Datatilsynet kritiserer: Rigspolitiet dumper i banal it-sikkerhed

Illustration: Virrage Images/Bigstock
Rigspolitiet havde tilsidesat de mest simple principper for datasikkerhed, da det lykkedes hackere at trænge ind i Schengen-registret.

Rigspolitiet havde tilsidesat grundlæggende principper inden for datasikkerhed og bærer en del af skylden for, at det i 2012 lykkedes hackere at trænge ind i CSC’s mainframe og få ubegrænset adgang til blandt andet Schengen-databasen, vurderer Datatilsynet. Det skriver DR.

Læs også: Datatilsynet kritiserer Københavns Politi for at bruge ukrypterede mails

Tilsynet kommer på sin hjemmeside med en skarp kritik af Rigspolitiets utilstrækkelige forholdsregler forud for danmarkshistoriens største hackersag. Gennemgangen hæfter sig blandt andet ved, at Schengen-systemet ikke var adskilt fra webserveren, som ikke funktionelt har noget med hinanden at gøre.

Den ’uforsigtige’ datahåndtering er ’overordentlig kritisabel’, vurderer Datatilsynet.

Læs også: Liveblog: Gottfrid Warg dømmes til 3,5 års fængsel og udvisning fra Danmark

Østre Landsret stadfæstede i juni dommen fra Byretten på Frederiksberg, der gav svenske Gottfrid Svartholm Warg tre et halvt års fængsel for at trænge ind i CSC’s mainframe, hvor også kørekortregistret er lagret. Angrebet skete netop gennem webserveren, og Schengen-databasen kunne altså have været beskyttet, hvis almindelige datasikkerhedsprincipper om isolation blev fulgt, mener tilsynet.

Rigspolitiet har ifølge tilsynet haft flere lejligheder til at forholde sig til den omfattende kritik, men har kun i begrænset omfang ønsket at forklare omstændighederne bag den manglende sikkerhed.

Læs også: Danske bøder for datalækager skraber bunden

’Datatilsynet har specifikt spurgt Rigspolitiet om, hvem (f.eks. Rigspolitiet eller CSC), der har truffet beslutning om, at webserveren skulle kunne tilgås fra internettet af brugere udenfor CSC’s lokalitet. I to omgange har Rigspolitiet ikke besvaret spørgsmålet,’ lyder det i afgørelsen.

DR Nyheder har forsøgt at få en kommentar fra Rigspolitiet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
John Foley

Rigspolitiet forsøger igen at lukke låg på denne for dem særdeles pinlige sag. Efter Datatilsynets - noget forsinkede - meget kritiske rapport forsøger Rigspolitiet at vinde tid i håbet om at sagen dør hen. Rigspolitiet har for længe siden haft alle nødvendige oplysninger, og det har de haft i mere end 2 år. Alligevel prøver de at snige uden om deres ansvar og håber at lægge sagen død. Det skal de ikke få held til.

"Rigspolitiet har ifølge tilsynet haft flere lejligheder til at forholde sig til den omfattende kritik, men har kun i begrænset omfang ønsket at forklare omstændighederne bag den manglende sikkerhed." Set i det lys forekommer det meget kritisabelt at Rigspolitiet igen er fodslæbende og tillukkede som østers. De såkaldte ansvarlige i Rigspolitiet er uasvarlige grænsende til kriminel pligtforsømmelse. Ledelsen er ikke kun uansvarlige men også ligeglade med befolkningens krav om anstændig opbevaring af deres personfølsomme oplysninger. Bemærk at denne sag ingen konsekvenser har haft for hverken Rigspolitiet eller CSC. CSC fortsætter med at skrive masser af kontrakter med det offentlige og Rigspolitiet er ikke blevet klogere til trods for tilførsel af millionvis af ekstra penge til området.

  • 18
  • 0
Log ind eller Opret konto for at kommentere