Datatilsynet bekymret over datalæk: Rigspolitiet skal stå skoleret

Illustration: Virrage Images/Bigstock
Rigspolitiet kontaktede tirsdag Datatilsynet om det hackerangreb, der var mod kørekortdatabasen i 2012. Datatilsynet reagerede prompte med spørgsmål til Rigspolitiet.

I 2012 blev kørekortdatabasen udsat for hackerangreb, hvor personfølsomme oplysninger som bl.a. CPR-numre kan være lækket. Derfor tog Rigspolitiet kontakt til Datatilsynet tirsdag. Datatilsynet reagerede prompte på henvendelsen, oprettede en sag og sendte en række spørgsmål til Rigspolitiet. Det er for tidligt at sige, om Datatilsynet også opretter en sag mod CSC.

Læs også: Rigspolitiet: Kørekort-register hos CSC er blevet hacket

»Vi synes, det er meget bekymrende, for oplysningerne skal beskyttes. Vi skal som borgere have tillid til at oplysningerne beskyttes effektivt hos myndighederne,« siger Lena Andersen, kontorchef i Datatilsynet, til Version2 og fortsætter:

»Det her viser, at it-sikkerhed skal meget højt på dagsordenen hos alle myndigheder.«

Rigspolitiet kontaktede tilsynet telefonisk tirsdag, og tilsynet sendte derfor en række spørgsmål.

»Jeg kan fortælle, at vi har sendt en høring til rigspolitiet og skal have svar på nogle spørgsmål. Den har vi sendt 4. juni,« siger Lena Andersen til Version2.

Datatilsynet har bl.a. spurgt, hvornår angrebet er sket, hvordan det er sket, hvilke oplysninger, der har været adgang til, og hvilke kategorier af personer oplysningerne vedrører.

I en pressemeddelelse udtaler justitsminister Morten Bødskov, at der skal dannes et overblik over omfanget. Noget tyder altså på, at omfanget endnu ikke er kortlagt hos politiet.

»Jeg ved ikke, om Rigspolitiet selv ved det, på nuværende tidspunkt. Vi forventer, at Rigspolitiet nu klarlægger de nærmere omstændigheder. Vi har også spurgt til sikkerheden fremadrettet og hvad man gør for at tage hånd om konsekvenserne,« siger Lena Andersen.

Angrebet skete mod CSC’s mainframe, men indtil videre har Datatilsynet kun en sag mod Rigspolitiet.

»Vi har en sag med Rigspolitiet p.t. Vi har også mulighed for at tage en sag op over for CSC. Vi kan ikke udelukke, at det også kommer på tale,« understreger Lena Andersen.

Angrebet skete i 2012 og først et halvt år inde i 2013 får offentligheden det at vide. Derfor må man antage, at de berørte personer heller ikke har fået noget at vide. Hvad er din kommentar til det?

»Det er for tidligt at sige noget om de detaljer,« siger Lena Andersen og afviser gentagne gange at forholde sig til den manglende information om lækket.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Egon Jensen

Det er er jo typisk Data"tilsyn": Man sidder på hænderne og venter, om de dataansvarlige selv melder lovstridige forhold. Og endda nu, når det er klokkeklart, at CSC har opbevaret data på en måde, der muliggør adgang til dem, tøver man. -- Ok, man kan medgive, at Datatilsynet er underbemandet og underfinanseret. Men med den her opfattelse at "tilsyn"-opgaven vinder man ikke ligefrem respekt i ofentligheden.

Ken Poulsen

Datatilsynet er intet værd!
Selv har jeg fundet et data læk med >8000 CPR-numre og de har intet gjort!
De har blot hørt fra lækkeren, at hullet var blevet lukket (efter min henvendelse).
Men ikke gået vidre i sagen om de data er blevet stjålet (kan have stået på i over 5år)! eller fortalt dem det er gået ud over!

Henrik Kramshøj Blogger

Skal datatilsynet selv igang med at hacke virksomheder eller hvad?

eller kræve at virksomhederne fremlægger dokumentation for deres sikkerhedsstyring. Eksempelvis ved at det kræves at der udover logning af logins til systemer med følsomme data også foretages aktive pentest.

Vi så en masse læks af kreditkortdata og det endte med Mastercard PCI reglerne, der blandt andet stiller krav til infrastrukturerne, herunder aktive test. Jeg kunne snildt forestille mig at man brugte nogle af de samme krav som PCI indeholder til systemerne med personfølsomme data.

NB: kildekritik, jeg sælger selv pentest - blandt andet fordi det er eneste måde at sikre at alt er på plads.

Joseph Kiniry

Note that pentesting does not guarantee a secure system---it can only help raise confidence and do more accurate risk analysis, but is very subjective based upon the skill of the pentesters and the amount of time they have to do the analysis.

Sorry for being so quiet lately on all of these matters, Version2 readers, but I'm on paternity leave in California. ;)

Joe

Chano Andersen

eller kræve at virksomhederne fremlægger dokumentation for deres sikkerhedsstyring. Eksempelvis ved at det kræves at der udover logning af logins til systemer med følsomme data også foretages aktive pentest.

Det kræver blot en meget klar definition af "Følsomme data" er f.eks. almindelige stamdata som navn, adresse og telefonnummer følsomme data, eller er det først når der kobles et CPR nummer på? Hvilke yderligere data er følsomme? Information om hvem der har betalt deres regning, og hvad de har betalt? Er halvoffentlige indlæg på f.eks. facebook følsomme? Er indlæg i et offentligt forum som dog kræver en (Gratis og ubesværet) registrering?

Umiddelbart synes jeg ikke jeg har set nogen klar definition af følsomme data som må og skal beskyttes, og personligt har jeg ikke det store problem med at folk har mit navn og adresse (Det kan alligevel findes i telefonbogen), lige som jeg også er ret ligeglad med om de f.eks. kan se om jeg har betalt min internet, el, vand, varme, telefon, husleje regning eller what not. Det rør mig heller ikke det store hvis nogen kan se hvad jeg har købt hos X-internet butik...

Men er de data noget der skal betragtes som følsomme?

s_ mejlhede

kan se om jeg har betalt min internet, el, vand, varme, telefon, husleje regning eller what not. Det rør mig heller ikke det store hvis nogen kan se hvad jeg har købt hos X-internet butik...


Hvis du ikke have betalt kunne det jo godt være at du ikke var lige glad, hvis alle have adgang, det kunne det jo blive svære for nogen at få kredit. Måske også dem der ikke burde, men også dem som måske have mest brug for det.
Hvis du have købt noget i en sex butik, eller en gave til konen , vil du vel ikke være ligeglad, hvis alle incl. din kone kunne se hvad, og til hvilken pris du have købt.

Jørgen L. Sørensen

Det kræver blot en meget klar definition af "Følsomme data" er f.eks. almindelige stamdata som navn, adresse og telefonnummer følsomme data, eller er det først når der kobles et CPR nummer på?

Enig - det kan være svært at definere.

Problemet er vel lige så meget mængden af data - mit navn i sig selv siger ikke så meget, da jeg har et almindeligt fornavn (i hvert fald blandt mere modne mennesker), ligeledes mit efternavn - men når man kæder det sammen med adresse bliver det mere privat/følsomt. Min elregning, kontoudtog fra banken osv. er i sig selv ikke følsom, men bliver den hæftet på "Jørgen Sørensen" bliver den mere følsom, og hvis den bliver hægtet på min adresse eller cpr-nummer er den pludselig meget personlig.

Kort sagt: Mængden af data gør dataene mere personlige/følsomme fordi disse data kan samles til et stort billede af en persons forhold, og vi i dag har computerkraft til at samle de mange brikker.

Chano Andersen

Hvis du ikke have betalt kunne det jo godt være at du ikke var lige glad, hvis alle have adgang, det kunne det jo blive svære for nogen at få kredit. Måske også dem der ikke burde, men også dem som måske have mest brug for det.

Tja, hvis folk har svært ved at få kredit, vil det ofte være fordi de ikke overholder deres betalingsaftaler, og så er det måske meget godt? At folk ved hvad jeg har betalt og ikke betalt, betyder ikke ret meget for mig, det er naturligvis ikke noget jeg går og råber op om, men det er heller ikke noget jeg har et behov for at holde hemmeligt. Jeg er klar over at ikke ALLE har det som mig, men det gør det jo bare så meget vigtigere at have en KLAR definition af hvad der er følsomme oplysninger der skal have ekstra beskyttelse, og hvad der ikke er.

Hvis du have købt noget i en sex butik, eller en gave til konen , vil du vel ikke være ligeglad, hvis alle incl. din kone kunne se hvad, og til hvilken pris du have købt.

Igen er jeg måske lidt anderledes, men hvis folk har et behov for at vide om jeg handler i sex butikker, eller glor porno, så fred være med det, umiddelbart synes jeg ikke det er ret interessant information. Og med hensyn til om min kone kan se hvad jeg køber til hende, så er det vel mest op til hende, om hun vil ødelægge overraskelsen eller ej, hun ved præcis hvor jeg lægger bonerne når jeg har handlet gaver, så hvis hun kigger er det hendes egen skyld hun får det at vide på forhånd. (Dog har vi hver vores konto som vi bruger når vi betaler den slags, så det ikke er det første der står når man logger på netbanken. ;) )

Chano Andersen

Kort sagt: Mængden af data gør dataene mere personlige/følsomme fordi disse data kan samles til et stort billede af en persons forhold, og vi i dag har computerkraft til at samle de mange brikker.

Det kan der være noget om, men hvor stort et problem ville det være, hvis nogen kendte alt til f.eks. dine økonomiske forhold? Personligt ville jeg være ret ligeglad, da jeg anser det for at være noget af den kedeligste viden om mig, og jeg har svært ved at se eventuelle (mis)brugs scenarier.

Jeg vil derimod gerne have min personlige kommunikation for mig selv, det vil sige personlige e-mails (Nyhedsbreve, kvitteringer i forbindelse med nethandel mm. tæller ikke ind her), telefonsamtaler, SMS'er og lignende. Men min økonomi ville det f.eks. ikke genere mig det fjerneste at andre kendte til i detaljer. Andre har det måske sådan at deres økonomi er noget af det mest intime, og de vil hellere løbe nøgen rundt på Strøget med an hær af paparazzier klar til at fotografere det hele i detaljer, og lægge det ud til offentlig skue, end at folk kan se hvad de får i løn eller betaler i husleje.

Så igen, en klar definition af "Følsomme data" er det vigtigste at få etableret hvis man skal kræve dem bedre beskyttet.

Jørgen L. Sørensen

Så igen, en klar definition af "Følsomme data" er det vigtigste at få etableret hvis man skal kræve dem bedre beskyttet.

Som du selv er inde på er der mange forskellige opfattelser af hvad der er "følsomme data" - og den ene opfattelse kan være lige så rigtig som den anden.

Dermed ender vi efter min mening i en meget bred definition af følsomme data:
Følsomme data er data, som du ikke selv offentliggør.

Kort sagt skal alle data betragtes som "følsomme data", og det må betyde at: Den, der indsamler og gemmer data om andre, skal sikre sig at uvedkommende ikke får adgang til nogle af disse data overhovedet - undtaget hvor der er givet samtykke fra den, som data vedrører, eller på grund af lovgivningen.

Jørgen L. Sørensen

Hvilket vi jo kan se at selv politiet ikke kan finde ud af... Så hvordan skulle det være muligt at sikre sig 100% som der lægges op til?

Jeg føler mig ret sikker på at vi kan komme tættere på 100%, hvis risikoen for en klækkelig udgift (bøde/erstatning) ved data-læk, får de ansvarlige til at gøre mere ud af sikkerheden for at undgå data-læk --- hvor meget man kan sikre sig er jeg ikke den rette til at svare på.

Men eftersom Politiet ikke mener at det skal få økonomiske for leverandøren at de har haft besøgende (http://www.version2.dk/artikel/oekonomidirektoer-hacking-af-mainframe-fa...), er motivationen til at undgå det fremover nok ret begrænset.

Hver gang der sker læk af data (f.eks. mail-adreser) kommer der en "Ups, det er vi kede af, det skal ikke ske igen (før næste gang)".

Log ind eller Opret konto for at kommentere