Artikel top billede

Så ofte har Datatilsynet tjekket hacket politisystem

Det hackede politisystem hos CSC er gentagne gange blevet inspiceret af Datatilsynet.

Schengen-informationssystemet (SIS), der blandt andet indeholder oplysninger om politieftersøgte personer, blev hacket i 2012.

Det oplyste Rigspolitiet, PET og FE for nylig i en opsigtsvækkende hacker-sag, hvor det er blevet kaldt "helt uacceptabelt," at uvedkommende kunne trænge ind i politisystemet hos it-leverandøren CSC.

Men faktisk er systemets sikkerhed blevet kontrolleret, for det har tilsynet pligt til. Således har Datatilsynet lavet inspektioner af systemet flere gange. 

"Datatilsynet har foretaget inspektion af SIS i 2000, 2001, 2003, 2009 og 2011," fremgår det på Datatilsynets hjemmeside.

De pågældende inspektionee omfatter blandt andet "gennemgang af procedurer, såvel organisatoriske som tekniske forhold og stikprøvekontroller af skete registreringer." 

Hos Datatilsynet bekræfter kontorchef Lena Andersen, at tilsynet har foretaget de pågældende inspektioner.

Resultater sendes til Rigspolitiet

Den seneste foregik altså i 2011.

Lena Andersen kan ikke på stående fod oplyse, hvorvidt den pågældende kontrol - som den indimellem gør - omfattede et tjek vedrørende sikkerhed.

Hun oplyser endvidere, at resultaterne af inspektionerne typisk sendes til Rigspolitiet.

Ét år var den hel gal med indtastningerne i systemet, hvilket også affødte nogen skriverier i pressen.

Det kan du læse mere om her.

Besøgte Rigspolitiets lokaliteter

I årsberetningen for Datatilsynet i 2011 fremgår det videre, at en evaluering er blevet foretaget.

"Danmark er i 2011 blevet evalueret bl.a. på databeskyttelsesområdet i forhold til de krav, som Schengenreglerne opstiller."

"Evalueringen blev varetaget af databeskyttelseseksperter fra en række af EU's medlemsstater," fremgår det af årsberetningen.

"Evalueringen fandt sted i oktober 2011, men selve processen startede allerede i sommeren 2010 med besvarelse af et spørgeskema," oplyses det.

"Datatilsynet stod for afholdelsen af evalueringen, hvor Udenrigsministeriet, Udlændingeservice, Rigspolitiet samt CSC Danmark A/S som databehandler for Rigspolitiet også var involveret," hedder det videre i beretningen.

Efter evalueringen skal Datatilsynet følge op på de anbefalinger/bemærkninger, som evalueringsholdet er kommet med.

Lena Andersen fra Datatilsynet oplyser, at den pågældende evaluering, faktisk også var en evaluering af tilsynet - altså en slags kontrol af kontrollen.

Besøgte Rigspolitiets lokaliteter

I øvrigt afslører årsberetningen også, at inspektionen i 2011 indebar en besøg hos Rigspolitiet.

"Datatilsynet har i 2011 gennemført en inspektion hos Rigspolitiet i forhold til myndighedens rolle efter Schengenreglerne."

"Ved inspektionen gennemgik tilsynet bl.a. Rigspolitiets procedurer for håndteringen af specifikke indberetningstyper," lyder det om inspektionen af selve indberetningerne.

"Derudover foretog Datatilsynet en fysisk besigtigelse af de faciliteter, som Rigspolitiets særlige afdeling, der bl.a. indberetter til Schengen-informationssystemet (SIS), har til rådighed," hedder det i årsberetningen.

Du kan læse hele årsberetningen her.

CSC fik også besøg

Går man nogle år tilbage, kan man konstatere, at også CSC har haft besøg af Datatilsynet.

For ved indførslen af det internationale politisystem med de mange følsomme persondata gjorde man angiveligt meget ud af at sikre forholdene.

Faktisk fik de alle de nordiske lande besøg, fremgår det af materiale fra Datatilsynets hjemmeside.

"Der blev desuden gennemført evalueringsbesøg i de nordiske lande blandt andet inden for området databeskyttelse."

Virksomheden CSC Danmark A/S

"De deltagende repræsentanter for Schengen-landene afholdt under besøget blandt andet et møde med Registertilsynet, ligesom de fik mulighed for at besigtige lokaliteterne for blandt andet Sirene-kontoret og virksomheden CSC Danmark A/S, der skal drive den danske del af Schengen-informationssystemet."

"Den 1. december 2000 har Rådet truffet afgørelse om anvendelse af Schengen-reglerne for de nordiske lande fra den 25. marts 2001. Dog anvendes reglerne om Schengen-informationssystemet (SIS) fra den 1. januar 2001," hedder det i dokumenterne.

Det fremgår ikke umiddelbart af dokumenterne, hvorvidt Datatilsynet siden har været på inspektion eller lignende hos CSC i forbindelse med SIS-systemet.

Men Lena Andersen oplyser, at der har været "kontakt/møder med CSC jævnligt."

Datatilsynet er nu gået ind i sagen og har krævet en redegørelse af Rigspolitiet.

En redegørelse der i sidste ene kan munde i ud, hvad du kan forvente at blive oplyst om.

Databrist: Her er dine krav

Lena Andersen fra Datatilsynet oplyser til Computerworld, at tilsynet har krævet en redegørelse fra Rigspolitiet.

Og direkte adspurgt, hvorvidt de personer oplistet i SIS-systemet har krav på at vide, hvorvidt deres oplysninger er blevet blottet, er svaret uklart.

"Det er alt for tidligt at sige endnu," fortæller Lena Andersen.

Blandt andet lyder et af de spørgsmål, Rigspolitiet skal svare på, hvorvidt man har orienteret visse personer om databrist.

Måske orienteret via medierne

For ifølge dansk lovgivningen er det ikke soleklart, hvad man har krav på.

Lena Andersen peger på, at det er den dataansvarliges opgave at vurdere karakteren af et datalæk.

Herunder om eksempelvis en orientering allerede er foretaget via den massive mediedækning af sagen. 

Datatilsynet afventer nu Rigspolitiets svar og vil vurdere dette i forhold til de fremadrettet skridt.

CSC har ingen kommentarer til artiklen.

"Vi har ikke nogen kommentarer på dette tidspunkt af sagen," lydet det fra kommunikationsrådgiver Carsten Andersen fra Rigspolitiet.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Brother Nordic A/S
Import og engroshandel med kontormaskiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

06. november 2024 | Læs mere


Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere