Rigspolitiet: Kørekort-register hos CSC er blevet hacket

Illustration: Virrage Images/Bigstock
Hackere har i fem måneder haft adgang til mainframes hos CSC og har downloadet data fra kørekortregistret og Schengen-registre. Det oplyser Rigspolitiet, der nu har anholdt en dansk mand, og kræver en svensker udleveret.

Fra april til august 2012 har hackere haft adgang til fortrolige systemer hos CSC. Flere af politiets databaser er blevet hacket, og ’et stort antal filer’ er blevet downloadet af hackerne. Det oplyser Rigspolitiet i en pressemeddelelse.

Blandt andet er der downloadet CPR-numre fra kørekort-registret samt data om efterlyste personer i Schengen-registre.

»Det er ikke konstateret, at der skulle være foretaget ændringer i registrene, men det kan på nuværende tidspunkt ikke udelukkes,« skriver Rigspolitiet i pressemeddelelsen.

»Der er tale om et alvorligt brud på den it-sikkerhed, der nødvendigvis skal være omkring politiets registre, og som vi forventer, at CSC til enhver tid sikrer. Derfor ser politiet på sagen med den største alvor. Det er naturligvis helt uacceptabelt, at det har været muligt at få adgang til politiets registre trods de meget høje sikkerhedsstandarder, som vi kræver og forventer af vores leverandør,« udtaler rigspolitichef Jens Henrik Højbjerg.

Læs også: Anonymous slår til i Danmark: Vi har hacket CPR.dk og Atea

På samme mainframe-system har blandt andet Skat, CPR og Moderniseringsstyrelsen data liggende, men der er ikke konstateret indbrud i disse systemer, skriver Rigspolitiet.

Der er heller ikke set tegn på, at de stjålne oplysninger er blevet misbrugt.

Politiet skriver, at en svensk statsborger er mistænkt i sagen, og at han i øjeblikket er fængslet i Sverige i en anden sag. Københavns Politi har onsdag anholdt en dansk mand, der mistænkes for også at have forbindelse til sagen.

Læs også: Politiet bekræfter: Kræver Pirate Bay-stifter udleveret for CSC-hacking

Den svenske mand er efter alt at dømme Gottfrid Svartholm Warg, der var med til at stifte Pirate Bay. Han er nu anklaget for hacking mod en række svenske systemer, blandt andet Nordeas mainframe-systemer. Udbyttet ved indbruddet i Nordeas systemer blev 24.000 kroner, som forsvandt fra en dansk fagforenings konto.

Læs også: Hemmelig rapport: Sådan blev den svenske centraladministration hacket

Version2 følger op på sagen.

Hackerangreb mod CSC under optrævling

Rigspolitiet har sammen med CSC konstateret, at gerningsmændene i perioden fra april til august 2012 har downloadet et stort antal filer fra CSCs mainframe-anlæg. Det drejer sig blandt andet om oplysninger fra politiets kørekortregister, herunder CPR-numre, samt oplysninger om efterlyste personer i Schengen-registrene.

Det er ikke konstateret, at der skulle være foretaget ændringer i registrene, men det kan på nuværende tidspunkt ikke udelukkes.

På samme mainframe-anlæg hos CSC befinder sig også registre fra andre myndigheder. Det drejer sig blandt andet om SKAT, CPR og Moderniseringsstyrelsen. Det er ikke konstateret, at gerningsmændene skulle have haft adgang til disse registre, hentet oplysninger i dem eller ændret oplysninger, men det kan ikke udelukkes.

Rigspolitichef Jens Henrik Højbjerg udtaler:

  • Der er tale om et alvorligt brud på den IT-sikkerhed, der nødvendigvis skal være omkring politiets registre, og som vi forventer, at CSC til enhver tid sikrer. Derfor ser politiet på sagen med den største alvor. Det er naturligvis helt uacceptabelt, at det har været muligt at få adgang til politiets registre trods de meget høje sikkerhedsstandarder som vi kræver og forventer af vores leverandør.

Politiet har ikke set tegn på, at gerningsmændene skulle have misbrugt nogen af oplysningerne.

Rigspolitiet har sikret sig, at CSC har arbejdet intensivt på at afklare omfanget af det omhandlede sikkerhedsbrist, og der er foretaget en række skridt for at genoprette sikkerheden i de berørte registre.

Samtidig har Rigspolitiet bedt Politiets Efterretningstjeneste om som national sikkerhedsmyndighed og IT-sikkerhedsmyndighed for politiet at foretage yderligere undersøgelser i sagen. Undersøgelserne foretages i tæt samarbejde med Center for Cybersikkerhed under Forsvarets Efterretningstjeneste.

Chefen for Politiets Efterretningstjeneste, Jakob Scharf, udtaler:

  • Formålet med undersøgelserne er dels at vurdere omfanget af sikkerhedsbruddet, og om andre offentlige IT-systemer kan være berørt, dels at sikre, at der træffes de nødvendige sikkerhedsforanstaltninger på baggrund af sagen. Der foretages i den forbindelse en grundig sikkerhedsmæssig gennemgang af politiets IT-systemer. Såfremt efterforskningen eller de yderligere undersøgelser i sagen giver anledning hertil, vil myndigheder eller andre, som må anses for berørt af sikkerhedsbruddet, modtage nærmere underretning.

En svensk statsborger er mistænkt i sagen. Han er i øjeblikket frihedsberøvet i Sverige i en anden sag, og dansk politi har nu begæret ham udleveret. Københavns Politi har onsdag anholdt en dansk mand, der mistænkes for også at have forbindelse til sagen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (31)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Mads Bahrt

Kan vi så snart komme ud over den wrangforestilling at 4 cifre (som ovenikøbet skal indkode køn og som regel overholder et modulus 11 check) udgør nogen form for sikker identifikation?

  • 29
  • 0
Martin Nyhjem

Heldigvis er det jo kun et journalnummer hehe.. Magrethe Vestager er i hvert fald af den opfattelse..

"En central spærring kan være relevant til beskyttelse af hemmelige PIN-koder og kodeord – ikke til beskyttelse af et personnummer, som mere kan betragtes som borgerens journalnummer i offentlige og private systemer,« skriver ministeren i svaret."

  • 7
  • 0
Jakub Nielsen

Gottfrid er jo en af de raske drenge, som blot er lidt misforstået af det offentlige system (fri data til alle) og som vi burde ansætte til at kikke efter vores hemmelige data, frem for at anklage ham for noget som helst.

  • 1
  • 6
Allan Astrup Jensen

Hvad skulle man hacke for, hvis det ikke for at misbruge oplysningerne? Det vil tage lang tid måske år før det opdages. Derfor ligesom vi skal have nyt kreditkort regelmæssigt og når oplysningerne er sluppet ud og kan blive misbrugt, så må person nummeret selvfølgelig også udskiftes. Alt andet er letsindigt!

  • 0
  • 0
Egon Jensen

Hvad der i dag bliver offentliggjort som "breaking news", blev opdaget i august 2012, dvs. 9 måneder siden. Men "selvfølgelig" bliver så noget hemmeligholdt. For ikke skaber utryghed blandt borgere? -- Så må man spørge, hvorfor det så bliver offentliggjort i dag, når man tilsyneladende ikke er kommet ét skridt videre i sagen? (Endnu et læk?!) Og som borger bør man vist spørge sig selv, hvilke alvorlige sikkerhedbrist der sker i dag, som vi i marts 2014 vil høre om som "breaking news"?

  • 0
  • 0
Anders Reinhardt Hansen

Rolig nu Gottfrid er jo en af de raske drenge, som blot er lidt misforstået af det offentlige system (fri data til alle) og som vi burde ansætte til at kikke efter vores hemmelige data, frem for at anklage ham for noget som helst.

Han er sigtet for at have stjålet 24.000 fra en konto hos nordea i samme omgang... Så good guy er han vel næppe, at man vil kriminalisere sig selv til egen fordel for 24000 kan jeg dog ikke forstå.

  • 4
  • 0
Anders Reinhardt Hansen
  • 2
  • 0
Thomas Jørgensen

Vi kan godt lige blive enige om, at hvis nogen kan tilgå sikre data, så er det fordi sikkerheden er for dårlig..

Istedet for at spilde tid på at lede efter "hackere", så anmeld CSC til politiet for utilstrækkelig datasikkerhed. Det er da for dårligt.

-Thomas Jørgensen

  • 0
  • 0
John Vedsegaard

Så må vi da bare alle sammen gå op til en ny køreprøve, er det ikke 500 kroner det koster, hver gang. Sikken en masse penge politikerne får at lege med, måske skal de ligefrem have mere i pension:( Eventuelt man kunne bruge pengene på kurser i IT-sikkerhed, der er åbenbart mange IT-ansatte som ikke aner hvad sikkerhed betyder, det her har vi jo set mange gange før og det bliver heller ikke sidste gang.

  • 1
  • 0
Jesper Høgh

Hvis man skærer helt ind til benet, hvem/hvad er så årsagen til at det kan lade sig gøre at hacke sig til oplysninger, der vel burde opbevares under samme sikkerhedsforanstaltninger som de brittiske kronjuveler?

Jeg har intet belæg for at beskylde CSC for at være nogle paphoveder, så dét undlader jeg naturligvis.

Men, jeg har en grum mistanke om, at (forudsat at CSC altså ikke er nogle paphoveder) CSC i deres system, som servicerer cpr registeret, har ladet indgå 3. parts byggesten, som CSC har tillid til, men som de ikke har verificeret som tillidsværdige.

Dette er naturligvis et spørgsmål om ressourcer. Altså, hvad skal afsættes til drift og hvad skal afsættes til aktionærer.

I det hele taget bekymrer det mig, at mere og mere såkaldt sikkerhedssoftware i stadig højere grad bygger på (proprietær - men det er en anden snak) 3. parts software, som måske igen i et antal niveauer bygger på 3. parts software.

CSC har jo ikke haft en kinamands chance for at kunne konstatere deres service sikker. Men de har solgt den som værende sikker.

Hvis ikke det er krimminelt, så må det da mindst være ret kritisabelt :o)

  • 2
  • 0
Jan E. Sørensen

Når Rigspolitiet outsourcer en så vigtig og følsom del af forretningen, må der følge en ansvar med.

Derfor spørger jeg: Hvem hos CSC er blevet holdt ansvarlig og anholdt? Og hvem hos politiet, der vel stadig har ansvaret for de data, de outsourcer?

MVH Jan - der går ind for at chefer drages til ansvar for deres evt. forsømmelser

  • 2
  • 0
Jesper Høgh
  • 2
  • 0
Steen Jensen

hel.... kan det gå til, at et IT-firma end ikke har overvågning af indtrængere i forbindelse med følsomme registre? Hver eneste gang, der gives adgang, bør det registreres og konfirmeres af en autoriseret administrator. Når denne administrator ikke er på arbejde, bør man slukke for systemerne. Så er hacking ligesom ikke muligt.

  • 0
  • 0
Jesper Høgh
  • 0
  • 0
Log ind eller Opret konto for at kommentere