Rigspolitiet overvejer sag mod CSC

1. september 2014 kl. 09:0117
Mens Rigspolitiet overvejer sag mod CSC efter hackersag, sender it-leverandøren et erstatningskrav mod de to tiltalte i sagen.
person
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
person

CSC bliver måske politianmeldt efter hackersagen fra 2012, hvor CSC's it-systemer i næsten fem måneder var blottet til blandt andet politiets, Skats og cpr-kontorets databaser. Det skriver Politiken.

I et svar til Enhedslistens retsordfører, Pernille Skipper, oplyser justitsminister Karen Hækkerup (S), at Rigspolitiet overvejer at politianmelde CSC for at have svigtet sin opgave med at beskytte en række statslige databaser, der rummer fortrolige oplysninger om borgerne.

»Rigspolitiet afventer blandt andet Datatilsynets udtalelse, før der træffes endelig beslutning herom,« skriver ministeren.

I sidste uge udkom to rapporter fra Center for Cybersikkerhed (CFCS) om hackerangrebet. Ud over at slå fast, at hackerne med sikkerhed har kopieret oplysninger fra politiets systemer, rejser CFCS kritik over at have haft sårbare systemer, ligesom der peges fingre ad Rigspolitiet for at have været for ukritisk over for sin it-leverandør.

Artiklen fortsætter efter annoncen

Justitsministeren indrømmer, at der har været svigt i sagen og siger til Politiken:

»Vi må konstatere, at datasikkerheden ikke har været god nok. Det skal alle offentlige myndigheder lære af.«

CSC holder fast i, at selskabet ikke kunne have handlet anderledes i forløbet, da sårbarheden, som hackerne udnyttede i 2012, var ukendt i hele branchen.

Offentlig sektordirektør i selskabet Jette Aagaard Madsen oplyser, at CSC ikke har modtaget noget krav fra Rigspolitiet. Til gengæld henviser hun til retssagen mod en 21-årig dansker og en svensk statsborger, der indledes i morgen, tirsdag, hvorunder CSC undervejs i sagen vil rejse et krav på 6-7 millioner kroner.

Den tiltalte dansker har nu siddet varetægtsfængslet i 15 måneder.

Emner
17 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
15
Daniel Udsen
3. september 2014 kl. 11:56

Underlig dobbeltsnak

"Rigspolitiet overvejer at politianmelde"

Hvem er det de vil politianmelde til? Og hvem skal politianmeldes: politiet, eller politiets samarbejdspartnere?

Men igen det er problemet de samme chefer der dybest set er med ansvarlige for eventuelle lovbrud skal også træffe valget om man realt skal undersøge om der er sket realt lovbrud ved ikke at føre korrekt tilsyn med driften.

I de jer sager, hvor politiet er en potentiel part i en sag, burde det værre en anden myndighed en politiet(og den almindelige anklagemyndighed hører i praksis ind under politiet) der står for at undersøge og retsforfølge.

  • more_vert
    • insert_linkKopier link
13
John Michael Foley
2. september 2014 kl. 08:39

CSC har mange kompromitteringssager på samvittigheden. Den aktuelle og meget omtalte er blot den mest kendte. Alligevel får det ingen konsekvenser, hverken for politiet eller CSC. Selvom der løbende dokumenteres kompromitteringssager, hvor bl.a. CSC er involveret, har eller får det ingen konsekvenser. Den offentlige sektor, fortsætter (for borgernes penge) med at tegne uduelige kontrakter med CSC. Befolkningen er til grin for egne skattepenge, og politikerne ser den anden vej.

  • more_vert
    • insert_linkKopier link
12
Knud Jensen
2. september 2014 kl. 07:41

CSC holder fast i, at selskabet ikke kunne have handlet anderledes i forløbet, da sårbarheden, som hackerne udnyttede i 2012, var ukendt i hele branchen.

Hvis CSC kun handler på sikkerhedsbrister som er kendt i hele branchen, så burde de da fyres som leverandør øjeblikkeligt og helt udelukkes for omgang med personfølsomt data.

  • more_vert
    • insert_linkKopier link
14
Peter Rosenberg
3. september 2014 kl. 10:46

Stryg ordet "kun" ! Så vil jeg bagefter spørge - hvordan vil du handle på brister der er ukendte ?

  • more_vert
    • insert_linkKopier link
16
Knud Jensen
3. september 2014 kl. 12:25

Stryg ordet "kun" !
Så vil jeg bagefter spørge - hvordan vil du handle på brister der er ukendte ?

Jeg vil mene at enhver database med følsomme oplysninger som udgangspunkt bør have regler sat op for "unormal adfærd". Og det bør man altid handle på.

eks.:

Er brugeren logget ind uden for normal arbejdstid? Er MAC-adressen fra brugeren gyldig, og passer svartiderne med det forventede? Er brugeren logget ind fra en underlig lokation? Er brugeren logget ind flere steder på en gang? Hiver brugeren for meget information ud? Måske endda et helt table på en gang. Har brugeren overhovedet ret til at tilgå de data som hentes? osv.

Der stod i den anden nyhed her på siden:

I en krypteret container på wargs computer er der blandt andet fundet udtræk fra Schengen-systemet vedrørende igangværende efterforskninger, ligesom der også er fundet data fra kriminalregistret, personnumre på danske statsborgere og brugernavne og passwords til hele CSCs brugerdatabase.

Og specielt den sidste del "brugernavne og passwords til hele CSCs brugerdatabase." bør som minimum være noget der får alarmklokker til at ringe i systemet

  • more_vert
    • insert_linkKopier link
17
Peter Rosenberg
3. september 2014 kl. 13:28

Jamen, det er jeg da enig i, men det er heller ikke ukendte faktorer. Det handler om at stille anvendelsesorienterede policies op, for hvad man kan forvente af brugsmønstre. Det brugsmønstre, kan sædvanligvis ikke laves uden kundens medvirken, bortset fra de åbenlyse du selv nævner. Men vil kunden ryste ud med sådanne mønstre som de (måske rettelig) skal betale for opsætning, monitorering og håndtering af ? Det er sjældent der står noget om dette i udbudsmaterialer.

  • more_vert
    • insert_linkKopier link
7
Albert Nielsen
1. september 2014 kl. 13:27

Når Rigspolitiet melder ud, at de "overvejer sag mod CSC" betyder det med næsten 100% sikkerhed, at de ikke politianmelder CSC.

I de fleste tilfælde er en udmelding om at "overveje en anmeldelse" blot en fanfare, som skal fortælle den måbende omverden, at man skam er mægtig årvågen og aktiv.

  • more_vert
    • insert_linkKopier link
10
Finn Christensen
1. september 2014 kl. 16:03

Når Rigspolitiet melder ud, at de "overvejer sag mod CSC" betyder det med næsten 100% sikkerhed, at de ikke politianmelder CSC.

Lige netop ellers er konsekvensen jo, at de kan trække hinanden rundt i manegen til mediernes glæde og fornøjelse, og efter nogen tid så laves der et forlig (som ingen må udtale sig om), og alle har nu udført deres kgl. udnævnte gerning, og kan sove roligt igen.

Anmeldelse er dårligt for forretningen.. så nej. Tilmed unødvendigt da Center for Cybersikkerhed (CFCS) m.fl. godt ved, at god datasikkerhed, lukkede skodder, ingen samkørsel af registre etc. kun er politikersprog uden hold i virkeligheden.. altså noget vrøvl.

Datasikkerheden er vejet/målt/testet og den er for ringe konstaterer CFCS i en ny rapport[1]. Hvorfor man så afventer Datatilsynet PHK, kan måske skyldes at de som tilsyn jo har et ansvar, der skal under luppen ..http://www.version2.dk/artikel/rapport-efter-csc-hackersag-myndighederne-har-daarlig-it-sikkerhed-generelt-68381

Internt i Koncernen spørger man pænt fætter og kusine før man tromler frem. Derefter skriver fætter og kusine sig ud af problemerne, hvor melodien har omkvædet: "send flere penge, mandskab og materiel", og det er ganske vidst.[2]

[1].. Rapport Aug 2014 ..http://www.ft.dk/samling/20131/almdel/reu/bilag/353/1394280.pdf [2].. http://www.andersenstories.com/da/andersen_fortaellinger/det_er_ganske_vist

  • more_vert
    • insert_linkKopier link
5
Joe Sørensen
1. september 2014 kl. 12:23

CSC holder fast i, at selskabet ikke kunne have handlet anderledes i forløbet, da sårbarheden som hackerne udnyttede i 2012 var ukendt i hele branchen.

Var der tale om en zero-day sårbarhed? Jeg troede sådan set bare at han havde læst den email, hvor password'et stod i.

  • more_vert
    • insert_linkKopier link
4
Christian Nobel
1. september 2014 kl. 11:51

Hvordan kan man i et retssamfund acceptere at varetægtsfængsle i 15 måneder?

Jeg vil slet ikke tage stilling til skyld eller ej, men det forekommer mig påfaldende at sagen ikke kan bringes for en domstol før.

Er problemet at der i virkeligheden ikke er nogen (gode nok) beviser, og man derfor oppeholder varetægtsfængslingen mens man desperat prøver at finde noget at bygge en sag op på?

Ikke et retssamfund værdigt.

  • more_vert
    • insert_linkKopier link
11
Nicolai Rasmussen
1. september 2014 kl. 16:22

Hvordan kan man i et retssamfund acceptere at varetægtsfængsle i 15 måneder?

Meget simpelt: Det kan man ikke. - Men vi er heller ikke længere et retssamfund.

Efter vedtagelse af terrorlovene og rockerlovene er vi ikke længere at betragte som et retssamfund. Vi er måske stadig et delvist demokrati, men departementschefen og nationalbankdirektøren er ikke på valg. De hemmelige tjenester er i alt væsentlighed udenfor kontrol. Politiet gør det bedste de kan, men det inkluderer ikke at erkende egne fejl. Dommerstanden og politimestrene har i alt væsentlighed fælles baggrund, og denne er (for alt væsentlighed) ikke forskellig fra de ledende kræfter i justitsministeriet - Nepotisme er det måske ikke, men indspist det er det.

FAKTA: Vi kan i dag som borger i Danmark dømmes for noget vi ikke er blevet oplyst, efter beviser vi ikke må se, på baggrund af hemmelige vidner. Det kan ske i en retssag hvor forsvaret ikke må diskuttere beviserne med anklagede - Hvis du ikke tror på det, så led efter den glimrende P1 dokumentar der omhandler ovenstående. Det er desværre rigtigt. Disse juridiske banan-republik-værktøjer vurderes af flere advokater at blive brugt jævnligt. Der føres selvfølgelig ikke statistik over brugen...

  • more_vert
    • insert_linkKopier link
9
Albert Nielsen
1. september 2014 kl. 13:35

Hvordan kan man i et retssamfund acceptere at varetægtsfængsle i 15 måneder?

Det er rart at kunne straffe uden dom, derfor.

Det er blevet anvendt af de danske myndigheder og magthavere i et uhyggeligt omfang gennem årtier. Den ældste sag, jeg personligt kender, var to vekselerer, som i 1970erne nægtede at erklære sig konkurs. De blev holdt varetægtsfængslede i ca. 1½ år. Ved den endelige bo-opgørelse var de solvente med mere end 10 mio. kr.

Oktober 2010: "Nye tal fra Justitsministeriet viser, at stadig flere danskere sidder fængslet i mange måneder, mens de venter på deres dom. ... Antallet af langvarigt varetægtsfængslede er steget med 15 procent fra 2008 til 2009. ... [tallet for 2009 udgør] en stigning på 75 procent i forhold til 2001" http://www.b.dk/danmark/overraskende-boom-i-lange-varetaegtsfaengslinger

"... kan være krænkende for befolkningens retssikkerhed. Især i sager, hvor den mistænkte sidder uskyldigt fængslet, mens politiet leder efter ordentlige beviser." http://www.dr.dk/Nyheder/Indland/2010/01/21/143925.htm

  • more_vert
    • insert_linkKopier link
8
Mikael Ibsen
1. september 2014 kl. 13:34

Jfr. tidligere sager, må det anses for sandsynligt, at der er varetægtsfængslet så længe, for at være sikker på, at den mistænkte, som ifgl. anklagemyndigheden naturligt anses for skyldig - og tilmed har generet selveste Rigspolitiet, hvilket næppe er en formildende omstændighed - får en straflignende behandling af en størrelsesorden, som anklagemyndigheden ville anse for passende i en dom.

Og sjovt nok er efterforskningen så lige præcis blevet færdig nu efter 15 mdr. - et dejligt rundt tal - idet der formodentligt samtidig er taget skyldigt hensyn til efterforskernes lave stress-tærskel.

Lur mig, om der ikke falder en dom i omegnen af 2½ år, svarende til "effektivværdien" af varetægtsfængslingen på de 15 måneder - det er også set før i historien.

Skulle den anklagede blive frikendt, tjah, så var det mest surt for ham, men det kan man jo desværre ikke rigtig gøre noget ved....

For de historisk interesserede kan jeg oplyse, at det, der med et næsten positivt ladet ord kaldes "Varetægtsfængsling", stort set svarer til tidligere tiders "Tilståelsesarrest", som erfaringsmæssigt ganske ofte virkede glimrende på seje misdædere og benægtere.

Om dette så er vort samfund værdigt, vil jeg overlade til andre at afgøre

  • more_vert
    • insert_linkKopier link
3
Morten Fordsmand
1. september 2014 kl. 11:19

Det er jo en kendt sag at man ikke kan outsource ansvaret for datasikkerhed, det er derfor i den sidste ende justitsministerens ansvar hvis sikkerheden ikke er tilstrækkelig.

Hvis man kan bevise at CSC ikke har løst sine opgaver (herunder eventuelle vejledningsforpligtigelser, og lovgrundlag) som beskrevet i den aftale om drift der er indgået, så kan man selvfølgelig rejse sag.

Men det er måske lidt uheldigt at justitsministeriet indtager lidt for mange roller i denne sag:

  • Forretningsejer og outsourcer
  • Anklagemyndighed
  • og så udnævner de endda dommere.

Så måske skulle Ombudsmanden kigge nærmere på denne sag?

  • more_vert
    • insert_linkKopier link
2
John Michael Foley
1. september 2014 kl. 10:48

Selvfølgelig skal hackerne - hvem de så måtte være - straffes, men CSCS's og politiets (læse Justitsministeriets) sikkerhedssvigt skal og bør også have konsekvenser. De er sat til at passe på befolkningens personfølsomme og fortrolige oplysninger og metadata, men svigter gang på gang. Næsten dagligt læses om kompromitteringssager med myndighedssvigt. Indtil nu har det ingen konsekvenser haft for hverken CSC eller politiet m.fl. Staten og CSC fortsætter som hidtil med at tegne kontrakter og borgeren er til grin for egne skattepenge. Og i Justitsministeriet vasker man hænder og "overvejer" en sag. Der er da ikke noget der skal overvejes. Kom igang. Det er da at kaste røgslør ud og at frasige sig et ansvar. Digitaliseringsstyrelsens og Center for Cyber(U)Sikkerheds nypublicerde rapport med anbefalinger har ingen retslig gyldighed (for så skulle man jo straffe sig selv) og den offentlige sektor og CSC kan fortsætte som hidtil.

  • more_vert
    • insert_linkKopier link
1
Poul-Henning Kamp
1. september 2014 kl. 10:09

Hvordan kan der overhovedet være noget "måske" over den anmeldelse ?

  • more_vert
    • insert_linkKopier link