Datatilsynets kritik af Rigspolitiet for det delte miljø på mainframen hos CSC, som blev hacket i 2012, bliver nu udvidet til at omfatte yderligere tre myndigheder, som anvendte det samme fysiske driftsmiljø.
Det drejer sig om Skat, CPR-kontoret og Moderniseringsstyrelsen, som havde systemer liggende på de fire logiske partitioner (LPAR), som var knyttet til samme fysiske diske og brugerstyringsdatabase (RACF).
Konklusionen fra Datatilsynet er, at de tre myndigheder ligesom Rigspolitiet ikke har haft tilstrækkelig kontrol med deres data, fordi der var tale om et delt miljø.
Moderniseringsstyrelsen var ansvarlig for et lønsystem, som var knyttet til en webserver, der kunne tilgås fra internettet. Det var et sikkerhedshul i denne webserver, som gav hackerne mulighed for at få fodfæste på mainframen.
Da de fire LPAR delte fysisk storage og database med brugerrettigheder var det muligt ved hjælp af zero day-sårbarheder at få adgang til at kopiere data fra alle fire LPAR.
For de tre myndigheder, som nu kritiseres, gælder også, at systemerne indeholdt personoplysninger som eksempelvis cpr-numre og oplysninger om løn- og pensionsforhold.
Da databasen med brugerrettigheder blev kompromitteret, indebærer det også, at der potentielt kan være foretaget ændringer i data i systemerne. Ingen af myndighederne har efterfølgende konstateret tegn på, at det er sket, men Datatilsynet finder det meget alvorligt, at det kunne være sket.
Myndighederne er alle dataansvarlige, og selvom CSC har stået for driften af mainframe-miljøet, så er det derfor myndighederne der i sidste ende er ansvarlige for sikkerheden.
CPR-kontoret oplyser ifølge Datatilsynet, at systemerne i marts 2014 blev flyttet til et selvstændigt driftsmiljø, ligesom systemet ikke længere anvender den fælles brugerrettighedsdatabase.
Databasen omfattede i alt cirka 85.000 brugere, hvoraf ikke alle var aktive brugere. Men alene de personoplysninger, som lå i denne database, er også beskyttet af persondataloven ifølge Datatilsynet.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.