Artikel top billede

Så ofte har Datatilsynet tjekket hacket politisystem

Det hackede politisystem hos CSC er gentagne gange blevet inspiceret af Datatilsynet.

Schengen-informationssystemet (SIS), der blandt andet indeholder oplysninger om politieftersøgte personer, blev hacket i 2012.

Det oplyste Rigspolitiet, PET og FE for nylig i en opsigtsvækkende hacker-sag, hvor det er blevet kaldt "helt uacceptabelt," at uvedkommende kunne trænge ind i politisystemet hos it-leverandøren CSC.

Men faktisk er systemets sikkerhed blevet kontrolleret, for det har tilsynet pligt til. Således har Datatilsynet lavet inspektioner af systemet flere gange. 

"Datatilsynet har foretaget inspektion af SIS i 2000, 2001, 2003, 2009 og 2011," fremgår det på Datatilsynets hjemmeside.

De pågældende inspektionee omfatter blandt andet "gennemgang af procedurer, såvel organisatoriske som tekniske forhold og stikprøvekontroller af skete registreringer." 

Hos Datatilsynet bekræfter kontorchef Lena Andersen, at tilsynet har foretaget de pågældende inspektioner.

Resultater sendes til Rigspolitiet

Den seneste foregik altså i 2011.

Lena Andersen kan ikke på stående fod oplyse, hvorvidt den pågældende kontrol - som den indimellem gør - omfattede et tjek vedrørende sikkerhed.

Hun oplyser endvidere, at resultaterne af inspektionerne typisk sendes til Rigspolitiet.

Ét år var den hel gal med indtastningerne i systemet, hvilket også affødte nogen skriverier i pressen.

Det kan du læse mere om her.

Besøgte Rigspolitiets lokaliteter

I årsberetningen for Datatilsynet i 2011 fremgår det videre, at en evaluering er blevet foretaget.

"Danmark er i 2011 blevet evalueret bl.a. på databeskyttelsesområdet i forhold til de krav, som Schengenreglerne opstiller."

"Evalueringen blev varetaget af databeskyttelseseksperter fra en række af EU's medlemsstater," fremgår det af årsberetningen.

"Evalueringen fandt sted i oktober 2011, men selve processen startede allerede i sommeren 2010 med besvarelse af et spørgeskema," oplyses det.

"Datatilsynet stod for afholdelsen af evalueringen, hvor Udenrigsministeriet, Udlændingeservice, Rigspolitiet samt CSC Danmark A/S som databehandler for Rigspolitiet også var involveret," hedder det videre i beretningen.

Efter evalueringen skal Datatilsynet følge op på de anbefalinger/bemærkninger, som evalueringsholdet er kommet med.

Lena Andersen fra Datatilsynet oplyser, at den pågældende evaluering, faktisk også var en evaluering af tilsynet - altså en slags kontrol af kontrollen.

Besøgte Rigspolitiets lokaliteter

I øvrigt afslører årsberetningen også, at inspektionen i 2011 indebar en besøg hos Rigspolitiet.

"Datatilsynet har i 2011 gennemført en inspektion hos Rigspolitiet i forhold til myndighedens rolle efter Schengenreglerne."

"Ved inspektionen gennemgik tilsynet bl.a. Rigspolitiets procedurer for håndteringen af specifikke indberetningstyper," lyder det om inspektionen af selve indberetningerne.

"Derudover foretog Datatilsynet en fysisk besigtigelse af de faciliteter, som Rigspolitiets særlige afdeling, der bl.a. indberetter til Schengen-informationssystemet (SIS), har til rådighed," hedder det i årsberetningen.

Du kan læse hele årsberetningen her.

CSC fik også besøg

Går man nogle år tilbage, kan man konstatere, at også CSC har haft besøg af Datatilsynet.

For ved indførslen af det internationale politisystem med de mange følsomme persondata gjorde man angiveligt meget ud af at sikre forholdene.

Faktisk fik de alle de nordiske lande besøg, fremgår det af materiale fra Datatilsynets hjemmeside.

"Der blev desuden gennemført evalueringsbesøg i de nordiske lande blandt andet inden for området databeskyttelse."

Virksomheden CSC Danmark A/S

"De deltagende repræsentanter for Schengen-landene afholdt under besøget blandt andet et møde med Registertilsynet, ligesom de fik mulighed for at besigtige lokaliteterne for blandt andet Sirene-kontoret og virksomheden CSC Danmark A/S, der skal drive den danske del af Schengen-informationssystemet."

"Den 1. december 2000 har Rådet truffet afgørelse om anvendelse af Schengen-reglerne for de nordiske lande fra den 25. marts 2001. Dog anvendes reglerne om Schengen-informationssystemet (SIS) fra den 1. januar 2001," hedder det i dokumenterne.

Det fremgår ikke umiddelbart af dokumenterne, hvorvidt Datatilsynet siden har været på inspektion eller lignende hos CSC i forbindelse med SIS-systemet.

Men Lena Andersen oplyser, at der har været "kontakt/møder med CSC jævnligt."

Datatilsynet er nu gået ind i sagen og har krævet en redegørelse af Rigspolitiet.

En redegørelse der i sidste ene kan munde i ud, hvad du kan forvente at blive oplyst om.

Databrist: Her er dine krav

Lena Andersen fra Datatilsynet oplyser til Computerworld, at tilsynet har krævet en redegørelse fra Rigspolitiet.

Og direkte adspurgt, hvorvidt de personer oplistet i SIS-systemet har krav på at vide, hvorvidt deres oplysninger er blevet blottet, er svaret uklart.

"Det er alt for tidligt at sige endnu," fortæller Lena Andersen.

Blandt andet lyder et af de spørgsmål, Rigspolitiet skal svare på, hvorvidt man har orienteret visse personer om databrist.

Måske orienteret via medierne

For ifølge dansk lovgivningen er det ikke soleklart, hvad man har krav på.

Lena Andersen peger på, at det er den dataansvarliges opgave at vurdere karakteren af et datalæk.

Herunder om eksempelvis en orientering allerede er foretaget via den massive mediedækning af sagen. 

Datatilsynet afventer nu Rigspolitiets svar og vil vurdere dette i forhold til de fremadrettet skridt.

CSC har ingen kommentarer til artiklen.

"Vi har ikke nogen kommentarer på dette tidspunkt af sagen," lydet det fra kommunikationsrådgiver Carsten Andersen fra Rigspolitiet.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere