Søg

Det store CSC-hack: Datatilsynet klar med hård kritik af Rigspolitiet

Datatilsynet har offentliggjort sin store afgørelse om CSC-hackersagen, og der er hård kritik af Rigspolitiet.

05. august 2015 kl. 10.09
Artikel top billede
Joachim Kühlmann Selliken Joachim Kühlmann Selliken Freelance

Datatilsynets afgørelse af sagen om det store hackerangreb mod CSC er netop offentliggjort, og det er ikke rar læsning for Rigspolitiet, der er den dataansvarlige myndighed. 

Ved hackerangrebet fik de kriminelle blandt andet adgang til Schengen-registret og 1,2 millioner oplysninger, data fra kørekort-registret og CPR-registret.

Det kunne lade sig gøre, fordi it-sikkerhedsniveauet hos Rigspolitiet slet ikke var godt nok.

Hovedpointerne i kritikken af Rigspolitiet er:

•    at Schengen-informationssystemets drift var utilstrækkeligt adskilt fra andre dataansvarliges informationssystemer og services. 

•    at sikkerheden omkring Schengen-informationssystemet var utilstrækkelig på grund af omfattende deling af IT-systemmæssige ressourcer som mainframe, LPAR, operativsystem, disksystem og RACF med andre dataansvarlige.

•    at Schengen-informationssystemet blev driftet i en mainframe, som ikke var isoleret fra internettet.

•    at Schengen-informationssystemet blev driftet i mainframen i en LPAR, hvortil der helt unødvendigt var adgang for alle fra det åbne internet til en aktiv webserver, som tjente en anden dataansvarligs driftsmæssige behov.

•    at de netværksmæssige sikkerhedsforanstaltninger omkring Schengen-informationssystemet var utilstrækkelige, fordi sikkerhedsforanstaltningerne var delte/fælles med andre dataansvarlige og var blevet indrettet efter disse andres driftsmæssige behov.

•    at filer med udtræk af data i Schengen-informationssystemet lå lagret, efter at filerne havde opfyldt deres formål.

Blandt de specifikke problemer er blandt andet:
I stedet for at have en isoleret mainframe til at håndtere de personfølsomme data, brugte man en lokal partition på en af CSC's mainframes, som også havde tre andre lokale partitioner med andre systemer fra andre dataansvarlige og blandt andet fungerede som webserver for Moderniseringsstyrelsen. 

En webserver som skulle vise sig at blive hackernes adgangsdør til hele mainfraimen.

Det er en praksis, som Datatilsynet gentagne gange beskriver som "uforsigtig", inden de skriver at Rigspolititet "...helt unødvendigt" har  "eksponeret Schengen-informationssystemet for at hackerangreb fra internettet."

Delte firewall og IDS

Når filen med udtrækket fra Schengen-informationssystemet og filen med RACF-databasen i det hele taget kunne komme ud af systemet, skyldes det blandt andet "...at firewall-clusteret , som skulle beskytte mainframen og informationssystemerne herpå, herunder Schengen-informationssystemet, var en sikkerhedsforanstaltning, som Rigspolitiet delte med andre dataansvarlige." 

Af hensyn til de andre dataansvarlige behov, var nogle indstillinger i firewall-clusteret sat mindre end optimalt, så det "...de facto tillod adgang til mainframen fra internettet for alle."

Heller ikke denne praksis ser man på med milde øjne i Datatilsynet:

"Rigspolitiet har således delt netværksmæssige sikkerhedsforanstaltninger med andre dataansvarlige. Ved at gøre det har Rigspolitiet reelt etableret et unødvendigt lavt beskyttelsesniveau mod trusler fra internettet, ligesom det har bevirket, at Rigspolitiets forsvar i dybden af Schengen-informationssystemet reelt er blevet undergravet."

Gamle filer lå og flød

Et andet kritikpunkt er, at de filer, som blev brugt til konsistenscheck med den tilsvarende database i Strasbourg, aldrig blev slettet, men lå tilgængelige på det delte filsystem, som andre dataansvarlige og hackere altså kunne skaffe sig adgang til.

Alt i alt konkluderer Datatilsynet, at "...den manglende efterlevelse af persondatalovens § 41, stk. 3, og Schengen-konventionens artikel 118 (1) b), c) og d) overordentlig kritisabel."

Måske er andre databaser hacket

Det er muligt, at en række af politiets andre databaser også er blevet ramt af hackere med samme fremgangsmåde som i CSC-sagen.

Datatilsynet hæfter sig nemlig i afgørelsen ved, at konklusionerne om overholdelsen af persondatalovens § 41, stk. 3, "...tilsvarende gør sig gældende for Rigspolitiets andre informationssystemer, som blev driftet på mainframen, heriblandt Kriminalregisteret, Pasregisteret, Kørekortregisteret og Index-registeret."

Læs også:

Rigspolitiet erkender brøler: Her fejlede politiet ved det store CSC-hack

Så ringe er politiets it-systemer: Ansætter spilder 45 minutter om dagen på bøvl

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Cyber Security Festival 2026

    Event: Cyber Security Festival 2026

    Sikkerhed | København

    Mød Danmarks skrappeste it-sikkerhedseksperter og bliv klar til at planlægge og eksekvere en operationel og effektiv cybersikkerhedsstrategi, når vi åbner dørene for +1.700 it-professionelle. Du kan glæde dig til oplæg fra mere end 70 talere og møde mere end 50 leverandører over to dage.

    18 & 19 november 2026 | Gratis deltagelse

    Netcompany A/S

    IT Consultant

    Nordjylland

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Specialister (flere roller) til Datacenter Infrastruktur and Compute til opbygning af Forsvarets nye Digitale Backbone

    Midtjylland

    Capgemini Danmark A/S

    IGNITE Graduate Program 2026

    Københavnsområdet

    Everllence

    Software Engineer

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

    Boris Sudar

    Renewtech ApS

    Khaled Zamzam, er pr. 1. marts 2026 ansat hos Immeo som Consultant. Han er nyuddannet i Informationsteknologi fra DTU. Nyt job

    Khaled Zamzam

    Immeo

    Renewtech ApS har pr. 15. marts 2026 ansat Jouni Salo som Account Manager for Sverige. Han skal især beskæftige sig med med at styrke Renewtechs nordiske tilstedeværelse med fokus primært på det svenske marked. Han kommer fra en stilling som Key Account Manager hos GoGift. Han har tidligere beskæftiget sig med udvikling af salgsaktiviter og kunderelationer på tværs af flere markeder. Nyt job

    Jouni Salo

    Renewtech ApS

    Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

    Alexander Hoffmann

    GlobalConnect

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Test: Bærbar ekstra skærm til din laptop, smartphone eller spillekonsol er et fedt ekstra værktøj
    2 Kan ændre iPhone-kameraet markant: Står foran sin største opgradering i årevis
    3 Et kinesisk kampfly i frit fald - og en verden, som vi slet ikke ønsker os
    4 Pludselig er de datalogi-studerendes karakterer raslet ned: ”AI-assistenterne afslører en svaghed i universitetssystemet"
    5 Nørgaard: Datacentre, dommedag og den evige danske lyst til at sige nej
    6 To it-topchefer: Sådan sikrer du dine kompetencer i en tid, hvor AI presser it-folk til arbejdsløshed
    7 Produktionsgigant bekræfter hackerangreb: 11 millioner fortrolige filer fra Apple- og Nvidia kan være stjålet
    8 KMD-aftale sender Aevens omsætning op mod to milliarder kroner – men underskud og gæld eksploderer

    Se seneste uge