Artikel top billede

Officiel liste: Her er forsvarets tidligere datalæk

Mistede usb-stik, ukrypterede dokumenter og stjålne bærbare computere er blandt forsvaret datalæk.

Afsløringer i DR Deadline af hacker-angreb på danske styrker i Afghanistan i 2009 har sat fokus på forsvarets it-sikkerhed og lignende hændelser.

Allerede i februar 2011 sendte Forsvarsministeriet imidlertid en afgørelse på en aktindsigtsanmodning fra Computerworld.

Her i opremser Forsvaret blandt andet en stribe hændelser om såkaldte datalæk i 2009 og 2010.

"Mængden af rapporteringer vedr. tab af klassificerede data i henhold til ovenstående begrænser sig for 2009 og 2010 til ganske få tilfælde," slår forsvaret indledningsvist fast.

Til at besvare anmodningen har ministeriet kontaktet Forsvarets Efterretningstjeneste.

"Forsvarets Efterretningstjeneste har i 2009 modtaget rapporter om og behandlet følgende sager:

• Bortkomst af en klassificeret bærbar computer.
• 10 klassificerede dokumenter sendt uden kryptering over Internettet."

I 2010 lyder den tilsvarende liste således: 

"• Bortkomst af to klassificerede bærbare computere.
• To bortkomne klassificerede USB-stiks.
• Et klassificeret dokument sendt uden kryptering over internettet."

Imidlertid gør Forsvaret det klart, at der ikke er tale om meget alvorlige sager. 

Tyveri af fortroligt dokument

"Bortset fra et enkelt tilfælde har der for såvel 2009 som 2010 udelukkende været tale om data klassificeret til laveste grad, det vil sige TIL TJENESTEBRUG."

"Det enkeltstående tilfælde vedrørte tyveri fra en ekstern konsulent af en almindelig bærbar computer, hvor konsulenten havde lagt et dokument klassificeret FORTROLIGT på computeren," skriver forsvaret i afgørelsen.

Samtidig ønsker man ikke gå nærmere ind i episoderne.

"Det skal for ovennævnte sikkerhedshændelser supplerende oplyses, at Forsvarets Efterretningstjeneste fører journalliste over rapporterede og konstaterede hændelser, men at tjenesten af hensyn til sikkerheden generelt ikke ønsker at
videregive oplysninger om sikkerhedsmiljøet, herunder krypteringsmetoder, tid og sted for de enkelte hændelser eller tjenestens afhjælpende reaktioner."

"Disse oplysninger er således klassificerede af hensyn til væsentlige hensyn til statens sikkerhed og rigets forsvar, jf. offentlighedslovens § 13, stk. 1, nr. 1, idet en indsigt heri vil kunne bidrage til en svækkelse af sikkerhedsmiljøet", skriver kontorchef Klaus Munk Petersen.

Intet om Afghanistan-angreb

Imidlertid indeholder afgørelsen, som du kan læse i sin fulde længde her, intet om de netop afslørede hacker-angreb i 2009 på danske styrker i Afghanistan.

Forskningschef Oluf Jørgensen fra Danmarks Medie og Journalisthøjskole forklarer, at det kan skyldtes, at Forsvaret ganske enkelt ikke kendte til angrebene i 2009 før februar 2011.

Såfremt forsvaret kendte til angrebene, er der imidlertid tale om noget helt andet, vurderer Oluf Jørgensen.

Ekspert: Politisk ledelse afgør åbenhed

"Jeg ved ikke om Forsvaret 7.2.2011 har kendt til de lækage/virusangreb, der nu er kommet frem," udtaler Oluf Jørgensen med henvisning til dateringen af Forsvaret afgørelse på aktindsigt.

Imidlertid er det alvorligt, hvis Forsvaret kendte til angrebene.

"Hvis disse angreb var kendte, bliver der dækket over dem i svaret 7.2.2011," vurderer forskningschefen.

Det danske forsvar kunne vælge at være ligeså åbent som det norske, "men det er næppe muligt at gennemtvinge, hvis den politiske ledelse ikke ønsker denne åbenhed", lyder det fra Oluf Jørgensen.

Han slår fast, at forsvaret under alle omstændigheder ikke må vildlede.

"Forsvaret må ikke vildlede. Svaret 7.2.2011 giver indtryk af at indeholde en opregning (uden detaljer) om typer af kendte hændelser."

"Hvis forsvaret kendte flere hændelser på dette tidspunkt burde det fremgå, at forsvaret af hensyn til "sikkerhedsmiljøet" ikke vil oplyse om alle typer af hændelser," forklarer Oluf Jørgensen.
Computerworld arbejder på at få en kommentar fra Forsvarsministeriet.

Halvandet års sagsbehandling

Computerworld sendte i øvrigt aktindsigten om datalæk til samtlige ministerier, kommuner og regioner med henblik på en kortlægning af området.

Imidlertid har blandt andre Justitsministeriet haft en meget lang sagsbehandlingstid på omkring halvandet år.

Det kan du læse mere om her.

Her er Computerworlds aktindsigt

Afsendt den 22. december 2010
Klokken 09.22

Til Ministeriet

Computerworld ønsker hermed indsigt i følgende oplysninger:

1) Datalæk

Computerworld ønsker indsigt i hændelser, episoder eller begivenheder, der måtte have ført til læk af data i 2009 eller 2010 i ministeriet og dets styrelser.

Det vil sige hændelser, hvor data kan være:

- gemt på et usb-stik, som er blevet væk
- gemt på en bærbar computer, som er blevet væk
- stjålet af en medarbejder
- hugget af hackere eller tyve

Vi ønsker venligst oplyst a) dato og år for hændelserne, b) beskrivelse af datatype, c) hvad ministeriet/styrelsen foretog sig i forbindelse med datalækket og d) endelig ønsker vi tilsendt andre dokumenter på sagen i form af en eventuel journalliste, evaluering, orienteringer til data-ejere, orienteringer til personer eller firmaer omtalt i data, politianmeldelse af hændelse, ect.

2) Mistede bærbare computere

Computerworld ønsker ligeledes oplyst, hvor mange bærbare computere ministeriet/styrelsen har mistet i 2009 og 2010.

Herunder a) hvordan de blev mistet, b) hvilke data, der lå på dem, samt c) i givet fald om computerne var krypteret og hvordan.

3) Politik om persondata

Desuden ønsker Computerworld oplyst, hvilken politik ministeriet følger angående persondata.

Herunder særligt med hensyn til personfølsomme data eller andre følsomme data, der måtte være gået tabt via glemte USB-stik, mistede bærbare computere, ect.

- Er det fast praksis, at personer og virksomheder, hvis følsomme data og/eller persondata hos ministeriet/styrelsen er forsvundet, bliver direkte orienteret herom?

4) Opsagte it-folk i 2010

Udover ovenstående ønsker Computerworld indsigt i, hvorvidt ministeriet har opsagt ansatte i it-afdelingen i 2010.

Vi vil således gerne bede om at få oplyst, hvor mange ansatte kommunens it-afdeling havde henholdsvis a) den 1. januar 2010 og b) den 1. januar 2011.

5) Økonomi i 2011

Endelig vil vil venligst bede om indsigt i økonomiske forhold hos it-afdelingen.

I den forbindelse vil vi bede om at få oplyst, hvorvidt it-afdelingens budget bliver større, det samme eller mindre i 2011 end i 2010?

Således vil vi bede om at få oplyst it-afdelingens budget for henholdsvis a) 2010 og b) 2011.

Vi henviser til offentlighedslovens § 16 og dens bestemmelser om meroffentlighed samt justitsministeriets vejledning til offentlighedsloven, hvoraf det fremgår, at der bør vises pressen særlig imødekommenhed.

NB. Vi vil venligst bede om at afgørelsen på denne aktindsigt sendes elektronisk til denne mail-adresse: XXX@cw.dk.

Med venlig hilsen / Best regards

Kristian Hansen

Journalist
Computerworld Denmark
Hørkær 18
DK - 2730 Herlev

Phone: +45 77 300 300
www.computerworld.dk

Her er Forsvarets afgørelse - Side 1

Svar datereret den 7. februar 2011.

FORSVARSMINISTERIET
DANISH MINISTRY OF DEFENCE

Sagsbehandler: SHH
Sagsnummer.: 2010/004032
7. februar 2011

Kære Kristian Hansen

Forsvarsministeriet har i forlængelse af din forespørgsel af 22. december 2010 anmodet Forsvarets Efterretningstjeneste om en udtalelse omkring tab af data.

I den forbindelse har Forsvarets Efterretningstjeneste oplyst:

"Efter forsvarsministerens bestemmelse leder og kontrollerer Forsvarets Efterretningstjeneste på forsvarschefens vegne den militære sikkerhedstjeneste, herunder sikkerhedstjenesten i relation til private virksomheders arbejde på forsvarsområdet. Forsvarets Efterretningstjenestes opgave i den henseende
samt de sikkerhedsmæssige bestemmelser, herunder i relation til it-området, er beskrevet i Forsvarskommandoens Bestemmelse 358-1, der er tilgængelig via internettet (f.eks. via Forsvarets Efterretningstjenestes hjemmeside).

Det fremgår bl.a. heraf, at de datamedier, der behandler forsvarets klassificerede informationer, i sig selv skal være klassificerede og mærket i overensstemmelse med den grad af klassifikation, som det konkrete datamedie er godkendt
til at kunne behandle. Der gælder i den forbindelse særlige regler for håndtering af såvel klassificerede informationer som datamedier.

Inden for Forsvarsministeriets område skal alle ansatte, samarbejdspartnere og andre brugere rapportere ved begrundet mistanke om eller ved konstatering af hændelser, der har haft eller kan få indflydelse på fortrolighed, integritet eller tilgængelighed af informationer behandlet i koncernens informationssystemer.

Mængden af rapporteringer vedr, tab af klassificerede data i henhold til ovenstående begrænser sig for 2009 og 2010 til ganske få tilfælde.

Forsvarets Efterretningstjeneste har i 2009 modtaget rapporter om og behandlet følgende sager:

Her er Forsvarets afgørelse - Side 2

• Bortkomst af en klassificeret bærbar computer.
• 10 klassificerede dokumenter sendt uden kryptering over Internettet.

Forsvarets Efterretningstjeneste har i 2010 modtaget rapporter om og behandlet følgende sager:

• Bortkomst af to klassificerede bærbare computere.
• To bortkomne klassificerede USB-stiks.
• Et klassificeret dokument sendt uden kryptering over internettet.

Bortset fra et enkelt tilfælde har der for såvel 2009 som 2010 udelukkende været tale om data klassificeret til laveste grad, det vil sige TIL TJENESTEBRUG.
Det enkeltstående tilfælde vedrørte tyveri fra en ekstern konsulent af en almindelig bærbar computer, hvor konsulenten havde lagt et dokument klassificeret FORTROLIGT på computeren.

Det skal for ovennævnte sikkerhedshændelser supplerende oplyses, at Forsvarets Efterretningstjeneste fører journalliste over rapporterede og konstaterede hændelser, men at tjenesten af hensyn til sikkerheden generelt ikke ønsker at
videregive oplysninger om sikkerhedsmiljøet, herunder krypteringsmetoder, tid og sted for de enkelte hændelser eller tjenestens afhjælpende reaktioner. Disse oplysninger er således klassificerede af hensyn til væsentlige hensyn til statens
sikkerhed og rigets forsvar, jf. offentlighedslovens § 13, stk. 1, nr. 1, idet en indsigt heri vil kunne bidrage til en svækkelse af sikkerhedsmiljøet".

Forsvarskommandoen har endvidere oplyst, at:

"Forsvarets Informatikplan indeholder de udgifter Forsvarets Koncernfælles Informatiktjeneste afholder til produktion af it-serviceydelser til hele Forsvarsministeriets område samt til gennemførelse af it-projekter. Budgettet for Forsvarets
Informatikplan indeholder ikke lønomkostninger til drift af Forsvarets Koncernfælles Informatiktjeneste. For 2010 var budgettet ved seneste revision 439,5 mio. kr., og for 2011 er budgettet 457,5 mio. kr."

Afslutningsvis kan det oplyses, at afskedigelsessager ikke opgøres i faggrupper.

Såfremt du har yderligere spørgsmål, skal du være velkommen til at henvende dig igen.

Med venlig hilsen
Klaus Munk Petersen
kontorchef




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Erhvervsakademiet Lillebælt
Udvikling og salg af klassebaseret undervisning, blandt andet inden for multimedie og it.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cloud giver dig fleksibilitet, skalerbarhed og agilitet – men hvordan håndterer man sikkerheden?

Cloudsikkerhed handler om effektiv orkestrering og automatisering for at muliggøre hurtig detektion af og reaktion på hændelser. Det handler om at eliminere kompleksitet, sikre smidighed og sikre fleksibilitet. På dette seminar bliver du klogere på hvordan du planlægger, designer, implementerer og kører dit cybersikkerhedsprogram effektivt.

23. juni 2021 | Læs mere


Effektiv drift og support af applikationer i Dynamics 365 FO

Med Microsoft Dynamics 365 for Finance and Operations (FO) er forretningssystemet flyttet i skyen. Dermed er det slut med store opgraderingsprojekter, og virksomheder og organisationer skal i stedet være klar til løbende opdateringer, som sendes ud flere gange om året. Det kræver et særligt fokus på effektiv drift af applikationerne, hvis stabiliteten i applikationerne skal opretholdes og konkurrenceevnen bevares. I dette webinar bliver du inspireret til, hvordan du får mest muligt ud af din investering i Microsoft Dynamics 365 FO med en driftsaftale, så platformen udvikler sig sammen med din forretning.

24. juni 2021 | Læs mere


The intelligent business: From neat idea to reality

The choice to become a more intelligent business and optimize workflows is not always straightforward, but it requires that you take a step back and see the possibilities in other ways. Come inside when we try to focus on the intelligent business. Hear how SAP S / 4HANA makes processes intelligent and transforms traditional workflows.

01. juli 2021 | Læs mere






Premium
Efter et års forsinkelse: DR skruer markant op for billedkvaliteten på DRTV - vil sende dobbelt så mange billeder som tidligere
Da hele fodbolddanmark mandag så det danske landsholds 4-1 sejr over Rusland skete det i en markant højere kvalitet for manges vedkommende, end de er vant til. DR har nemlig fordoblet kvaliteten på streamingtjenesten DRTV.
Computerworld
Efter Windows 11-lækket: Her er de nye elementer - og lanceringsdatoen
Podcast: Hvad kan Windows 11 tilbyde? Hvad kræver det af dit hardware? Hvornår kommer det? Og hvorfor har NNIT indsat Pär Fors som ny topchef? Ham har vi mødt på hans kontor i Søborg. Få svarene i denne episode af Computerworlds nyhedspodcast.
CIO
Årets CIO 2021: Nu skal Danmarks dygtigste CIO findes - er det dig? Eller kender du en, du vil indstille?
Det er den mest eftertragtede titel for danske it-chefer og CIO'er, der er på spil, når Årets CIO kåres 16. september 2021. Søg selv eller prik til en, som du kender - og læs mere om prisen her.
White paper
Indbygget sikkerhed i servermiljøet – her er fordelene
Få et samlet og teknisk velfunderet overblik over alle sikkerhedsfeatures i Dells PowerEdge-servere.