Rigspolitiets hemmelige bitcoin-våben fik Datatilsynet til at stejle

7. oktober 2017 kl. 05:383
Kritik fra Datatilsynet sætter navn på et af Rigspolitiets værktøjer i kampen mod cyberkriminelle.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Rigspolitiet har uden tilladelse sendt danske persondata til USA for at blive behandlet af selskabet Chainalysis. Som Version2 kunne berette fredag morgen, har praksissen udløst kontant kritik fra Datatilsynet, der kræver et øjeblikkeligt stop for data-forsendelser hen over Atlanten.

Chainalysis beskrives af Datatilsynet som en amerikansk databehandler – men hvad der ikke fremgår af afgørelsen er, at Chainalysis er dansk såvel som amerikansk og arbejder med at analysere data på kryptovalutaen bitcoins blockchain for at spore cyberkriminelle, der fx kræver løsepenge via ransomware i den digitale valuta.

Det faktum er ikke mindst bemærkelsesværdigt, fordi Rigspolitiet i marts ikke ville afsløre, hvilke konkrete værktøjer man havde taget i brug i kampen mod kriminelle, der bruger bitcoins.

Dengang erklærede daværende chef for Rigspolitiets cyberenhed, NC3, Kim Aarenstrup, at en ‘ny metode’ betyder, at politiet kan spore hidtil anonyme personer, der bruger bitcoins til at betale for børneporno, stoffer eller andre kriminelle aktiviteter.

Artiklen fortsætter efter annoncen

»Tidligere har det været sådan, at når man overgik til den virtuelle valuta, så blev politiet koblet fra. Og der er vi nu i stand til at fortsætte efterforskningen og i visse situationer finde frem til gerningsmanden,« sagde Kim Aarenstrup dengang til Version2.

Han ville dog ikke løfte sløret for, konkret hvordan NC3 nu er i stand til at afsløre identiteten bag bitcoin-handlende på darknet.

»Vi vil helst ikke gå for meget i detaljer, fordi vi dermed hjælper de forkerte personer,« forklarede Aarenstrup, der i sommer blev ansat i logistikvirksomheden DSV.

Men nu er en grad af detaljer altså kommet ud – via Datatilsynets afgørelse. Heri fastslår tilsynet, at Rigspolitiet ikke har tilladelse til at sende data til Chainalysis i USA, hvilket er et krav, fordi kontrakten mellem Rigspolitiet og Chainalysis afviger fra EU-Kommissionens standardbestemmelser.

Artiklen fortsætter efter annoncen

Det kræver altså enten Datatilsynets tilladelse eller en ny databehandlerkontrakt at fortsætte samarbejdet – og dette skal ifølge Rigspolitiet nu være løst. Hvis det midlertidige forbud har haft konsekvenser for efterforskningen, er det ikke noget, Rigspolitiet vil uddybe:

»Af politioperative årsager ønsker vi ikke at kommentere brugen af konkrete efterforskningsmetoder og har derfor heller ikke kommentarer til, hvilken betydning Chainalisys (sic) har for vores arbejde,« skriver Rigspolitiets pressechef, Thomas Kristensen, i en mail til Version2.

Det er værd at bemærke, at NC3 tidligere har understreget, at myndigheden har adgang til flere end ét værktøj, og der kan således være andre virksomheder, der assisterer politiet med at forfølge kriminelle i cyberspace.

Analyse i blockchain

Chainalysis, der har eksisteret i godt to et halvt år, underskrev i 2016 en såkaldt Memorandum of Understanding med Europol, der ønsker at bruge softwaren i opklaringsarbejdet.

Artiklen fortsætter efter annoncen

»De mener, de har brug for værktøjet. Ikke mindst fordi cyberkriminalitet i stigende grad hænger sammen med darkmarkets, hvor man for eksempel kan købe hackerværktøjer,« fortalte selskabets danske direktør, Michael Grønager, dengang til Version2.

Bitcoins blockchain indeholder information om samtlige transaktioner, og den data er offentlig. Til gengæld er der mange muligheder for at sløre det digitale spor, hvis man som bitcoin-bruger ønsker at undgå ordensmagtens opmærksomhed.

Med blockchain-efterforskning er man – som med alt andet efterforskningsarbejde – delvist afhængig af, at gerningsmænd begår fejl.

»Alle dine transaktioner efterlader et netværk af spor. Jo længere tid det foregår, desto større mulighed er der for, at der kommer huller i netværket. Hvis en person for eksempelvis bruger en bitcoin, som han har ejet fra før, han begyndte at obfuskere sit spor, vil politiet med vores værktøj kunne finde ud af det,« har Michael Grønager forklaret om Chainalysis.

3 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
3
10. oktober 2017 kl. 09:34

Jeg ved ikke lige hvor persondata kommer ind i billedet.

Nu er det Rigspolitiet selv, som har valgt at fremsende en databehandleraftale for Chainalysis til Datatilsynet, så selvom Rigspolitiet i vanlig stil holder kortene tæt til kroppen, så må vi vist sige, at der er tale om en tilståelsessag i forhold til, om der er tale om personoplysninger i lovens forstand. En databehandleraftale, som Datatilsynet påpeger er utilstrækkelig.

Jeg tror ikke, at du får hverken Rigspolitiet eller Datatilsynet til at uddybe dette aspekt.

2
10. oktober 2017 kl. 08:41

Jeg ved ikke lige hvor persondata kommer ind i billedet. Det første tidspunkt man har persondata er, når man via en kendelse eller læk får nogle udtræk fra en BitCoin exchange. Dette navn kan vel holdes hemmeligt/pseudonymiseres af politiet.

Jeg ser ikke noget formål med at politiet sender personidentificerbare data til selskabet i USA, medmindre det er fordi at USA selskabet har nogle navne/konti databaser som der kan laves opslag i.