Rigspolitiet havde tilsidesat grundlæggende principper inden for datasikkerhed og bærer en del af skylden for, at det i 2012 lykkedes hackere at trænge ind i CSC’s mainframe og få ubegrænset adgang til blandt andet Schengen-databasen, vurderer Datatilsynet. Det skriver DR.
Tilsynet kommer på sin hjemmeside med en skarp kritik af Rigspolitiets utilstrækkelige forholdsregler forud for danmarkshistoriens største hackersag. Gennemgangen hæfter sig blandt andet ved, at Schengen-systemet ikke var adskilt fra webserveren, som ikke funktionelt har noget med hinanden at gøre.
Den ’uforsigtige’ datahåndtering er ’overordentlig kritisabel’, vurderer Datatilsynet.
Østre Landsret stadfæstede i juni dommen fra Byretten på Frederiksberg, der gav svenske Gottfrid Svartholm Warg tre et halvt års fængsel for at trænge ind i CSC’s mainframe, hvor også kørekortregistret er lagret. Angrebet skete netop gennem webserveren, og Schengen-databasen kunne altså have været beskyttet, hvis almindelige datasikkerhedsprincipper om isolation blev fulgt, mener tilsynet.
Rigspolitiet har ifølge tilsynet haft flere lejligheder til at forholde sig til den omfattende kritik, men har kun i begrænset omfang ønsket at forklare omstændighederne bag den manglende sikkerhed.
’Datatilsynet har specifikt spurgt Rigspolitiet om, hvem (f.eks. Rigspolitiet eller CSC), der har truffet beslutning om, at webserveren skulle kunne tilgås fra internettet af brugere udenfor CSC’s lokalitet. I to omgange har Rigspolitiet ikke besvaret spørgsmålet,’ lyder det i afgørelsen.
DR Nyheder har forsøgt at få en kommentar fra Rigspolitiet.