Rigspolitiets hemmelige bitcoin-våben fik Datatilsynet til at stejle

Rigspolitiet har uden tilladelse sendt danske persondata til USA for at blive behandlet af selskabet Chainalysis. Som Version2 kunne berette fredag morgen, har praksissen udløst kontant kritik fra Datatilsynet, der kræver et øjeblikkeligt stop for data-forsendelser hen over Atlanten.

Chainalysis beskrives af Datatilsynet som en amerikansk databehandler – men hvad der ikke fremgår af afgørelsen er, at Chainalysis er dansk såvel som amerikansk og arbejder med at analysere data på kryptovalutaen bitcoins blockchain for at spore cyberkriminelle, der fx kræver løsepenge via ransomware i den digitale valuta.

Det faktum er ikke mindst bemærkelsesværdigt, fordi Rigspolitiet i marts ikke ville afsløre, hvilke konkrete værktøjer man havde taget i brug i kampen mod kriminelle, der bruger bitcoins.

Dengang erklærede daværende chef for Rigspolitiets cyberenhed, NC3, Kim Aarenstrup, at en ‘ny metode’ betyder, at politiet kan spore hidtil anonyme personer, der bruger bitcoins til at betale for børneporno, stoffer eller andre kriminelle aktiviteter.

»Tidligere har det været sådan, at når man overgik til den virtuelle valuta, så blev politiet koblet fra. Og der er vi nu i stand til at fortsætte efterforskningen og i visse situationer finde frem til gerningsmanden,« sagde Kim Aarenstrup dengang til Version2.

Han ville dog ikke løfte sløret for, konkret hvordan NC3 nu er i stand til at afsløre identiteten bag bitcoin-handlende på darknet.

»Vi vil helst ikke gå for meget i detaljer, fordi vi dermed hjælper de forkerte personer,« forklarede Aarenstrup, der i sommer blev ansat i logistikvirksomheden DSV.

Men nu er en grad af detaljer altså kommet ud – via Datatilsynets afgørelse. Heri fastslår tilsynet, at Rigspolitiet ikke har tilladelse til at sende data til Chainalysis i USA, hvilket er et krav, fordi kontrakten mellem Rigspolitiet og Chainalysis afviger fra EU-Kommissionens standardbestemmelser.

Det kræver altså enten Datatilsynets tilladelse eller en ny databehandlerkontrakt at fortsætte samarbejdet – og dette skal ifølge Rigspolitiet nu være løst. Hvis det midlertidige forbud har haft konsekvenser for efterforskningen, er det ikke noget, Rigspolitiet vil uddybe:

»Af politioperative årsager ønsker vi ikke at kommentere brugen af konkrete efterforskningsmetoder og har derfor heller ikke kommentarer til, hvilken betydning Chainalisys (sic) har for vores arbejde,« skriver Rigspolitiets pressechef, Thomas Kristensen, i en mail til Version2.

Det er værd at bemærke, at NC3 tidligere har understreget, at myndigheden har adgang til flere end ét værktøj, og der kan således være andre virksomheder, der assisterer politiet med at forfølge kriminelle i cyberspace.

Analyse i blockchain

Chainalysis, der har eksisteret i godt to et halvt år, underskrev i 2016 en såkaldt Memorandum of Understanding med Europol, der ønsker at bruge softwaren i opklaringsarbejdet.

»De mener, de har brug for værktøjet. Ikke mindst fordi cyberkriminalitet i stigende grad hænger sammen med darkmarkets, hvor man for eksempel kan købe hackerværktøjer,« fortalte selskabets danske direktør, Michael Grønager, dengang til Version2.

Bitcoins blockchain indeholder information om samtlige transaktioner, og den data er offentlig. Til gengæld er der mange muligheder for at sløre det digitale spor, hvis man som bitcoin-bruger ønsker at undgå ordensmagtens opmærksomhed.

Med blockchain-efterforskning er man – som med alt andet efterforskningsarbejde – delvist afhængig af, at gerningsmænd begår fejl.

»Alle dine transaktioner efterlader et netværk af spor. Jo længere tid det foregår, desto større mulighed er der for, at der kommer huller i netværket. Hvis en person for eksempelvis bruger en bitcoin, som han har ejet fra før, han begyndte at obfuskere sit spor, vil politiet med vores værktøj kunne finde ud af det,« har Michael Grønager forklaret om Chainalysis.