BREAKING:Preben Damgaard er død

Artikel top billede

Så ofte har Datatilsynet tjekket hacket politisystem

Det hackede politisystem hos CSC er gentagne gange blevet inspiceret af Datatilsynet.

Schengen-informationssystemet (SIS), der blandt andet indeholder oplysninger om politieftersøgte personer, blev hacket i 2012.

Det oplyste Rigspolitiet, PET og FE for nylig i en opsigtsvækkende hacker-sag, hvor det er blevet kaldt "helt uacceptabelt," at uvedkommende kunne trænge ind i politisystemet hos it-leverandøren CSC.

Men faktisk er systemets sikkerhed blevet kontrolleret, for det har tilsynet pligt til. Således har Datatilsynet lavet inspektioner af systemet flere gange. 

"Datatilsynet har foretaget inspektion af SIS i 2000, 2001, 2003, 2009 og 2011," fremgår det på Datatilsynets hjemmeside.

De pågældende inspektionee omfatter blandt andet "gennemgang af procedurer, såvel organisatoriske som tekniske forhold og stikprøvekontroller af skete registreringer." 

Hos Datatilsynet bekræfter kontorchef Lena Andersen, at tilsynet har foretaget de pågældende inspektioner.

Resultater sendes til Rigspolitiet

Den seneste foregik altså i 2011.

Lena Andersen kan ikke på stående fod oplyse, hvorvidt den pågældende kontrol - som den indimellem gør - omfattede et tjek vedrørende sikkerhed.

Hun oplyser endvidere, at resultaterne af inspektionerne typisk sendes til Rigspolitiet.

Ét år var den hel gal med indtastningerne i systemet, hvilket også affødte nogen skriverier i pressen.

Det kan du læse mere om her.

Besøgte Rigspolitiets lokaliteter

I årsberetningen for Datatilsynet i 2011 fremgår det videre, at en evaluering er blevet foretaget.

"Danmark er i 2011 blevet evalueret bl.a. på databeskyttelsesområdet i forhold til de krav, som Schengenreglerne opstiller."

"Evalueringen blev varetaget af databeskyttelseseksperter fra en række af EU's medlemsstater," fremgår det af årsberetningen.

"Evalueringen fandt sted i oktober 2011, men selve processen startede allerede i sommeren 2010 med besvarelse af et spørgeskema," oplyses det.

"Datatilsynet stod for afholdelsen af evalueringen, hvor Udenrigsministeriet, Udlændingeservice, Rigspolitiet samt CSC Danmark A/S som databehandler for Rigspolitiet også var involveret," hedder det videre i beretningen.

Efter evalueringen skal Datatilsynet følge op på de anbefalinger/bemærkninger, som evalueringsholdet er kommet med.

Lena Andersen fra Datatilsynet oplyser, at den pågældende evaluering, faktisk også var en evaluering af tilsynet - altså en slags kontrol af kontrollen.

Besøgte Rigspolitiets lokaliteter

I øvrigt afslører årsberetningen også, at inspektionen i 2011 indebar en besøg hos Rigspolitiet.

"Datatilsynet har i 2011 gennemført en inspektion hos Rigspolitiet i forhold til myndighedens rolle efter Schengenreglerne."

"Ved inspektionen gennemgik tilsynet bl.a. Rigspolitiets procedurer for håndteringen af specifikke indberetningstyper," lyder det om inspektionen af selve indberetningerne.

"Derudover foretog Datatilsynet en fysisk besigtigelse af de faciliteter, som Rigspolitiets særlige afdeling, der bl.a. indberetter til Schengen-informationssystemet (SIS), har til rådighed," hedder det i årsberetningen.

Du kan læse hele årsberetningen her.

CSC fik også besøg

Går man nogle år tilbage, kan man konstatere, at også CSC har haft besøg af Datatilsynet.

For ved indførslen af det internationale politisystem med de mange følsomme persondata gjorde man angiveligt meget ud af at sikre forholdene.

Faktisk fik de alle de nordiske lande besøg, fremgår det af materiale fra Datatilsynets hjemmeside.

"Der blev desuden gennemført evalueringsbesøg i de nordiske lande blandt andet inden for området databeskyttelse."

Virksomheden CSC Danmark A/S

"De deltagende repræsentanter for Schengen-landene afholdt under besøget blandt andet et møde med Registertilsynet, ligesom de fik mulighed for at besigtige lokaliteterne for blandt andet Sirene-kontoret og virksomheden CSC Danmark A/S, der skal drive den danske del af Schengen-informationssystemet."

"Den 1. december 2000 har Rådet truffet afgørelse om anvendelse af Schengen-reglerne for de nordiske lande fra den 25. marts 2001. Dog anvendes reglerne om Schengen-informationssystemet (SIS) fra den 1. januar 2001," hedder det i dokumenterne.

Det fremgår ikke umiddelbart af dokumenterne, hvorvidt Datatilsynet siden har været på inspektion eller lignende hos CSC i forbindelse med SIS-systemet.

Men Lena Andersen oplyser, at der har været "kontakt/møder med CSC jævnligt."

Datatilsynet er nu gået ind i sagen og har krævet en redegørelse af Rigspolitiet.

En redegørelse der i sidste ene kan munde i ud, hvad du kan forvente at blive oplyst om.

Databrist: Her er dine krav

Lena Andersen fra Datatilsynet oplyser til Computerworld, at tilsynet har krævet en redegørelse fra Rigspolitiet.

Og direkte adspurgt, hvorvidt de personer oplistet i SIS-systemet har krav på at vide, hvorvidt deres oplysninger er blevet blottet, er svaret uklart.

"Det er alt for tidligt at sige endnu," fortæller Lena Andersen.

Blandt andet lyder et af de spørgsmål, Rigspolitiet skal svare på, hvorvidt man har orienteret visse personer om databrist.

Måske orienteret via medierne

For ifølge dansk lovgivningen er det ikke soleklart, hvad man har krav på.

Lena Andersen peger på, at det er den dataansvarliges opgave at vurdere karakteren af et datalæk.

Herunder om eksempelvis en orientering allerede er foretaget via den massive mediedækning af sagen. 

Datatilsynet afventer nu Rigspolitiets svar og vil vurdere dette i forhold til de fremadrettet skridt.

CSC har ingen kommentarer til artiklen.

"Vi har ikke nogen kommentarer på dette tidspunkt af sagen," lydet det fra kommunikationsrådgiver Carsten Andersen fra Rigspolitiet.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
AI & machine learning i dagligdagen – teknologi og best practice

Kunstig intelligens og machine learning er i gang med at forandre de måder, som vi arbejder på i organisationer og virksomheder - både i det store og i det små. Bliv inspireret til hvordan kan du selv udnytte dem til at gøre din organisation klogere, skarpere og mere effektiv.

06. december 2022 | Læs mere


ERP løsninger til SMV segmentet

For små og mellemstore virksomheder gemmer der sig meget store muligheder for effektivisering og data-udnyttelse i valget af ERP-system. Med det rigtige valg kan man udnytte eksempelvis machine learning, AI, procesautomatisering og meget andet på tværs af hele organisationen til blandt andet lagerstyring, produktion, distribution, intelligent afrapportering.

07. december 2022 | Læs mere


Identity & Access Management - sådan holder du din virksomhed sikker

God styring af brugerrettigheder er en af de mest effektive måder til at højne it-sikkerheden. For det kan hurtigt gå galt, hvis system-rettigheder, system-adgang og lignende ikke hele tiden opdateres. Kom og hør om erfaringer og muligheder til hurtigt og nemt hele tiden at sikre, at der er styr på brugerrettighederne i hele din organisation- også uden at genere brugerne.

08. december 2022 | Læs mere