I fem år har hackere ved hjælp af et brute force-angreb kunnet skaffe sig adgang til et register med følsomme informationer fra Erhvervs- og Selskabsstyrelsen.
Men registeret indeholdt ikke voldsomt følsomme informationer, siger Jytte Tandrup, kontorchef hos Erhvervs- og Selskabsstyrelsen, i et forsøg at nedtone miseren, som Datatilsynet har kaldt "usædvanlig" og "besynderlig", fordi styrelsen over fem år ignorerede den skrøbelige sikkerhed.
”Der er tale om et register, hvis indhold for 75 procents vedkommende ligger fuldt offentligt tilgængeligt på Smiley-siden. Resten er oplysninger om, at virksomheder eksempelvis har fusket med pant eller udskænket alkohol til unge under 18 år. Der er ikke tale om et register om overtrædelse af straffelovgivningen eller andre tilsvarende alvorlige forhold, men overtrædelse af eksempelvis fødevarelovgivningen,” siger Jytte Tandrup.
Jytte Tandrup forklarer, at en registeret fra starten har været skabt til, at brugerne kun fik adgang ved hjælp af en digital signatur, men politiet har desværre ikke teknisk været i stand til at bruge digitale signaturer som login. Derfor har den alternative - men usikre - løsningen været skabt til politiets behov. Det har til gengæld betydet, at hackere de sidste fem år nemt har kunnet skaffe sig adgang ved igen og igen forsøge at logge på, indtil der rammes jackpot med den rigtige bruger og adgangskode.
Datatilsynet har desuden peget på, at en løsning kunne være at lave et lukket system, hvor kun bestemte IP-adresser kunne logge på. Men løsningen var for besværlig, siger Jytte Tandrup.
”Problemet med adgang via bestemte ip-adresser er, at så skal du opdatere det med den enkelte. Det ville være et relativt stort arbejde,” siger kontorchefen.
Jytte Tandrup afviser, at styrelsen har foretaget en regulær syltning af sagen i de sidste fem år.
”Vi har ikke ønsket at sylte noget. Vi har været i dialog med såvel politiet som Datatilsynet. Systemet er oprindeligt bygget til, at det alene skulle kunne tilgås via digital signatur – hvilet de øvrige myndigheder har benyttet sig af siden 2005. Vi har måttet lave en særlig løsning til politiet, da de ikke havde mulighed for at tilgå systemet med digital signatur. Det er langt det letteste og sikreste for alle parter, hvis myndighederne anvender digital signatur,” siger Jytte Tandrup.
Datatilsynet har desuden kritiseret, at styrelsen tilsyneladende ikke har haft et system, der holdt øje med, om nogen forsøgte gentagne gange at logge på. Hun mener ikke, at nogen har fået adgang, men kan ikke garantere noget.
”Vi har ikke noget tegn på overhovedet, at der har været indbud. Vi har ikke modtget oplysninger fra vores it-leverandør om usædvanlig aktivitet,” siger Jytte Tandrup.
Men har I været i stand til at se, om nogen har brudt ind ved at logge på mange gange?
”Jeg har ikke fået meldinger om, at der skulle være usædvanlig aktivitet, så det regner jeg ikke med, at der har været," svarer Jytte Tandrup uden at give et klart svar.
Kan I finde på at lave den lukkede IP-adresseløsning nu?
”Ikke umiddelbart, for vi forventer, at politiet også vil kunne logge på med digital signatur inden for en overskuelig fremtid," siger Jytte Tandrup.
Registeret er lukket for politiet lige nu. Politiet og Erhvervs- og Selskabsstyrelsen skal nu ind i en dialog om, hvordan en forbindelse til politifolkene kan oprettes på en sikker måde, og om det skal ske med en digital signatur. Der er 11 politibrugere, der har behov for adgang. De indberetter under 20 overtrædelser om året, vurderer Jytte Tandrup.