Rigspolitiet om hackerangreb: Det er ikke okay, at det her kan ske

»Vi er meget overraskede og meget skuffede over, at det her kunne ske. Vi entrerer med et af de største firmaer i verden for at sikre vores oplysninger, og derfor er det ikke okay, at det her kan ske,« siger han.

Meldingen fra Rigspolitiet kommer i kølvandet på hård kritik fra flere IT-sikkerhedseksperter. En af landets førende eksperter, Peter Kruse fra IT-sikkerhedsfirmaet CSIS, siger blandt andet i fredagens Berlingske, at det »vidner om eklatant sjusk« fra CSCs side, når de ikke opdager, at »der er fosset gigabyte af data ud«.

Fra Rigspolitiet lyder det, at de selv har levet op til deres forpligtelse som dataansvarlig, som det hedder i Persondataloven. Af loven fremgår det, at det er den dataansvarlige, der har ansvaret for, at databehandleren – i det her tilfælde CSC træffer de fornødne sikkerhedsforanstaltninger.

»Vi mener, at vi har gjort, som vi skulle, men efter sådan en hændelse reviderer vi selvfølgelig alle procedurer. Efterforskningen af sagen må så vise, om vi har levet op til vores ansvar som dataansvarlig,« siger Michael Steen Hansen og tilføjer:

»Vi har en kontrakt med CSC om at overvåge og stå for sikkerheden omkring vores oplysninger, og det er stadig et åbent spørgsmål, om de eksisterende sikkerhedsprocedurer er blevet håndteret, som der står i kontrakten.«

Hvorvidt CSC har overholdt deres del af kontrakten med Rigspolitiet, må efterforskningen som sagt vise, men ansvaret for den manglende sikkerhed, kan næppe tørres entydigt af på IT-virksomheden, forklarer Henrik Udsen, professor i IT-ret ved Københavns Universitet.

»Hvis vi skal se konkret på, hvordan lovgivningen forholder sig til de personer – borgerne - hvis data skal beskyttes, så kan man som ansvarlig ikke fralægge sig ansvaret ved at bruge en databehandler,« siger professoren, der dog ikke vi kommentere på forholdene i den konkrete sag.

Michael Steen Hansen fra Rigspolitiet anerkender naturligvis det forhold, Henrik Udsen påpeger.

»Vi står selvfølgeligt med det formelle ansvar for at sikre de her data, men vi var af den helt klare overbevisning, at vi med CSC havde den sikre løsning, og derfor bliver vi meget irriterede over, at det her kan ske,« siger IT-direktøren, der understreger, at Rigsrevisionen har kontrolleret Rigspolitiets håndtering af de store mængder data uden anmærkninger.

Generelt er meldingen fra CSC, at en del af deres sikkerhedspolitik er, at de ikke udtaler sig om sikkerhed, fordi det i sig selv kan være med til at kompromittere IT-systemerne.

Det har derfor ikke været muligt for Berlingske at spørge CSCs nordiske direktør for den offentlige sektorforretning, Jens Schmidt, direkte, om firmaet har levet op til deres del af det kontraktlige sikkerhedsansvar, men i en skriftlig kommentar lyder det:

»Vi arbejder tæt sammen med Rigspolitiet og internationale eksperter i denne sag. Indtil videre bekræfter alle undersøgelser, at vi har levet op til de aftaler, vi har med Rigspolitiet. Det tætte samarbejde imellem Rigspolitiet og de øvrige internationale eksperter fortsætter naturligvis,« skriver Jens Schmidt.

Om samarbejdet mellem Rigspolitiet og CSC fortsætter lige så naturligt, når den igangværende efterforskning er overstået, vil Michael Steen Hansen fra Rigspolitiet ikke forholde sig til på nuværende tidspunkt. Han holder i stedet alle døre åbne.

»Vi har ikke taget stilling til det fremtidige samarbejde med CSC endnu. Indtil videre afventer vi efterforskningen og de forskellige redegørelser,« siger han.

Dagens Gossip