Rigspolitiet: Kørekort-register hos CSC er blevet hacket

31 kommentarer.  Hop til debatten
Rigspolitiet: Kørekort-register hos CSC er blevet hacket
Illustration: Pressefoto Rigspolitiet.
Hackere har i fem måneder haft adgang til mainframes hos CSC og har downloadet data fra kørekortregistret og Schengen-registre. Det oplyser Rigspolitiet, der nu har anholdt en dansk mand, og kræver en svensker udleveret.
person
6. juni 2013 kl. 11:08
errorÆldre end 30 dage
person
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Fra april til august 2012 har hackere haft adgang til fortrolige systemer hos CSC. Flere af politiets databaser er blevet hacket, og ’et stort antal filer’ er blevet downloadet af hackerne. Det oplyser Rigspolitiet i en pressemeddelelse.

Blandt andet er der downloadet CPR-numre fra kørekort-registret samt data om efterlyste personer i Schengen-registre.

»Det er ikke konstateret, at der skulle være foretaget ændringer i registrene, men det kan på nuværende tidspunkt ikke udelukkes,« skriver Rigspolitiet i pressemeddelelsen.

»Der er tale om et alvorligt brud på den it-sikkerhed, der nødvendigvis skal være omkring politiets registre, og som vi forventer, at CSC til enhver tid sikrer. Derfor ser politiet på sagen med den største alvor. Det er naturligvis helt uacceptabelt, at det har været muligt at få adgang til politiets registre trods de meget høje sikkerhedsstandarder, som vi kræver og forventer af vores leverandør,« udtaler rigspolitichef Jens Henrik Højbjerg.

Artiklen fortsætter efter annoncen

På samme mainframe-system har blandt andet Skat, CPR og Moderniseringsstyrelsen data liggende, men der er ikke konstateret indbrud i disse systemer, skriver Rigspolitiet.

Der er heller ikke set tegn på, at de stjålne oplysninger er blevet misbrugt.

Politiet skriver, at en svensk statsborger er mistænkt i sagen, og at han i øjeblikket er fængslet i Sverige i en anden sag. Københavns Politi har onsdag anholdt en dansk mand, der mistænkes for også at have forbindelse til sagen.

Den svenske mand er efter alt at dømme Gottfrid Svartholm Warg, der var med til at stifte Pirate Bay. Han er nu anklaget for hacking mod en række svenske systemer, blandt andet Nordeas mainframe-systemer. Udbyttet ved indbruddet i Nordeas systemer blev 24.000 kroner, som forsvandt fra en dansk fagforenings konto.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Version2 følger op på sagen.

##Hackerangreb mod CSC under optrævling

Rigspolitiet har sammen med CSC konstateret, at gerningsmændene i perioden fra april til august 2012 har downloadet et stort antal filer fra CSCs mainframe-anlæg. Det drejer sig blandt andet om oplysninger fra politiets kørekortregister, herunder CPR-numre, samt oplysninger om efterlyste personer i Schengen-registrene.

Det er ikke konstateret, at der skulle være foretaget ændringer i registrene, men det kan på nuværende tidspunkt ikke udelukkes.

På samme mainframe-anlæg hos CSC befinder sig også registre fra andre myndigheder. Det drejer sig blandt andet om SKAT, CPR og Moderniseringsstyrelsen. Det er ikke konstateret, at gerningsmændene skulle have haft adgang til disse registre, hentet oplysninger i dem eller ændret oplysninger, men det kan ikke udelukkes.

Rigspolitichef Jens Henrik Højbjerg udtaler:

- Der er tale om et alvorligt brud på den IT-sikkerhed, der nødvendigvis skal være omkring politiets registre, og som vi forventer, at CSC til enhver tid sikrer. Derfor ser politiet på sagen med den største alvor. Det er naturligvis helt uacceptabelt, at det har været muligt at få adgang til politiets registre trods de meget høje sikkerhedsstandarder som vi kræver og forventer af vores leverandør.

Politiet har ikke set tegn på, at gerningsmændene skulle have misbrugt nogen af oplysningerne.

Rigspolitiet har sikret sig, at CSC har arbejdet intensivt på at afklare omfanget af det omhandlede sikkerhedsbrist, og der er foretaget en række skridt for at genoprette sikkerheden i de berørte registre.

Samtidig har Rigspolitiet bedt Politiets Efterretningstjeneste om som national sikkerhedsmyndighed og IT-sikkerhedsmyndighed for politiet at foretage yderligere undersøgelser i sagen. Undersøgelserne foretages i tæt samarbejde med Center for Cybersikkerhed under Forsvarets Efterretningstjeneste.

Chefen for Politiets Efterretningstjeneste, Jakob Scharf, udtaler:

- Formålet med undersøgelserne er dels at vurdere omfanget af sikkerhedsbruddet, og om andre offentlige IT-systemer kan være berørt, dels at sikre, at der træffes de nødvendige sikkerhedsforanstaltninger på baggrund af sagen. Der foretages i den forbindelse en grundig sikkerhedsmæssig gennemgang af politiets IT-systemer. Såfremt efterforskningen eller de yderligere undersøgelser i sagen giver anledning hertil, vil myndigheder eller andre, som må anses for berørt af sikkerhedsbruddet, modtage nærmere underretning.

En svensk statsborger er mistænkt i sagen. Han er i øjeblikket frihedsberøvet i Sverige i en anden sag, og dansk politi har nu begæret ham udleveret. Københavns Politi har onsdag anholdt en dansk mand, der mistænkes for også at have forbindelse til sagen.

31 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
30
Steen Jensen
7. juni 2013 kl. 16:07

hel.... kan det gå til, at et IT-firma end ikke har overvågning af indtrængere i forbindelse med følsomme registre? Hver eneste gang, der gives adgang, bør det registreres og konfirmeres af en autoriseret administrator. Når denne administrator ikke er på arbejde, bør man slukke for systemerne. Så er hacking ligesom ikke muligt.

  • more_vert
    • insert_linkKopier link
31
Jesper Høgh
7. juni 2013 kl. 16:54
  • more_vert
    • insert_linkKopier link
28
Jan E. Sørensen
7. juni 2013 kl. 08:03

Når Rigspolitiet outsourcer en så vigtig og følsom del af forretningen, må der følge en ansvar med.

Derfor spørger jeg: Hvem hos CSC er blevet holdt ansvarlig og anholdt? Og hvem hos politiet, der vel stadig har ansvaret for de data, de outsourcer?

MVH Jan - der går ind for at chefer drages til ansvar for deres evt. forsømmelser

  • more_vert
    • insert_linkKopier link
29
Jesper Høgh
7. juni 2013 kl. 10:26
  • more_vert
    • insert_linkKopier link
27
Jesper Høgh
6. juni 2013 kl. 20:09

Hvis man skærer helt ind til benet, hvem/hvad er så årsagen til at det kan lade sig gøre at hacke sig til oplysninger, der vel burde opbevares under samme sikkerhedsforanstaltninger som de brittiske kronjuveler?

Jeg har intet belæg for at beskylde CSC for at være nogle paphoveder, så dét undlader jeg naturligvis.

Men, jeg har en grum mistanke om, at (forudsat at CSC altså ikke er nogle paphoveder) CSC i deres system, som servicerer cpr registeret, har ladet indgå 3. parts byggesten, som CSC har tillid til, men som de ikke har verificeret som tillidsværdige.

Dette er naturligvis et spørgsmål om ressourcer. Altså, hvad skal afsættes til drift og hvad skal afsættes til aktionærer.

I det hele taget bekymrer det mig, at mere og mere såkaldt sikkerhedssoftware i stadig højere grad bygger på (proprietær - men det er en anden snak) 3. parts software, som måske igen i et antal niveauer bygger på 3. parts software.

CSC har jo ikke haft en kinamands chance for at kunne konstatere deres service sikker. Men de har solgt den som værende sikker.

Hvis ikke det er krimminelt, så må det da mindst være ret kritisabelt :o)

  • more_vert
    • insert_linkKopier link
26
John Vedsegaard
6. juni 2013 kl. 17:46

Så må vi da bare alle sammen gå op til en ny køreprøve, er det ikke 500 kroner det koster, hver gang. Sikken en masse penge politikerne får at lege med, måske skal de ligefrem have mere i pension:( Eventuelt man kunne bruge pengene på kurser i IT-sikkerhed, der er åbenbart mange IT-ansatte som ikke aner hvad sikkerhed betyder, det her har vi jo set mange gange før og det bliver heller ikke sidste gang.

  • more_vert
    • insert_linkKopier link
22
Thomas Jørgensen
6. juni 2013 kl. 15:39

Vi kan godt lige blive enige om, at hvis nogen kan tilgå sikre data, så er det fordi sikkerheden er for dårlig..

Istedet for at spilde tid på at lede efter "hackere", så anmeld CSC til politiet for utilstrækkelig datasikkerhed. Det er da for dårligt.

-Thomas Jørgensen

  • more_vert
    • insert_linkKopier link
21
Kenn Nielsen
6. juni 2013 kl. 14:31

Som man hører i medierne i dag, så er der også andre registre. Nogle schengen-ting bl.a.

Man må antage at meget andet også er kopieret.

  • Hvad f.eks. med de databaser som vi helst ikke må vide eksisterer ?

K

  • more_vert
    • insert_linkKopier link
17
Egon Jensen
6. juni 2013 kl. 13:57

Hvad der i dag bliver offentliggjort som "breaking news", blev opdaget i august 2012, dvs. 9 måneder siden. Men "selvfølgelig" bliver så noget hemmeligholdt. For ikke skaber utryghed blandt borgere? -- Så må man spørge, hvorfor det så bliver offentliggjort i dag, når man tilsyneladende ikke er kommet ét skridt videre i sagen? (Endnu et læk?!) Og som borger bør man vist spørge sig selv, hvilke alvorlige sikkerhedbrist der sker i dag, som vi i marts 2014 vil høre om som "breaking news"?

  • more_vert
    • insert_linkKopier link
19
Anders Reinhardt Hansen
6. juni 2013 kl. 14:04
  • more_vert
    • insert_linkKopier link
16
Morten Kristiansen
6. juni 2013 kl. 13:53

...var vel at alle numre og adresser blev offentliggjort således ALLE kan komme ud over den vrangforestilling at CPR kan bruges til authentication.

  • more_vert
    • insert_linkKopier link
25
Kjeld Flarup Christensen
6. juni 2013 kl. 17:12

Ud over at offentliggøre alle navne, så burde der også offentliggøres pasfotos, således at enhver hurtigt kunne slå op og se om det nu også var den person.

  • more_vert
    • insert_linkKopier link
14
Jakub Nielsen
6. juni 2013 kl. 13:21

Gottfrid er jo en af de raske drenge, som blot er lidt misforstået af det offentlige system (fri data til alle) og som vi burde ansætte til at kikke efter vores hemmelige data, frem for at anklage ham for noget som helst.

  • more_vert
    • insert_linkKopier link
18
Anders Reinhardt Hansen
6. juni 2013 kl. 14:01

Rolig nu
Gottfrid er jo en af de raske drenge, som blot er lidt misforstået af det offentlige system (fri data til alle) og som vi burde ansætte til at kikke efter vores hemmelige data, frem for at anklage ham for noget som helst.

Han er sigtet for at have stjålet 24.000 fra en konto hos nordea i samme omgang... Så good guy er han vel næppe, at man vil kriminalisere sig selv til egen fordel for 24000 kan jeg dog ikke forstå.

  • more_vert
    • insert_linkKopier link
24
Jakub Nielsen
6. juni 2013 kl. 16:12

Han er en idiot - min kommentar gik på, at man ofte oplever folk som forsvarer typer som ham, med begrundelsen at de er misforstået af et ondt system.

  • more_vert
    • insert_linkKopier link
12
Anders Reinhardt Hansen
6. juni 2013 kl. 13:13

Er det kun mig der tænker over at man kan bestille nemid OG at der kan være ændret i registret, f.eks. folks folkeregister addresse?

  • more_vert
    • insert_linkKopier link
9
Thomas Johansen
6. juni 2013 kl. 11:46

Mere af den her slags så staten bliver tvunget til at devaluere sikkerheden i brug CPR numre.

  • more_vert
    • insert_linkKopier link
7
Jarnis Bertelsen
6. juni 2013 kl. 11:43

Der er ikke nogen skam i at blive hacket, men hvorfor skulle det tage fem måneder at opdage og lukke hullet?

  • more_vert
    • insert_linkKopier link
10
Ove Andersen
6. juni 2013 kl. 11:50

CSC havde nok for travlt med at finde ud af hvem de skulle fyre næste gang, og derved havde de ikke tid til at holde øje med deres systemer ;)

  • more_vert
    • insert_linkKopier link
11
Morten Fordsmand
6. juni 2013 kl. 12:31

CSC havde nok for travlt med at finde ud af hvem de skulle fyre næste gang, og derved havde de ikke tid til at holde øje med deres systemer ;)

Nej da de havde bare reduceret dem, der skulle holde øje.

  • more_vert
    • insert_linkKopier link
6
Klaus Elmquist Nielsen
6. juni 2013 kl. 11:34

Dette er chancen for et opgør med brugen af CPR nummer som autentifikation af borgere. Med lidt held kunne man gøre identitetstyveri langt mere kompliceret end det er i dag. Ville ikke være nogen dårlig ide, faktisk!

  • more_vert
    • insert_linkKopier link
8
Andreas Korsgaard
6. juni 2013 kl. 11:45

Fuldstændig enig. Det ville være en oplagt mulighed for at gå væk fra et 10 cifret tal som autentifikation af personer, og nøjes med at lade det være en identifikation.

  • more_vert
    • insert_linkKopier link
4
Mads Bahrt
6. juni 2013 kl. 11:27

Kan vi så snart komme ud over den wrangforestilling at 4 cifre (som ovenikøbet skal indkode køn og som regel overholder et modulus 11 check) udgør nogen form for sikker identifikation?

  • more_vert
    • insert_linkKopier link
5
Martin Nyhjem
6. juni 2013 kl. 11:34

Heldigvis er det jo kun et journalnummer hehe.. Magrethe Vestager er i hvert fald af den opfattelse..

"En central spærring kan være relevant til beskyttelse af hemmelige PIN-koder og kodeord – ikke til beskyttelse af et personnummer, som mere kan betragtes som borgerens journalnummer i offentlige og private systemer,« skriver ministeren i svaret."

  • more_vert
    • insert_linkKopier link
2
ab ab
6. juni 2013 kl. 11:24

Jeg afventer med spænding PHK's krav om livsvarigt fængsel til de ansvarlige i denne sag... ;-)

  • more_vert
    • insert_linkKopier link
1
Mads Jeppesen
6. juni 2013 kl. 11:16

Eller skal vi have nye Nem-ID?

  • more_vert
    • insert_linkKopier link
13
Allan Astrup Jensen
6. juni 2013 kl. 13:16

Et sådant register burde slet ikke være i et privat firma, men hos Politiet. Denne episode er vel nok til at det kan blive flyttet?

  • more_vert
    • insert_linkKopier link
3
Martin Kofoed
6. juni 2013 kl. 11:24

Rolig nu! "Der er ikke tegn på misbrug".

;)

  • more_vert
    • insert_linkKopier link
15
Allan Astrup Jensen
6. juni 2013 kl. 13:22

Hvad skulle man hacke for, hvis det ikke for at misbruge oplysningerne? Det vil tage lang tid måske år før det opdages. Derfor ligesom vi skal have nyt kreditkort regelmæssigt og når oplysningerne er sluppet ud og kan blive misbrugt, så må person nummeret selvfølgelig også udskiftes. Alt andet er letsindigt!

  • more_vert
    • insert_linkKopier link