Artikel top billede

Officiel liste: Her er forsvarets tidligere datalæk

Mistede usb-stik, ukrypterede dokumenter og stjålne bærbare computere er blandt forsvaret datalæk.

Afsløringer i DR Deadline af hacker-angreb på danske styrker i Afghanistan i 2009 har sat fokus på forsvarets it-sikkerhed og lignende hændelser.

Allerede i februar 2011 sendte Forsvarsministeriet imidlertid en afgørelse på en aktindsigtsanmodning fra Computerworld.

Her i opremser Forsvaret blandt andet en stribe hændelser om såkaldte datalæk i 2009 og 2010.

"Mængden af rapporteringer vedr. tab af klassificerede data i henhold til ovenstående begrænser sig for 2009 og 2010 til ganske få tilfælde," slår forsvaret indledningsvist fast.

Til at besvare anmodningen har ministeriet kontaktet Forsvarets Efterretningstjeneste.

"Forsvarets Efterretningstjeneste har i 2009 modtaget rapporter om og behandlet følgende sager:

• Bortkomst af en klassificeret bærbar computer.
• 10 klassificerede dokumenter sendt uden kryptering over Internettet."

I 2010 lyder den tilsvarende liste således: 

"• Bortkomst af to klassificerede bærbare computere.
• To bortkomne klassificerede USB-stiks.
• Et klassificeret dokument sendt uden kryptering over internettet."

Imidlertid gør Forsvaret det klart, at der ikke er tale om meget alvorlige sager. 

Tyveri af fortroligt dokument

"Bortset fra et enkelt tilfælde har der for såvel 2009 som 2010 udelukkende været tale om data klassificeret til laveste grad, det vil sige TIL TJENESTEBRUG."

"Det enkeltstående tilfælde vedrørte tyveri fra en ekstern konsulent af en almindelig bærbar computer, hvor konsulenten havde lagt et dokument klassificeret FORTROLIGT på computeren," skriver forsvaret i afgørelsen.

Samtidig ønsker man ikke gå nærmere ind i episoderne.

"Det skal for ovennævnte sikkerhedshændelser supplerende oplyses, at Forsvarets Efterretningstjeneste fører journalliste over rapporterede og konstaterede hændelser, men at tjenesten af hensyn til sikkerheden generelt ikke ønsker at
videregive oplysninger om sikkerhedsmiljøet, herunder krypteringsmetoder, tid og sted for de enkelte hændelser eller tjenestens afhjælpende reaktioner."

"Disse oplysninger er således klassificerede af hensyn til væsentlige hensyn til statens sikkerhed og rigets forsvar, jf. offentlighedslovens § 13, stk. 1, nr. 1, idet en indsigt heri vil kunne bidrage til en svækkelse af sikkerhedsmiljøet", skriver kontorchef Klaus Munk Petersen.

Intet om Afghanistan-angreb

Imidlertid indeholder afgørelsen, som du kan læse i sin fulde længde her, intet om de netop afslørede hacker-angreb i 2009 på danske styrker i Afghanistan.

Forskningschef Oluf Jørgensen fra Danmarks Medie og Journalisthøjskole forklarer, at det kan skyldtes, at Forsvaret ganske enkelt ikke kendte til angrebene i 2009 før februar 2011.

Såfremt forsvaret kendte til angrebene, er der imidlertid tale om noget helt andet, vurderer Oluf Jørgensen.

Ekspert: Politisk ledelse afgør åbenhed

"Jeg ved ikke om Forsvaret 7.2.2011 har kendt til de lækage/virusangreb, der nu er kommet frem," udtaler Oluf Jørgensen med henvisning til dateringen af Forsvaret afgørelse på aktindsigt.

Imidlertid er det alvorligt, hvis Forsvaret kendte til angrebene.

"Hvis disse angreb var kendte, bliver der dækket over dem i svaret 7.2.2011," vurderer forskningschefen.

Det danske forsvar kunne vælge at være ligeså åbent som det norske, "men det er næppe muligt at gennemtvinge, hvis den politiske ledelse ikke ønsker denne åbenhed", lyder det fra Oluf Jørgensen.

Han slår fast, at forsvaret under alle omstændigheder ikke må vildlede.

"Forsvaret må ikke vildlede. Svaret 7.2.2011 giver indtryk af at indeholde en opregning (uden detaljer) om typer af kendte hændelser."

"Hvis forsvaret kendte flere hændelser på dette tidspunkt burde det fremgå, at forsvaret af hensyn til "sikkerhedsmiljøet" ikke vil oplyse om alle typer af hændelser," forklarer Oluf Jørgensen.
Computerworld arbejder på at få en kommentar fra Forsvarsministeriet.

Halvandet års sagsbehandling

Computerworld sendte i øvrigt aktindsigten om datalæk til samtlige ministerier, kommuner og regioner med henblik på en kortlægning af området.

Imidlertid har blandt andre Justitsministeriet haft en meget lang sagsbehandlingstid på omkring halvandet år.

Det kan du læse mere om her.

Her er Computerworlds aktindsigt

Afsendt den 22. december 2010
Klokken 09.22

Til Ministeriet

Computerworld ønsker hermed indsigt i følgende oplysninger:

1) Datalæk

Computerworld ønsker indsigt i hændelser, episoder eller begivenheder, der måtte have ført til læk af data i 2009 eller 2010 i ministeriet og dets styrelser.

Det vil sige hændelser, hvor data kan være:

- gemt på et usb-stik, som er blevet væk
- gemt på en bærbar computer, som er blevet væk
- stjålet af en medarbejder
- hugget af hackere eller tyve

Vi ønsker venligst oplyst a) dato og år for hændelserne, b) beskrivelse af datatype, c) hvad ministeriet/styrelsen foretog sig i forbindelse med datalækket og d) endelig ønsker vi tilsendt andre dokumenter på sagen i form af en eventuel journalliste, evaluering, orienteringer til data-ejere, orienteringer til personer eller firmaer omtalt i data, politianmeldelse af hændelse, ect.

2) Mistede bærbare computere

Computerworld ønsker ligeledes oplyst, hvor mange bærbare computere ministeriet/styrelsen har mistet i 2009 og 2010.

Herunder a) hvordan de blev mistet, b) hvilke data, der lå på dem, samt c) i givet fald om computerne var krypteret og hvordan.

3) Politik om persondata

Desuden ønsker Computerworld oplyst, hvilken politik ministeriet følger angående persondata.

Herunder særligt med hensyn til personfølsomme data eller andre følsomme data, der måtte være gået tabt via glemte USB-stik, mistede bærbare computere, ect.

- Er det fast praksis, at personer og virksomheder, hvis følsomme data og/eller persondata hos ministeriet/styrelsen er forsvundet, bliver direkte orienteret herom?

4) Opsagte it-folk i 2010

Udover ovenstående ønsker Computerworld indsigt i, hvorvidt ministeriet har opsagt ansatte i it-afdelingen i 2010.

Vi vil således gerne bede om at få oplyst, hvor mange ansatte kommunens it-afdeling havde henholdsvis a) den 1. januar 2010 og b) den 1. januar 2011.

5) Økonomi i 2011

Endelig vil vil venligst bede om indsigt i økonomiske forhold hos it-afdelingen.

I den forbindelse vil vi bede om at få oplyst, hvorvidt it-afdelingens budget bliver større, det samme eller mindre i 2011 end i 2010?

Således vil vi bede om at få oplyst it-afdelingens budget for henholdsvis a) 2010 og b) 2011.

Vi henviser til offentlighedslovens § 16 og dens bestemmelser om meroffentlighed samt justitsministeriets vejledning til offentlighedsloven, hvoraf det fremgår, at der bør vises pressen særlig imødekommenhed.

NB. Vi vil venligst bede om at afgørelsen på denne aktindsigt sendes elektronisk til denne mail-adresse: XXX@cw.dk.

Med venlig hilsen / Best regards

Kristian Hansen

Journalist
Computerworld Denmark
Hørkær 18
DK - 2730 Herlev

Phone: +45 77 300 300
www.computerworld.dk

Her er Forsvarets afgørelse - Side 1

Svar datereret den 7. februar 2011.

FORSVARSMINISTERIET
DANISH MINISTRY OF DEFENCE

Sagsbehandler: SHH
Sagsnummer.: 2010/004032
7. februar 2011

Kære Kristian Hansen

Forsvarsministeriet har i forlængelse af din forespørgsel af 22. december 2010 anmodet Forsvarets Efterretningstjeneste om en udtalelse omkring tab af data.

I den forbindelse har Forsvarets Efterretningstjeneste oplyst:

"Efter forsvarsministerens bestemmelse leder og kontrollerer Forsvarets Efterretningstjeneste på forsvarschefens vegne den militære sikkerhedstjeneste, herunder sikkerhedstjenesten i relation til private virksomheders arbejde på forsvarsområdet. Forsvarets Efterretningstjenestes opgave i den henseende
samt de sikkerhedsmæssige bestemmelser, herunder i relation til it-området, er beskrevet i Forsvarskommandoens Bestemmelse 358-1, der er tilgængelig via internettet (f.eks. via Forsvarets Efterretningstjenestes hjemmeside).

Det fremgår bl.a. heraf, at de datamedier, der behandler forsvarets klassificerede informationer, i sig selv skal være klassificerede og mærket i overensstemmelse med den grad af klassifikation, som det konkrete datamedie er godkendt
til at kunne behandle. Der gælder i den forbindelse særlige regler for håndtering af såvel klassificerede informationer som datamedier.

Inden for Forsvarsministeriets område skal alle ansatte, samarbejdspartnere og andre brugere rapportere ved begrundet mistanke om eller ved konstatering af hændelser, der har haft eller kan få indflydelse på fortrolighed, integritet eller tilgængelighed af informationer behandlet i koncernens informationssystemer.

Mængden af rapporteringer vedr, tab af klassificerede data i henhold til ovenstående begrænser sig for 2009 og 2010 til ganske få tilfælde.

Forsvarets Efterretningstjeneste har i 2009 modtaget rapporter om og behandlet følgende sager:

Her er Forsvarets afgørelse - Side 2

• Bortkomst af en klassificeret bærbar computer.
• 10 klassificerede dokumenter sendt uden kryptering over Internettet.

Forsvarets Efterretningstjeneste har i 2010 modtaget rapporter om og behandlet følgende sager:

• Bortkomst af to klassificerede bærbare computere.
• To bortkomne klassificerede USB-stiks.
• Et klassificeret dokument sendt uden kryptering over internettet.

Bortset fra et enkelt tilfælde har der for såvel 2009 som 2010 udelukkende været tale om data klassificeret til laveste grad, det vil sige TIL TJENESTEBRUG.
Det enkeltstående tilfælde vedrørte tyveri fra en ekstern konsulent af en almindelig bærbar computer, hvor konsulenten havde lagt et dokument klassificeret FORTROLIGT på computeren.

Det skal for ovennævnte sikkerhedshændelser supplerende oplyses, at Forsvarets Efterretningstjeneste fører journalliste over rapporterede og konstaterede hændelser, men at tjenesten af hensyn til sikkerheden generelt ikke ønsker at
videregive oplysninger om sikkerhedsmiljøet, herunder krypteringsmetoder, tid og sted for de enkelte hændelser eller tjenestens afhjælpende reaktioner. Disse oplysninger er således klassificerede af hensyn til væsentlige hensyn til statens
sikkerhed og rigets forsvar, jf. offentlighedslovens § 13, stk. 1, nr. 1, idet en indsigt heri vil kunne bidrage til en svækkelse af sikkerhedsmiljøet".

Forsvarskommandoen har endvidere oplyst, at:

"Forsvarets Informatikplan indeholder de udgifter Forsvarets Koncernfælles Informatiktjeneste afholder til produktion af it-serviceydelser til hele Forsvarsministeriets område samt til gennemførelse af it-projekter. Budgettet for Forsvarets
Informatikplan indeholder ikke lønomkostninger til drift af Forsvarets Koncernfælles Informatiktjeneste. For 2010 var budgettet ved seneste revision 439,5 mio. kr., og for 2011 er budgettet 457,5 mio. kr."

Afslutningsvis kan det oplyses, at afskedigelsessager ikke opgøres i faggrupper.

Såfremt du har yderligere spørgsmål, skal du være velkommen til at henvende dig igen.

Med venlig hilsen
Klaus Munk Petersen
kontorchef




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere