Professor: Sympatisk, at Rigspolitiet ikke vil føre en sag mod CSC efter hackersagen

Illustration: Virrage Images/Bigstock
Rigspolitiet har droppet tanken om at politianmelde CSC for forsømmelse af it-sikkerheden i kølvandet på hackersagen. Men det er måske meget godt, lyder det fra professor fra CBS.

Dommen er faldet i danmarkshistoriens største hackersag, men efterspillet er kun lige begyndt.

Hackerangrebet, der ramte en af statens største it-leverandører, CSC, kompromitterede ikke blot store dele af den danske befolknings private oplysninger, men blotlagde også kritiske problemer med sikkerheden hos leverandøren og sløseri hos blandt andet Rigspolitiet, der er ansvarligt for oplysningerne.

Derfor overvejede Rigspolitiet ifølge Justitsministeriet tidligere at føre sag mod CSC for at have svigtet sin opgave med at beskytte de statslige databaser med fortrolige oplysninger om borgerne tilstrækkeligt.

Læs også: Rigspolitiet overvejer sag mod CSC

Den idé er nu lagt på hylden hos Rigspolitiet, der i stedet er i gang med at lave en gennemgang af sikkerheden hos CSC.

»Vi har taget en kritisk dialog med dem og har ikke fundet noget grundlag for at lave en politianmeldelse,« siger Rigspolitiets it-direktør, Michael Steen Hansen, til Version2 og fortsætter:

»Det med at køre en sag, tror jeg mest, pressen har været optaget af. Det er en overdramatisering af situationen.«

Ikke desto mindre oplyste den tidligere justitsminister Karen Hækkerup (S) i september i et svar til Enhedslistens retsordfører, Pernille Skipper, at Rigspolitiet overvejede at køre sag mod CSC.

At det ikke bliver aktuelt, kan være positivt ifølge professor på Copenhagen Business School Kim Normann Andersen:

»Det lyder egentlig meget sympatisk, at Rigspolitiet ikke griber til det,« siger han og uddyber:

»Det er ikke befordrende for at ændre adfærd i virksomhederne og den offentlige forvaltning, hvis det ligger i luften, at den første løsning bliver at rejse politisager, som kan ende i et anklageskrift.«

Enhedslisten: Politiets dobbeltrolle er bekymrende

Pernille Skipper (EL) vil nu kræve svar fra justitsministeren på, hvem der har besluttet ikke at føre sag mod CSC, og på hvilken baggrund beslutningen er blevet truffet.

»Der er nogle åbenlyse problemer omkring politiets dobbeltrolle i den her sag: at de både er politi og offer på en og samme gang. Og politiets manglende reaktioner på advarslerne fra det svenske politi er meget bekymrende,« siger hun og fortsætter:

Læs også: Hackersagen dag 8: Svensk it-efterforsker ville ønske dansk politi havde udvist livstegn

»Når man har fulgt debatten, får man en fornemmelse af, at vi mangler kompetencer hos politiet inden for efterforskning af it-kriminalitet.«

Selvom Rigspolitiet ikke politianmelder CSC, kan anklagemyndigheden stadig vælge at tage sagen op af egen drift eller efter opfordring fra Datatilsynet.

Anklagemyndigheden kan ikke oplyse, om der arbejdes på at rejse en sag eller ej på nuværende tidspunkt.

Folkeligt søgsmål på vej?

Der har tidligere været stor kritik af CSC’s håndtering af borgernes oplysninger fra blandt andet internetaktivisten Peter Kofod.

Og det kan i sidste udfald ende med et civilt søgsmål mod statens it-leverandør.

»Hvis ikke politiet og anklagemyndigheden rejser en tiltale, så håber jeg virkelig, at en stor gruppe af danskere - og jeg vil selv være blandt dem - vil starte et kollektivt søgsmål mod CSC,« sagde Peter Kofod til TV2 Nyhederne.

Læs også: Sikkerhedshul gav adgang til CSC-server: 'Jeg kunne blandt andet se kildekode til Polsag'

Hvorvidt sådan et søgsmål kan lade sig gøre, er dog mere tvivlsomt ifølge it-advokat fra Bird & Bird Nis Peter Dall. Det er nemlig slet ikke CSC, som man i udgangspunktet skal lægge sag an mod i denne situation. I stedet vil det være Rigspolitiet, der kan stå for skud.

»I første omgang vil man skulle lægge sag an mod den dataansvarlige, da det er dem, man har relation til,« siger han og pointerer, at det kan halte med at føre sådan en sag som privatperson.

»Jeg mener ikke, at vi tidligere har haft civile søgsmål, hvor en privatperson har stævnet en dataansvarlig, fordi der er mistet data,« siger han.

Desuden ligger bødeniveauet meget lavt i sager af denne type - typisk under 25.000 kr. ifølge Nis Peter Dall, der dog også mener, at sagens grovhed vil kunne lede til en højere bøde, hvis CSC ender med at komme i retten og blive dømt.

»Det mest oplagte vil være, at det er Datatilsynet, som går videre med det. De burde kigge grundigt på det her og overveje, om der ligger en overtrædelse af persondataloven,« siger han.

Datatilsynet undersøger Rigspolitiet, men ikke CSC

Som et resultat af hackersagen er fem statslige myndigheder kommet under luppen hos Datatilsynet, der er ved at undersøge, hvad der er foregået, og hvordan myndighederne har håndteret sagen.

Det gælder både Rigspolitiet, Moderniseringsstyrelsen, Skat, CPR-registeret samt Digitaliseringsstyrelsen, hvor blandt andet Rigspolitiet har været dataansvarlig for de ramte databaser.

Datatilsynet undersøger dog ikke CSC, da de er databehandlere i sagen og derfor ikke har det overordnede ansvar for borgernes oplysninger.

»Det er helt sædvanligt, at det er den dataansvarlige, der skal svare for sikkerheden. Du udliciterer driften, men ikke ansvaret,« siger kontorchef hos Datatilsynet Lena Andersen.

Og mens Datatilsynet undersøger Rigspolitiet, er Rigspolitiet ved at gå CSC efter i sømmene:

»Vi kigger efter anbefalingerne fra rapporter som dem fra vores eksterne revision og Center for Cybersikkerhed og tjekker, om de er blevet implementeret,« siger Rigspolitiets it-direktør, Michael Steen Hansen, og fortsætter:

»Vi har øget krav til revisionen af it-sikkerheden hos CSC, og så har vi kigget på reaktionstiderne på forskellige sager og overvågningselementer, så vi har en bedre chance for at undgå noget lignende i fremtiden. Det kan fx være, hvor lang tid der må gå for at implementere en kritisk sikkerhedsopdatering til et produkt.«

Hvilke krav har I stillet?

»Det vil være for vidt at gå ind på detaljerne i de krav, vi har stillet.«

Har I implementeret nogle faste deadlines for eksempelvis sikkerhedsopdateringer?

»Der er jeg dig svar skyldig. Vi har nogle kategoriseringer af vigtighed, så nogle opdateringer har større prioritet end andre.«

Var der ikke det før?

»Det skal jeg ikke kunne sige. Det er der i hvert fald nu.«

Rigspolitiet har omkring 20 pct. af sine it-systemer liggende hos eksterne driftsoperatører, og i fremtiden kan det være en mulighed at lægge al driften inden for politiets egne rækker i stedet for hos eksempelvis CSC, foreslår Michael Steen Hansen.

Er det noget, I planlægger?

»Det er noget af det, vi kigger på,« siger han.

Professor vil have leverandører til at vise deres sorte får frem

Når man ikke får et bedre sikkerhedsniveau af at straffe leverandørerne ifølge Kim Normann Andersen, så er der andre, bedre muligheder, mener professoren.

Han foreslår blandt andet, at offentlige myndigheder fremover kræver, at leverandørerne afslører deres lig i lasten, før de kan byde ind på de store it-projekter.

Læs også: Professor efter hackerdom: Staten skal gentænke sin data-håndtering fra bunden

Med andre ord skal de fremvise en log over alle virksomhedens sikkerhedsbrister, hvor eksempelvis personfølsomme oplysninger er blevet kompromitteret.

»Det giver ikke mening at blackliste leverandører. Der er så få firmaer, der kan byde ind på de offentlige opgaver, at det er mere interessant at få sikkerhedshændelserne frem og så se, hvad de har gjort for at forhindre, at det sker igen,« siger han.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (34)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Daniel Udsen

Du har et kempe problem der er gennerelt for hele retsystemet og ikke kun IT her fordi du fordi man i DK ikke vil tale om korruption, nepotisme og magtmisbrug som noget der kan ske i DK.

Dybest set har vi en situation at hvis en startlig chef er involveret eller kan holdes ansvarlig for en forbrydelse så er alle principper om magtens 3 deling sat ud af kraft fordi, samme statschef har ansvaret for at efterforske sig selv.

Vi har set det i alle tilfælde hvor der er klaget over politiet og vi har haft sager hvor landsretten har bekræftet at politet har handlet uredeligt i en efterforskning der involverede potientiel ansvar for politiet, og alligevel insistere man på at rigspolitichefen kan afgøre om rigspolitichefen skal politianmeldes for pligtforsømmelse og det er stort set definitionen på bananstats forhold.

Selvfølgeligt er der ingen i politiets ledelse der vil have CSC på anklage bænken i en sag hvor CSC's eneste potentielle forsvar er at beskylde politiets ledelse for pligtforsømmelse.

Lýsa Gabriel

»Det er ikke befordrende for at ændre adfærd i virksomhederne og den offentlige forvaltning, hvis det ligger i luften, at den første løsning bliver at rejse politisager, som kan ende i et anklageskrift.«

Jamen det lyder da storslået. Lad os implementere det i hele samfundet når det gælder forbrydelser af enhver art. Især bliver det sikkert populært hos bl. a. indbrudstyve (andre end Warg, som jo ikke nyder godt af denne nye form for tolerance), og alle de steder hvor CPR-numre og andre personfølsomme oplysninger ligger og flyder fordi det er for besværligt for de stakkels kommuner at overholde de forhåndenværende regler for databehandling.

Christian Nobel

Bare lige for at gøre det helt klart - politiet har intet med magtens 3 deling at gøre.

Tredelingen i Danmark er lavet på denne måde:

Folketing.
Regering.
Domstol.

Det er så desværre en ret uheldig model, for i reelt er der kun tale om en todeling hvis regeringen har flertal - i andre lande er denne opdeling tilgodeset ved at der er to kamre, eller en regering og en præsident.

Daniel Udsen

Det er så desværre en ret uheldig model, for i reelt er der kun tale om en todeling hvis regeringen har flertal

Problemet er at systemet er sat op sådan at udøvende magt(regring/politiet) kan blokere for en effektiv behandling ved dømmende magt(domstolene) fordi burokratiet kræver at det et udøvende magt der tiltaler under staffeloven.

Udøvende magt kan her ikke dømme men de kan administrativt frifinde folk ved at nægte/sylte en efterforskning. Og den kan selectivt vælge hvordan den vil efterforske.

Det er alt for simpelt en fortolkning af Montesquieu kun at tale om folketing regering og domstole og ikke kigge dybere i hvordan de 3 bureaukratier spiller sammen.

Kevin Johansen

Well, ikke helt (som Daniel siger):
Kongen (regering/udøvende) er også lovgiver (i fællesskab med Folketinget), kongen (regering/udøvende) er også domstol (jf. administrative afgørelser, og afgørelser truffet i statsforvaltningen og/eller diverse styrelser og nævn).

Nå, men jeg vil egentlig godt melde mig det fælles søgsmål, der er blevet foreslået. Hvor kan jeg henvende mig?

Christian Nobel

Det er alt for simpelt en fortolkning af Montesquieu kun at tale om folketing regering og domstole og ikke kigge dybere i hvordan de 3 bureaukratier spiller sammen.

Det er jeg helt enig i, det var bare lige for at gøre op med den misforståelse der hersker om at politiet er den udøvende magt - det er ikke korrekt, den udøvende magt er regering, og politiet er så et af dens værktøjer.

Men den danske model giver det store problem, at når den udøvende og lovgivende magt reelt er den samme, så kan den (i praksis, ikke i følge grundloven) ved en lovændring sætte den dømmende magt ud af spillet - og så skal der også, som du selv siger, tages in mente at centralmagten er gennemsyret af nepotisme.

Så godt nok har vi ikke korruption på samme måde som i Rusland eller Mellemamerika, men at sige at den ikke eksister er lodret forkert, det foregår bare på et mere subtilt plan.

Og et meget stor problem i dette spil er at Danmark ikke har nogen forfatning, og endnu værre ingen forfatningsdomstol - så hvis der begås handlinger der er grundlovsstridige, så er det kun den almindelige domstol der kan behandle sagen, hvilket jo svarer til at lade ræven vogte høns.

Peter Stricker

Der er nogle åbenlyse problemer omkring politiets dobbeltrolle i den her sag: at de både er politi og offer på samme gang.

De burde vel også have haft rollen som efterforsker, men hele tre ting - det går virkelig ikke. Hvor var det heldigt, at CSC så ville påtage sig opgaven med at efterforske.

Mogens Hansen

Bare lige for at gøre det helt klart - politiet har intet med magtens 3 deling at gøre.

Tredelingen i Danmark er lavet på denne måde:

Folketing.
Regering.
Domstol.


Det er ikke korrekt. I Danmark har vi ikke en opdeling af denne type. Man kan godt snakke om en tredeling, men den er på ingen måde ligeværdig.
Først og fremmest: Ingen over og ingen ved siden af Folketinget.
Dernæst: De samme mennesker kan være en del af regeringen og en del af Folketinget på samme tid. Det er også meget usædvanligt, og ikke i tråd med tanken om opdeling.
Dernæst: Politiet er, sammen med domstolene, i høj grad underlagt justitsministeren. Det er der mange lande, der ville betragte som en særdeles uskøn sammenblandingen. Det gør også domstolenes reelle uafhængighed af regeringen mere end tvivlsom.
Det ses bl.a. ved, at det er næsten uhørt at domstolene her til lands (i modsætning til f.eks. Tyskland, Frankrig, USA) afprøver en lov som politikerne har fundet på, ift. Grundloven (det er, svjv, kun sket 2 gange inden for de sidste mange årtier). I lande med ordentlig 3-deling er højesteretterne betydeligt mere aktive.
Så nej, magtens 3-deling eksisterer faktisk ikke i Danmark.

EDIT Jeg kan se at Christian i senere kommentar har udvidet sin forklaring og jeg tror vi er enige på de overordnede linjer.

Martin Kofoed

Når der er så meget på spil som her - misligholdte kontrakter, mangelfulde aftaler, svigt hele vejen rundt, inkompetence i alle led og kanter, magtmisbrug osv. osv., så er det klart, at dette bliver udfaldet. Hæng en skummelt udseende hacker op på det hele, vask hænderne og kom videre.

Vi ved, at de slipper afsted med det. PHK's indlæg på ing.dk (som jeg desværre ikke kan finde fra forsiden) kommer forhåbentlig til at stå som en skamstøtte over denne sag. Og så er der vist desværre ikke mere at gøre ved det, andet end at konstatere at det er farligt at udstille statsmagtens svagheder.

Christian Bruun
Jesper Nielsen

Jeg finder det underligt at det kan være Sympatisk at man ikke vil lave en sag mod CSC, samtidig med at CSC ikke ser noget problem i at kræve million erstatning fra Warg.
Det er jo ikke CSC som sådan der er skadeslidt, men den almindelige dansker. Hvor mon en evt. erstatning til CSC vil ende.

Robert Larsen

Det er ikke befordrende for at ændre adfærd i virksomhederne og den offentlige forvaltning, hvis det ligger i luften, at den første løsning bliver at rejse politisager, som kan ende i et anklageskrift.

Vil det ikke NETOP være befordrende, hvis virksomhederne ved, at sjusk bliver straffet?
Nu kan de så se, at sikkerhed er ligemeget...man kan slippe afsted med det crap, som CSC lavede.

Brian Hansen

Der kommer ingen konsekvenser for den regering vi har, før nogen skamrider deres egen personlighed, ved at bryde den tumpede latterlge sikkerhed der omgiver de centrale systemer her i landet.
Wargs eneste fejltrin er, han ikke gjorde sig anonym nok, og han smed ikke hele indholdet ud på pastebin / torrent til evigt skue.
Først når lokummet RIGTIGT brænder under folketinget, SÅ sker der noget.
Ikke at det skal være en opfordring eller noget!

Nicolai Rasmussen

Professor: Sympatisk, at Rigspolitiet ikke vil føre en sag mod CSC efter hackersagen

Helt ærligt Hr Professor!!! Er der en øvre grænse for hvor mange fejl, sorte får og lig i lasten man kan have, før det skal have konsekvenser? Eller er tanken at hvis man bare siger fy-fy tilstrækkeligt mange gange, så forsvinder incitamentet til at spare ressourcer på sikkerheden?

Er dette en universel model, på samme måde som det katolske tilgivelses-system? Efter du har angret dine synder til præsten, så skal du sige ave Maria 20 gange, så er alt godt igen? Så tanken bag denne udstrakte hånd er at straffen kommer efter døden? Altså i modsætning til vores almindelige lovgivning hvor vi forsøger at straffe folk for ansvarspådragende adfærd, mens de stadig er i live?

I min bog har Rigspolitiet været ansvarspådragende dårlige til at udlicitere deres opgave eller CSC har været ansvarspådragende dårlige til at forvalte den udliciterede opgave. Det er da glimrende at de to parter kan komme overens om at det skal blive bedre - men det samme siger Alkoholikeren der har kørt en fodgænger ihjel ved spritkørsel - ham kan vi godt finde ud af at straffe, men når det er Rigspolitiet og CSC, så er det "sympatisk" at de ikke skal straffes??? Hvad er det jeg har misset her?

Poul-Henning Kamp Blogger

Helt ærligt Hr Professor!!! Er der en øvre grænse for hvor mange fejl, sorte får og lig i lasten man kan have, før det skal have konsekvenser?

Jo, det er der bestemt.

Problemet er bare at hvis Rigspolitiet sagsøger CSC, så peger CSC bare i kontrakten og siger "det var præcis hvad I selv bad om at få leveret" og så stopper sagen der.

At Rigspolitiet ikke anlægger en sag de er 100% sikre på at tabe er rationelt, men i det akturelle tilfælde meget utilfredsstillende.

Det er Rigspolitiet selv der har dummet sig med deres outsourcing.

Det er dem der skal sagsøges for persondata-sjusk.

Kim Bjørn Tiedemann Blogger

Problemet er bare at hvis Rigspolitiet sagsøger CSC, så peger CSC bare i kontrakten og siger "det var præcis hvad I selv bad om at få leveret" og så stopper sagen der.

Nu kender vi ikke kontrakten og det er meget muligt at CSC kan gøre det som du siger. Men de statslige driftskontrakter jeg har set har krav om ISO 27001 (og tidligere DS484). Her kræves at leverandøren sikrer, at uautoriserede handlinger logges og afsløres. Det kan man ikke ligefrem påstå, at CSC har levet op til.

Jeg tror godt på at man kan outsource sin drift, men det skal ske under kontrollerede forhold, hvor driftsorganisationen består af både kunde og leverandør.

Nicolai Rasmussen

Det er Rigspolitiet selv der har dummet sig med deres outsourcing.

Det er dem der skal sagsøges for persondata-sjusk.

Muligvis, men mon ikke CSC har gjort sig skyldig i en række forhold også? Man kunne jo drømme om at de begge to blev idømt en passende straf.

CSC; thi kendes for ret, skyldig i uansvarlig omgang med fortrolig data. Straffen bliver afholdelse af alle udgifterne til uddannelse af 8000 systemadministratorer til sikkerhedskritiske systemer svarende til kandidat niveau. Uddannelsen skal være tilendebragt inden for 5 år. Kvaliteten af uddannelsen vil blive monitoreret ved offentlig adgang til eksamen, samt af panel af sure programmører. Straffen udvides med ekstra uddannelse af 2^(antal berettigede klager over kvaliteten) systemadminstratorer til sikkerhedskritiske systemer. Forsøg på omgåelse af straffens intention medfører 3 års hæfte for øverste ansvarlige for CSC i Danmark.

Rigspolitiet; thi kendes for ret, skyldig i uansvarlig tilsyn og outsourcing af fortrolig datahåndtering. Straffen bliver at forestå inspektion af alle landets registre med personhenførbare data inden for en periode på 2 år. Kvaliteten af inspektionen sikres ved at alle inspektionsrapporter gøres offentlige. Berettigede klager afføder nye inspektioner udført af 3. part og udgifter afholdes af dømte indtil tilfredsstillende rapporter er offentliggjort. Smøl eller anden useriøsitet i eksekveringen af straffen resulterer i 3 års hæfte for Rigspolitichefen.

Det vi mangler er konsekvens, ikke sympati.

Finn Christensen

..køen ved håndvasken at jeg som borger er retsløs, når det kommer til mine personlige data. Ingen af de ansvarlige tager ansvar.

Oftest gives borgeren end ikke tilladelse til at rejse en sag. Borgeren "har ingen direkte og lovbeskyttede interesser at varetage".

Vi har 'en ikke magtens tredeling', da dele af den gamle administration + enevældet aldrig blev aflivet. Dele af retssikkerhed er derfor historisk flyttet til nævn og deslige, hvor man klager til synderen selv, og så... hvis guderne smiler til dig ;)

Den praksis findes overalt - ældgammel. Alle stopklodser opstod antagelig af ren nærighed, kombineret med rest af enevælde og magtfuldkommenhed. 'Praktisk' at undersøger, anklager samt dommer er under en og samme kasket.

Med en kendt troværdighed for en lille homogen offentlig sektor er det ikke et problem.

Men med ~7-800.000 personer her anno 2014, så bliver hundrede+ års hjemmelavet 'retssystem' kafkask, og har forlængst overskredet sidste anvendelsesdato.

Politiets klager over sig selv er der nødtvunget og nyligt lappet på af selv samme årsag. Ligeledes måtte klagegangen ifm. skattesager ændres nogle år tilbage.

Vores ombudsmandsinstitution af 1950 var et brud med det nævnte; en undtagelsen der samtidig viser noget nutidigt.

I 'systemet' aftaler man med selv om man vil starte en sag. Hvis en sag (påtaleretten) måske kunne sætte spot på 'enkeltstående uhensigtsmæssigheder' for 'dem der bare gør deres pligt' ja så.. det ved de kun selv.

Man kan skrive sig ind i og ud af hvad som helst.

John Foley

Justitsministeriet og Politiet har ikke passet godt nok på befolkningens tvangsopbevarede personfølsomme oplysninger og det burde derfor være dem der blev retsforfulgt for pligtforsømmelse. Men det sker bare ikke. Statsmagten passer på sig selv og danner kø ved håndvasken. Mere uskønt kan det ikke blive og Center for Cybersikkerhed, der burde være samfundets beskytter, holder sig i baggrunden og fortsætter sit arbejde til støtte for efterretningstjenesterne.

Log ind eller Opret konto for at kommentere