Rigspolitiet: Åbenhed om placering af brokameraer kan udnyttes til cyberangreb

Illustration: C. Nobel
Ifølge et svar fra Rigspolitiet kan kendskab til kameraplaceringer udnyttes til cyberangreb mod politiets it-systemer.

Aritklen er opdateret 29. november 12:30 med et opfølgende svar fra Rigspolitiet.

Rigspolitiet ønsker ikke at oplyse, hvor der rent geografisk er opstillet kameraer ved landets motorvejsbroer.

Årsagen til hemmeligholdelsen er ifølge et svar til internetaktivist og datalog Christian Panton, at en offentliggørelse af kameraernes placering vil kunne anvendes til at planlægge og gennemføre angreb mod politiets datanetværk og it-systemer.

»Rigspolitiet lægger ved denne vurdering vægt på, at udlevering af konkrete oplysninger om lokationer vil kunne benyttes til at kompromittere sikkerheden og blotte sårbarheder hos Rigspolitiet og dermed ultimativt kunne benyttes til at planlægge og gennemføre et cyberangreb mod politiets datanetværk og it-systemer,« hedder det i et svar fra Rigspolitiet på en aktindsigtsanmodning fra Panton.

»Det er Rigspolitiets vurdering, at udlevering af oplysninger om geografiske placeringer ved konkret sammenstilling med andre oplysninger vil kunne føre til kompromittering af politiets it-sikkerhed,« står der videre i svaret.

Christian Pantons aktindsigtsanmodning var egentlig et forsøg på at få et overblik over, hvad det koster at opstille kameraovervågning ved landets motorvejsbroer.

I den forbindelse optræder lokationer på noget faktura-materiale. Og det er i forhold til ikke at udlevere dette materiale, Rigspolitiets henviser til truslen fra cyberangreb.

»Man skriver det, som om, at hvis man kender det system, hvor det er sat op, så kan man lægge hele politiet ned ... så blev jeg sgu lidt bekymret.«

Udsnit af aktindsigten Christian Panton har fået fra Rigspolitiet i forhold til kamerasystemer ved motorvejsbroer. Illustration: screenshot aktindsigt

Ifølge Panton så er kameraudstyret ikke mere hemmeligt, end at det er til at få øje på.

»Jeg ved ikke rigtigt, om svaret er helt gennemtænkt. Det er jo rimelig offentligt, hvor de her kameraer er. Jeg har da spottet de første 10 stykker eller sådan noget,« siger han.

Men hvordan?

Hvordan kendskabet til kameraernes lokation kan bruges i forbindelse med et cyberangreb, kommer Rigspolitiet ikke nærmere ind på i svaret på aktindsigtsanmodningen.

Christian Panton spekulerer på, om det er muligt at slutte en laptop til det lokale netværksudstyr, som kameraet sender video via, og på den måde få adgang til et ellers lukket netværk hos politiet.

»Jeg havde aldrig haft den tanke, at man kunne sætte en computer til og få adgang til nogle meget hemmelige oplysninger, medmindre de havde skrevet det svar til mig,« siger han.

Såfremt det på den måde faktisk er muligt at få adgang til et lukket politinetværk fra ubemandede opkoblingspunkter rundt om i landet, »så har man måske brændt nallerne lidt i sit system-design«, som Christian Panton udtrykker det.

Internetaktivisten understreger, at han reelt ikke ved, hvordan det står til med sikkerheden i forhold til bro-kameraerne, og der kan være forskel på det billede, der tegnes i det skriftlige svar fra Rigspolitiet, og så den reelle situation, hvad sikkerheden angår.

Version2 har bedt Rigspolitiet om et interview med en person, der kan uddybe, hvorfor kendskabet til kameraernes lokation kan bruges til at gennemføre et cyberangreb mod politiets it-systemer, som der lægges op til i det skriftlige svar fra myndigheden.

Rigspolitiet er vendt tilbage med et skriftligt svar via organisationens presseafdeling.

»Det er ikke nødvendigvis den enkelte oplysning om placering af et kamera, der i sig selv kan udgøre en sikkerhedsrisiko. Det er derimod muligheden for at skabe et overblik over politiets tekniske installationer inklusive konfigurationer med videre, der potentielt kan udgøre en sikkerhedsrisiko. Vi giver generelt aldrig oplysninger om tekniske installationer og løsninger, herunder placeringer,« står der i svaret fra Rigspolitiet sendt til Version2.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Flemming Riis

Man burde få ud fra et det eneste det kamera kan lave er en https post mod et remote server i et lukket setup

hvorefter en anden funktion kan hente de data

og så lidt manage out

Det giver stadig også teoritiske angrebs vinkler

Mon ikke det er lavet sådan :)

Jesper Frimann

Den har rigspolitiet vist ikke tænkt igennem... så et ubeskyttet kamera sat op i det offentlige rum kan benyttes til at komprimitere rigspolitiets it-systemer og datanetværk, der indeholder stærkt personfølsomme data i massevis ?

Det må være det største brud på GDPR vi har set indtil nu efter lovens ikrafttræden. Og det er da en tilståelsessag.

Så kom frisk, hvem skriver en anmeldelse til datilsynet.
Og ja politiet skal også passe på deres data:
https://www.datatilsynet.dk/emner/politi-og-retsvaesen/

Måske skulle version2 spørge datatilsynet om en kommentar ?

Det er helt sort.......

// Jesper

Hans Nielsen

Det ser ud til at politiet må have røget noget af det beslaglagte ?

Hvis det er rigtigt, totalt tåbeligt og dumt.
- De ansvarlige for denne opsætning, bør fyres på stedet

Hvis det ikke er rigtigt, total tåbeligt og dumt.
-Gentagen løgne og utroværdighed, som sammen med manglen priotering af politiopgaver for normale borger. Kun gør telidsbrudet større.

Henrik Sørensen

@Jesper ... en anmeldelse kræver vel, at der foreligger en kompromitterende handling? ... det er næppe muligt at anmelde 'muligvis kompromittérbar infrastruktur om hvilket vi ingen faktuel viden besidder', til datatilsynet ... selvom det da kunne være sjovt at se svaret.

Jens C. Hansen

Det virker som lidt af en mørklagt stråmand:
"oplysninger om geografiske placeringer, sammenstillet med andre oplysninger"
- hvilke andre oplysninger?

Jeg kan ikke se, hvordan kombinationen af placeringer med andre oplysninger skulle være et problem, med mindre man har designet systemet umådeligt dårligt.

René Nielsen

at der foreligger en kompromitterende handling?


Det vil jeg umiddelbart mene at vi er.

Som jeg ser det, så svarer det til at en mand kommer ud af et rum efter der er lydt et skudlignende lyd med en rygende pistol.

Vi ved jo ikke om det er fuldt lovligt, men ønsker vi ikke at politiet i den slags sager undersøger om det er lovligt? Den undersøgelse kan ikke tage lang tid. Et kig i rummet og et opslag i politiets rettighedsregister. Det var det og vi sover alle trygt igen.

Hvad skal vi med et Datatilsyn, hvis ikke de af sig selv reagerer på sådanne oplysninger?

Alle netværk kan "Lægges ned", men man har da vel ikke koblet disse kameraer direkte på politiets lukkede netværk?

Det er da vel for h...... da ikke så let at man bare skal koble en netværkssniffer på et tilfældigt kamera, og via snifferen opnå backbone adgang til politiets netværk?

Hvis det er tilfældet, så er fejlen styrke så voldsom, at det er den allerøverste politiledelse som skal i fængsel for svigt af deres ledelsesansvar.

De skal ikke have lov til at "tørre den af" på en IT chef.

Bjarne Nielsen

Det er da vel for h...... da ikke så let at man bare skal koble en netværkssniffer på et tilfældigt kamera, og via snifferen opnå backbone adgang til politiets netværk?

Desværre skal der efterhånden mere til at overraske mig, men skal jeg være ærlig, så tror jeg at der er tale om en usædvanlig dårlig undskyldning, og man reelt er mere bange for simpelt hærværk og/eller offentlig debat på et oplyst grundlag.

Jesper Frimann

@Jesper ... en anmeldelse kræver vel, at der foreligger en kompromitterende handling? ... det er næppe muligt at anmelde 'muligvis kompromittérbar infrastruktur om hvilket vi ingen faktuel viden besidder', til datatilsynet ... selvom det da kunne være sjovt at se svaret.

Det er jeg ikke helt enig i. Hvis en myndighed selv indrømmer, at de har en fatal sårbarhed, og ikke retter den, må der være grund til en anmeldelse. Hvis man endelig vil se på, hvad man kunne anklage Rigspolitet for ikke at have overholdt, nu hvor de selv siger at de ikke kan oplyse lokationen på deres kameraer fordi det så vil kompromitere deres infrastruktur og datanetværk, er IMHO følgende:

1) Ikke at have fulgt principperne om security by design and by default i GDPR artikel 25. Hvis du stiller ting ud i det offentlige rum, som hvis man ved hvor det står, kan bruge til at kompromitere deres infrastuktur og datanetværk. Så har man ikke designet en sikker løsning.
2) Ikke at have fulgt, jeg citerer fra ovenstående link:

Retshåndhævelsesloven indeholder ligesom databeskyttelsesforordningen krav om, at den dataansvarlige myndighed i visse tilfælde udarbejder en konsekvensanalyse forud for en behandling og foretager forudgående høring af Datatilsynet (eller Domstolsstyrelsen). Kriterierne for, hvornår myndigheden skal udarbejde en konsekvensanalyse, er de samme, som gælder efter databeskyttelsesforordningen.

loven mht. at have lavet en risikovurdering og konsekvensanalyse. For hvis de havde fulgt ovenstående ville løsningen aldrig nogen siden have fået lov til at blive implementeret. De ville have fået en risikovurdering som ville have maxed ud med en 12'er. Igen under forudsætning at de taler sandt i deres afslag på aktindsigt.

// Jesper

Kenn Nielsen

Den har rigspolitiet vist ikke tænkt igennem... så et ubeskyttet kamera sat op i det offentlige rum kan benyttes til at komprimitere rigspolitiets it-systemer og datanetværk, der indeholder stærkt personfølsomme data i massevis ?


Naahh.
Som alt der er "Top Secret" er tingene ikke hvad de ser ud til.
Nu hvor det åbenlyst er et selvmål af rigspolitiet, kommer den nye forklaring:

"Vi frygter at den russisk infiltrerede propagandabevægelse "Mooning amtrak" har spredt sig til Danmark, og vil medvirke til overtagelsen af samtlige politistationer, ved et listigt koordineret angreb hvor de samtidigt mooner samtlige ANPG kameraer, - og medens alle politifolk har opmærksomheden rettet mod de stærkt samfundsskadelige uhyrligheder, så kan ægte russiske skrupelløse scripalagenter snige sig ind for at komme laxativer i kaffe og vandkølere"

/satire

K

Christian Nobel

Vi skal måske lige have helt på plads hvad der menes med brokameraer i denne sammenhæng.

Taler vi om de overvågningskameraer der er sat op ved motorvejsbroer, for (forhåbentligt) præventivt at hindre psykopater i at smide sten gennem forruden på forbipasserende køretøjer, eller taler vi om ANPG?

Ditlev Petersen

En hypotese (jeg tør ikke skrive arbejdshypotese, for så antyder jeg, at jeg har gang i noget): Samtlige kameraer har et universalpassword liggende i hukommelsen, så de periodisk selv kan logge på politiets net og aflevere data.

Jeg håber ikke, at det er rigtigt.

Ellers skulle forklaringen være, at man ved at røre ved kameraerne fysisk kan aflevere en eller anden "ladning", som ryger med ind, når politiet næste gang tømmer kameraet.

Men det er rent gætværk.

Christian Nobel

På de kameraer jeg har spottet, er der sat to op, diagonalt over for hinanden, på broen, sådan at der burde være en meget god billeddækning.

Det ene kamera lader til kun at være et kamera, mens det andet tydeligvis er masteren, da der på masten er monteret en større kasse.

Umiddelbart vil jeg antage at der er en kablet forbindelse fra det isolerede kamera til masteren, som overfører ren video, som så behandles i kassen - her vil jeg så gætte på at der sidder en videooptager, som så kan tilgås trådløst efter behov, da det godt kunne ligne en antenne der sidder allerøverst.

Begge kameraer er monteret øverst på en meget dyrtudseende solid (og glat) mast i 5-6 meters højde, så jeg har meget svært ved at se hvordan den skulle kunne "hackes", med mindre man virkelig tager udgangspunkt i ordets oprindelige betydning, og decideret fælder masten.

Mit ukvalificerede bud er at disse videokameraer, og deres optagelser kan tilgås over luften, efter behov, så hvordan de skulle kunne udgøre en angrebsvektor mod politiets systemer er mig en så afgjort gåde.

Og i virkeligheden mener jeg at politiet gør sig selv en bjørnetjeneste ved al dette hemmelighedskræmmeri og ophøje alt hvad der har med data og sikkerhed at gøre til en gang mumbo-jumbo, da politiet imo. burde samarbejde med landets borgere, ikke det modsatte - det ville da være mere betryggende hvis poliitiet kunne garantere at det på ingen måde var muligt at trænge ind i deres interne systemer via et overvågningskamera, og omvendt at disse ikke kunne sættes ud af kraft af fjendligtsindede.

Steen Christensen

Taler vi om de overvågningskameraer der er sat op ved motorvejsbroer, for (forhåbentligt) præventivt at hindre psykopater i at smide sten gennem forruden på forbipasserende køretøjer

SUK - Det havde være bedre med et hegn. Det kunne da forhindre folk i at blive slået ihjel. Et kamera kan blot filme at folk bliver slået ihjel.

Et hegn har heller ikke problemer med hacking eller GDPR.

Log ind eller Opret konto for at kommentere