Det store CSC-hack: Datatilsynet klar med hård kritik af Rigspolitiet

Datatilsynet har offentliggjort sin store afgørelse om CSC-hackersagen, og der er hård kritik af Rigspolitiet.

Artikel top billede

Datatilsynets afgørelse af sagen om det store hackerangreb mod CSC er netop offentliggjort, og det er ikke rar læsning for Rigspolitiet, der er den dataansvarlige myndighed. 

Ved hackerangrebet fik de kriminelle blandt andet adgang til Schengen-registret og 1,2 millioner oplysninger, data fra kørekort-registret og CPR-registret.

Det kunne lade sig gøre, fordi it-sikkerhedsniveauet hos Rigspolitiet slet ikke var godt nok.

Hovedpointerne i kritikken af Rigspolitiet er:

•    at Schengen-informationssystemets drift var utilstrækkeligt adskilt fra andre dataansvarliges informationssystemer og services. 

•    at sikkerheden omkring Schengen-informationssystemet var utilstrækkelig på grund af omfattende deling af IT-systemmæssige ressourcer som mainframe, LPAR, operativsystem, disksystem og RACF med andre dataansvarlige.

•    at Schengen-informationssystemet blev driftet i en mainframe, som ikke var isoleret fra internettet.

•    at Schengen-informationssystemet blev driftet i mainframen i en LPAR, hvortil der helt unødvendigt var adgang for alle fra det åbne internet til en aktiv webserver, som tjente en anden dataansvarligs driftsmæssige behov.

•    at de netværksmæssige sikkerhedsforanstaltninger omkring Schengen-informationssystemet var utilstrækkelige, fordi sikkerhedsforanstaltningerne var delte/fælles med andre dataansvarlige og var blevet indrettet efter disse andres driftsmæssige behov.

•    at filer med udtræk af data i Schengen-informationssystemet lå lagret, efter at filerne havde opfyldt deres formål.

Blandt de specifikke problemer er blandt andet:
I stedet for at have en isoleret mainframe til at håndtere de personfølsomme data, brugte man en lokal partition på en af CSC's mainframes, som også havde tre andre lokale partitioner med andre systemer fra andre dataansvarlige og blandt andet fungerede som webserver for Moderniseringsstyrelsen. 

En webserver som skulle vise sig at blive hackernes adgangsdør til hele mainfraimen.

Det er en praksis, som Datatilsynet gentagne gange beskriver som "uforsigtig", inden de skriver at Rigspolititet "...helt unødvendigt" har  "eksponeret Schengen-informationssystemet for at hackerangreb fra internettet."

Delte firewall og IDS

Når filen med udtrækket fra Schengen-informationssystemet og filen med RACF-databasen i det hele taget kunne komme ud af systemet, skyldes det blandt andet "...at firewall-clusteret , som skulle beskytte mainframen og informationssystemerne herpå, herunder Schengen-informationssystemet, var en sikkerhedsforanstaltning, som Rigspolitiet delte med andre dataansvarlige." 

Af hensyn til de andre dataansvarlige behov, var nogle indstillinger i firewall-clusteret sat mindre end optimalt, så det "...de facto tillod adgang til mainframen fra internettet for alle."

Heller ikke denne praksis ser man på med milde øjne i Datatilsynet:

"Rigspolitiet har således delt netværksmæssige sikkerhedsforanstaltninger med andre dataansvarlige. Ved at gøre det har Rigspolitiet reelt etableret et unødvendigt lavt beskyttelsesniveau mod trusler fra internettet, ligesom det har bevirket, at Rigspolitiets forsvar i dybden af Schengen-informationssystemet reelt er blevet undergravet."

Gamle filer lå og flød

Et andet kritikpunkt er, at de filer, som blev brugt til konsistenscheck med den tilsvarende database i Strasbourg, aldrig blev slettet, men lå tilgængelige på det delte filsystem, som andre dataansvarlige og hackere altså kunne skaffe sig adgang til.

Alt i alt konkluderer Datatilsynet, at "...den manglende efterlevelse af persondatalovens § 41, stk. 3, og Schengen-konventionens artikel 118 (1) b), c) og d) overordentlig kritisabel."

Måske er andre databaser hacket

Det er muligt, at en række af politiets andre databaser også er blevet ramt af hackere med samme fremgangsmåde som i CSC-sagen.

Datatilsynet hæfter sig nemlig i afgørelsen ved, at konklusionerne om overholdelsen af persondatalovens § 41, stk. 3, "...tilsvarende gør sig gældende for Rigspolitiets andre informationssystemer, som blev driftet på mainframen, heriblandt Kriminalregisteret, Pasregisteret, Kørekortregisteret og Index-registeret."

Læs også:

Rigspolitiet erkender brøler: Her fejlede politiet ved det store CSC-hack

Så ringe er politiets it-systemer: Ansætter spilder 45 minutter om dagen på bøvl

Event: Årets CISO 2026

Sikkerhed | Kongens Lyngby

Årets CISO 2026 hylder de sikkerhedsledere, der skaber robusthed i et sikkerhedslandskab under pres – og som formår at løfte cyber- og informationssikkerhed fra teknisk disciplin til strategisk ledelsesopgave.

22 oktober 2026 | Gratis deltagelse

Netcompany A/S

Linux Operations Engineer

Midtjylland

JP/Politikens Hus

Klient Tekniker

Københavnsområdet

Everllence

Senior Embedded Software Engineer

Københavnsområdet

Red Barnet

Software developer til Red Barnets IT-team

Københavnsområdet

Navnenyt fra it-Danmark

Netip A/S har pr. 1. april 2026 ansat Claus Berg som Account Manager ved netIP's kontor i Esbjerg. Han kommer fra en stilling som Client Manager hos itm8. Nyt job

Claus Berg

Netip A/S

Renewtech ApS har pr. 1. april 2026 ansat Boris Sudar som Senior IT Specialist. Han skal især beskæftige sig med at sikre, at Renewtech cloudbaseret infrastruktur fortsætter på sit højeste niveau, mens han også skal drive system udvikling. Han kommer fra en stilling som Senior IT Specialist hos Eurowind Energy. Han har tidligere beskæftiget sig med Microsoft 365, Intune og sikker endepunktsstyring for hybrid og cloudbaseret infrastrukturer. Nyt job

Boris Sudar

Renewtech ApS

Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

Jeppe Spanggaard

Pinksky ApS

Netip A/S har pr. 1. maj 2026 ansat Michael Schou som Operations Manager ved netIP Aalborg og Aarhus. Han kommer fra en stilling som Senior Director - Head of IT hos BDO. Han har tidligere beskæftiget sig med flere områder indenfor IT-branchen, hvor han bla. også har drevet sin egen IT-virksomhed. Nyt job

Michael Schou

Netip A/S