konstaterer tilsynet.

Det fremgår af Datatilsynets afgørelse, at Rigspolitiet har haft rig lejlighed til både at forklare sig og forholde sig til den omfattende kritik - men kun i begrænset omfang har benyttet sig af den mulighed.

- Datatilsynet har specifikt spurgt Rigspolitet om, hvem der har truffet beslutning om, at webserveren skulle kunne tilgås fra internettet af brugere uden for CSC's lokalitet. I to omgange har Rigspolitiet ikke besvaret spørgsmålet, lyder det fra Datatilsynet.

DR Nyheder har foreholdt Rigspolitiet Datatilsynets afgørelse. Politimyndigheden svarer, at man ikke har nogen kommentarer, før man har haft lejlighed til at læse afgørelsen.

/ritzau/

Mest Læste

Annonce

07/11/2024

På blot 2 minutter fandt jeg den billigste bilforsikring til min nye bil, og der var mange penge at spare.