Rigspolitiets hemmelige bitcoin-våben fik Datatilsynet til at stejle

Kritik fra Datatilsynet sætter navn på et af Rigspolitiets værktøjer i kampen mod cyberkriminelle.

Rigspolitiet har uden tilladelse sendt danske persondata til USA for at blive behandlet af selskabet Chainalysis. Som Version2 kunne berette fredag morgen, har praksissen udløst kontant kritik fra Datatilsynet, der kræver et øjeblikkeligt stop for data-forsendelser hen over Atlanten.

Læs også: Rigspolitiet sender danske persondata til USA i strid med persondataloven

Chainalysis beskrives af Datatilsynet som en amerikansk databehandler – men hvad der ikke fremgår af afgørelsen er, at Chainalysis er dansk såvel som amerikansk og arbejder med at analysere data på kryptovalutaen bitcoins blockchain for at spore cyberkriminelle, der fx kræver løsepenge via ransomware i den digitale valuta.

Det faktum er ikke mindst bemærkelsesværdigt, fordi Rigspolitiet i marts ikke ville afsløre, hvilke konkrete værktøjer man havde taget i brug i kampen mod kriminelle, der bruger bitcoins.

Læs også: Hemmelighedsfuldt cyberpoliti om ny teknik til bitcoin-sporing: »Det har vakt opsigt, også internationalt«

Dengang erklærede daværende chef for Rigspolitiets cyberenhed, NC3, Kim Aarenstrup, at en ‘ny metode’ betyder, at politiet kan spore hidtil anonyme personer, der bruger bitcoins til at betale for børneporno, stoffer eller andre kriminelle aktiviteter.

»Tidligere har det været sådan, at når man overgik til den virtuelle valuta, så blev politiet koblet fra. Og der er vi nu i stand til at fortsætte efterforskningen og i visse situationer finde frem til gerningsmanden,« sagde Kim Aarenstrup dengang til Version2.

Han ville dog ikke løfte sløret for, konkret hvordan NC3 nu er i stand til at afsløre identiteten bag bitcoin-handlende på darknet.

Læs også: Nets indgår fintech-samarbejde: Vil lade banker tilbyde konti til Bitcoin-brugere

»Vi vil helst ikke gå for meget i detaljer, fordi vi dermed hjælper de forkerte personer,« forklarede Aarenstrup, der i sommer blev ansat i logistikvirksomheden DSV.

Men nu er en grad af detaljer altså kommet ud – via Datatilsynets afgørelse. Heri fastslår tilsynet, at Rigspolitiet ikke har tilladelse til at sende data til Chainalysis i USA, hvilket er et krav, fordi kontrakten mellem Rigspolitiet og Chainalysis afviger fra EU-Kommissionens standardbestemmelser.

Det kræver altså enten Datatilsynets tilladelse eller en ny databehandlerkontrakt at fortsætte samarbejdet – og dette skal ifølge Rigspolitiet nu være løst. Hvis det midlertidige forbud har haft konsekvenser for efterforskningen, er det ikke noget, Rigspolitiet vil uddybe:

»Af politioperative årsager ønsker vi ikke at kommentere brugen af konkrete efterforskningsmetoder og har derfor heller ikke kommentarer til, hvilken betydning Chainalisys (sic) har for vores arbejde,« skriver Rigspolitiets pressechef, Thomas Kristensen, i en mail til Version2.

Det er værd at bemærke, at NC3 tidligere har understreget, at myndigheden har adgang til flere end ét værktøj, og der kan således være andre virksomheder, der assisterer politiet med at forfølge kriminelle i cyberspace.

Analyse i blockchain

Chainalysis, der har eksisteret i godt to et halvt år, underskrev i 2016 en såkaldt Memorandum of Understanding med Europol, der ønsker at bruge softwaren i opklaringsarbejdet.

»De mener, de har brug for værktøjet. Ikke mindst fordi cyberkriminalitet i stigende grad hænger sammen med darkmarkets, hvor man for eksempel kan købe hackerværktøjer,« fortalte selskabets danske direktør, Michael Grønager, dengang til Version2.

Læs også: Dansk-amerikansk algoritme spotter mistænkelige Bitcoin-transaktioner

Bitcoins blockchain indeholder information om samtlige transaktioner, og den data er offentlig. Til gengæld er der mange muligheder for at sløre det digitale spor, hvis man som bitcoin-bruger ønsker at undgå ordensmagtens opmærksomhed.

Med blockchain-efterforskning er man – som med alt andet efterforskningsarbejde – delvist afhængig af, at gerningsmænd begår fejl.

»Alle dine transaktioner efterlader et netværk af spor. Jo længere tid det foregår, desto større mulighed er der for, at der kommer huller i netværket. Hvis en person for eksempelvis bruger en bitcoin, som han har ejet fra før, han begyndte at obfuskere sit spor, vil politiet med vores værktøj kunne finde ud af det,« har Michael Grønager forklaret om Chainalysis.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Povl H. Pedersen

Jeg ved ikke lige hvor persondata kommer ind i billedet.
Det første tidspunkt man har persondata er, når man via en kendelse eller læk får nogle udtræk fra en BitCoin exchange. Dette navn kan vel holdes hemmeligt/pseudonymiseres af politiet.

Jeg ser ikke noget formål med at politiet sender personidentificerbare data til selskabet i USA, medmindre det er fordi at USA selskabet har nogle navne/konti databaser som der kan laves opslag i.

Bjarne Nielsen

Jeg ved ikke lige hvor persondata kommer ind i billedet.

Nu er det Rigspolitiet selv, som har valgt at fremsende en databehandleraftale for Chainalysis til Datatilsynet, så selvom Rigspolitiet i vanlig stil holder kortene tæt til kroppen, så må vi vist sige, at der er tale om en tilståelsessag i forhold til, om der er tale om personoplysninger i lovens forstand. En databehandleraftale, som Datatilsynet påpeger er utilstrækkelig.

Jeg tror ikke, at du får hverken Rigspolitiet eller Datatilsynet til at uddybe dette aspekt.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder