Læsetid 6 min.

Datatilsynet: It-læk som i Sverige kan også have fundet sted i Danmark

Der er betydelig risiko for, at danske myndigheder har tilladt sikkerhedsbrister, tilsvarende den, der har udløst en regeringskrise i Sverige. Datatilsynet, en juraekspert og en tidligere PET-chef er bekymrede. ’Danske myndigheder bryder rutinemæssigt loven om persondata, men de kan ikke straffes for det’
Skandalen om et potentielt læk af data i Sverige kostede to ministre jobbet. Nu advarer Datatilsynet om, at noget lignende kan være sket i Danmark. Her præsenterer den svenske statsminister Stefan Löfven sin nye regering efter ministerrokaden.

Skandalen om et potentielt læk af data i Sverige kostede to ministre jobbet. Nu advarer Datatilsynet om, at noget lignende kan være sket i Danmark. Her præsenterer den svenske statsminister Stefan Löfven sin nye regering efter ministerrokaden.

Ola Axman
Ritzau Foto
4. august 2017

Mens foreløbig to ministre har forladt den svenske regering som følge af et potentielt datalæk, der kan true rigets sikkerhed, frygter Datatilsynet, at lignende læk har fundet sted i Danmark.

Datatilsynet har gentagne gange konstateret, at flere offentlige myndigheders tilsyn med deres private it-underleverandører har været så mangelfuld, at det reelt er uvist, hvem der har haft adgang til hvilke informationer.

Det forklarer kontorchef Jesper Husmer Vang fra Datatilsynet, som har til opgave at føre tilsyn med persondataloven i Danmark.

»I 2016 førte vi bl.a. tilsyn med regionerne og 16 kommuner, og vi fandt – ved de fleste af tilsynene – store problemer med overholdelsen af persondatalovens og sikkerhedsbekendtgørelsens regler om datasikkerhed. Det gælder bland andet kontrollen med private databehandlere, som tilsyneladende er et af de centrale problemer i Sverige,« siger Jesper Husmer Vang.

Regeringskrisen i Sverige blev udløst af, at østeuropæiske IBM-ansatte uden sikkerhedsgodkendelse har haft adgang til følsomme dokumenter, og at den svenske Transportstyrelse ikke har ført lovpligtigt tilsyn med it-sikkerheden.

Den svenske statsminister, Stefan Löfven (t.h.) annoncerede i går på et pressemøde, at to ministre træder tilbage. Oppositionen havde krævet tre, men den tredje, forsvarsminister Peter Hultqvist (t.v.), blev fredet.
Læs også

»Vi kan ikke udelukke, at det samme problem kunne gøre sig gældende i Danmark,« siger Jesper Husmer Vang.

Han bakkes op af Hanne Marie Motzfeldt, der er lektor i forvaltningsret ved Aarhus Universitet med speciale i persondataret og digitalisering.

»Der er betydelig risiko for, at vi har haft tilsvarende sikkerhedsbrister som det, vi har set i Sverige. Det må man konkludere som følge af Datatilsynets og Rigsrevisionens undersøgelser af it-sikkerheden i det offentlige det seneste år,« siger hun.

Åben dør til serverrummet

Sideløbende med Datatilsynets kritik af regioner og kommuner konstaterede Rigsrevisionen i november 2016 alvorlige mangler med it-sikkerheden i fem statslige it-systemer, som drives af private underleverandører.

Det gjaldt både højt følsomme systemer som NemID, der giver adgang til offentlige digitale tjenester og netbank, skatteindberetningssystemerne TastSelv Borger og Erhverv samt mindre kritiske databaser som f.eks. Skibsregistret. Det Centrale Pasregister under Rigspolitiet var det eneste system, der bestod Rigsrevisionens test med skindet på næsen.

»Statsrevisorerne finder det bekymrende, at myndighederne – med undtagelse af Rigspolitiet – ikke i tilstrækkelig grad stiller krav til it-leverandørernes sikkerhedsniveau,« skriver Rigsrevisionen i sin rapport.

Rigsrevisionen kritiserer myndighederne for at stille for generelle eller upræcise krav til it-sikkerheden. Myndighederne kritiseres også for ikke at følge op på, hvorvidt den private it-leverandør overholder sikkerhedskravene.

Rigspolitiet var den eneste myndighed i undersøgelsen, der lavede stikprøvekontroller af sin it-leverandør og undersøgte, om leverandøren beskyttede logfilerne mod ændring eller sletning i alle dele af it-infrastrukturen.

I den mere kulørte ende var der hos en leverandør fri adgang til serverrummet hos »et stort antal personer, der ikke havde et specifikt arbejdsbetinget behov«.

»Det viser jo, at offentlige myndigheder systematisk ikke har haft styr på sine databehandlere, altså it-leverandørerne,« siger Hanne Marie Motzfeldt.

Bekymrende tendens

Datatilsynet og Rigsrevisionens uafhængige undersøgelser peger tilsammen på en bekymrende tendens, mener tidligere PET-chef Hans Jørgen Bonnichsen:

»Man må nok efterhånden konstatere, at den danske offentlige it-sikkerhed er hullet som en schweizerost. Og mange er interesseret i at få adgang.«

»Problemet er nok, at offentlige myndigheder er så ivrige med at komme i gang med deres it-projekter, at de ikke afventer den tid, det tager at få styr på it-sikkerheden. Så lader man f.eks. folk gå i gang med arbejdet uden sikkerhedsgodkendelse. Det er et problem, der er blevet fremført af kilder i branchen flere gange, når jeg har holdt foredrag om it-sikkerhed; at man bryder de gældende regler, hvad angår sikkerhedsgodkendelser. Ligesom i Sverige,« siger han.

Hans Jørgen Bonnichsen ønsker ikke at nævne konkrete sager, hvor han er blevet gjort bekendt med problematikken.

Onsdag kunne Information afdække, at flere regioner stadig anvender Windows XP, som i weekenden blev ramt af det verdensomspændende cyberangreb ved navn Wannacry. I Region Midtjylland har man cirka 5.000 maskiner med det sårbare system, der befinder sig på hospitalerne og indgår i den daglige drift, mens de samtidig er på nettet. Arkivfoto
Læs også

En af de myndigheder, der sidste år fik kritik af Rigsrevisionen, er Digitaliseringsstyrelsen, der bl.a. har ansvar for NemID. Styrelsen mener ikke, man kan »drage paralleller til det, der er sket i Sverige«.

»For vores eget vedkommende kan vi i hvert fald sige, at en lignende fravigelse af reglerne ikke har fundet sted,« siger kontorchef Marlene Wiese Svanberg.

Hun henviser til, at Rigsrevisionens kritik af NemID ikke handlede om konkrete sikkerhedsbrister, men om manglende opfølgning på, om leverandørerne levede op til kravene.

Det er også vigtigt – og en kritik, som Digitaliseringsstyrelsen har taget til sig, siger kontorchefen. Men det kan ikke sammenlignes med den svenske sag, hvor problemet virker til at være »bevidst tilsidesættelse af gældende regler«, mener hun.

I Danmark har vi tilsvarende regler i bl.a. persondataloven, og det er »en lov, som embedsmænd ikke kan dispensere fra«, siger Marlene Wiese Svanberg.

Hvornår er data farligt?

På to centrale punkter adskiller Sveriges it-skandale sig foreløbig fra de tilfælde af it-sikkerhedssvigt i Danmark, som Datatilsynet og Rigsrevisionen har afdækket.

Dels blev den følsomme data gjort tilgængelig for østeuropæiske it-ansatte i IBM, altså ikke-svenskere. Og dels blev de it-ansatte ikke sikkerhedsgodkendt, inden de fik adgang til den følsomme data.

At de ikke blev det, skyldes ifølge den tidligere generaldirektør i Transportstyrelsen i Sverige, at Transportstyrelsen ikke var klar over, at de rådede over følsom data af en kaliber, der nødvendiggjorde sikkerhedsgodkendelser. F.eks. kunne tilsyneladende ukritiske oplysninger om kørekort, bilregistre samt oplysninger om veje og broer misbruges af fremmede magter til at finde identiteter på svenske agenter og mulige angrebspunkter ved en invasion.

Det er en generel problematik i den offentlige sektor, som blandt andet David Dreyer Lassen, professor i økonomi ved Københavns Unviersitet, har påpeget i en kommentar i Børsen:

»Konklusionen fra den svenske skandale har ikke meget med udlicitering at gøre, men handler reelt om, at (også) ledere i den offentlige sektor skal kende til deres fagområder. Det vil være et godt sted at begynde.«

Tvivl om sikkerhedsgodkendelse

I Danmark er det Forsvarets Efterretningstjeneste, der foretager sikkerhedsgodkendelser af virksomheder, der udfører arbejde for Forsvaret. For øvrige statslige myndigheder er det PET, der foretager sikkerhedsundersøgelser, når de bliver bedt om det af en offentlig myndighed.

Hack og læk af e-mails kom til at spille stor – og måske afgørende – rolle i den amerikanske præsidentvalgkamp sidste år. Her en senatshøring med tidligere FBI-direktør James Comey. Det er angiveligt hackere fra samme gruppe, som hackede Det Demokratiske Parti, der er brudt ind i det danske Forsvarsministerium.
Læs også

Hvornår data er af en så følsom karakter, at det kræver sikkerhedsgodkendelse af medarbejderne, er imidlertid noget sværere at blive klog på.

»Det er ikke noget, vi kigger på, for det er ikke reguleret af vores lovgivning. Vi kigger alene på, om persondataloven overholdes af offentlige myndigheder,« siger Jesper Husmer Vang fra Datatilsynet.

Han henviser til Statsministeriets regler for sikkerhedsgodkendelse, men Statsministeriet henviser til Justitsministeriet, som ifølge en presseansvarlig »overtog ansvaret i 2014 eller 2015«.

I Justitsministeriet kan man ikke oplyse om, hvornår en person skal sikkerhedsgodkendes for at arbejde med personfølsom data. En presseansvarlig henviser til cirkulæret om sikkerhedsbeskyttelse.

Her fremgår det, at det er den enkelte offentlige myndighed, der »træffer afgørelse om sikkerhedsgodkendelse af ansatte i myndigheden og ansatte i private firmaer, der arbejder for den offentlige myndighed«.

Tilsyneladende er det altså den enkelte myndigheds opgave at finde ud af, hvornår en ansat bør sikkerhedsgodkendes. En praksis, der bekymrer lektor Hanne Marie Motzfeldt:

»Jeg tror sagtens, der kan være mange danske myndigheder, som ikke er bevidste om, hvor følsom data de egentlig råder over. For data kan være fuldstændig udskadelig i én kontekst, men meget følsom i en anden,« siger hun og fortsætter:

»Når vi sammenholder det med, hvor afslappet danske myndigheder generelt har forholdt sig til it-sikkerhed, tror jeg virkelig, der er grund til at være bekymret.«

Kontorchef i Digitaliseringsstyrelsen Marlene Wiese Svanberg mener derimod, at reglerne for, hvornår der er krav om sikkerhedsgodkendelse, er »klare«.

»For alle myndigheder gælder det, at alle it-projekter og it-systemer vurderes ud fra en konkret risikovurdering,« siger hun.

»Det er vurderingen af det enkelte it-system, der afgør, hvornår de ansatte skal sikkerhedsgodkendes – og det gælder selvfølgelig uanset, om det er offentligt ansatte eller leverandører.«

Hun tilføjer, at EU’s nye databeskyttelsesforordning, der træder i kraft til næste år, medfører skrappere regler – blandt andet i forhold til hvilke krav, der skal stilles til leverandører og underleverandører.

Bliv opdateret med nyt om disse emner

Træt af forstyrrende annoncer?

Få Information.dk uden annoncer for 20. kr. pr. måned

Køb

Er du abonnent? Så slipper du allerede for annoncer. Log ind her

Anbefalinger

  • Brugerbillede for Eva Schwanenflügel
    Eva Schwanenflügel
  • Brugerbillede for Michael Hullevad
    Michael Hullevad
Eva Schwanenflügel og Michael Hullevad anbefalede denne artikel

Kommentarer

Brugerbillede for Poul Solrart Sørensen
Poul Solrart Sørensen

Mon ikke systemet har en selvcensur overfor at den slags når ud til offentligheden. Hvis data tilsynet er som alle andre danske tilsyn så er der ingen der realiteten aner hvad der er foregået og foregår.
- Jeg har hørt kriminelle prale af at de havde adgang til flere personer i en bestemt kommune, hvor de kunne få oplysninger udlevert om hvem som helst.....

Brugerbillede for Thomas Faisst
Thomas Faisst

Datasikkerhed er noget mærkeligt noget i DK.
Når en ansat i FE er ud at rejse, så bliver hans/hendes computer merkuleret efter rejsen.
Til gengæld udfylder de ansatte APV´er (arbejdspladsvurderinger), lavet af samme firma, som jeg udfylder som statsansat.
I øvrigt samme firma som laver kundetilfredsheds undersøgelser i min bank!
Et det i orden at et privat ( vist nok amerikansk) firma ligger inde med den slags oplysninger?

Brugerbillede for niels astrup

1) Poul Solart Sørensen: " Mon ikke systemet har en selvcensur overfor at den slags når ud til offentligheden.".

Jov - og det værste er, at de organisationer, der skulle stå i vores allesammens ringhjørne, ikke kan se noget problem. Den seneste måneds værste udmelding gik desværre under i nyhedsstrømmen: Kræftens Bekæmpelse siger, at sikkerheden omkring vores patientdata er i orden...

https://www.b.dk/nationalt/kraeftens-bekaempelse-danskernes-sundhedsdata...

2) Jeg ved, at dette er en smule nørdet. Men bær over med mig: Jeg har en computer med operativsystemet Tails, som udmærker sig ved at være det sikreste overhovedet. Den er sikker; men kan ikke bruges i kontakt med offentlige systemer - som det ellers kræves. (Faktisk krævede en offentligt ansat, at jeg installerede Windows på maskinen).

Når jeg ikke kan snakke med de offentlige systemer er det bevis på en ting: At sikkerheden overhovedet ikke har været et parameter i vores verdensklasse-digitalisering.

3) Det starter tidligt. I den lokale landsbyskole har ungerne fået udleveret en chromebook. Og så forventes det at hele årgangen snakker via googles forskellige tjenester, gemmer sine opgaver i googles sky og, generelt, giver Google millioner af datapunkter.

Det bliver præsenteret HELT ukritisk på kommunens hjemmeside:
http://rebild.dk/nyhed/rebilds-skoler-i-front-paa-it

Mine drenge bruger så ubuntu-computere - som er en OK blanding af sikkerhed og brugervenlighed. De 800 kr vi sparede ved at købe computere uden styresystemer, har vi så brugt på mere ram og harddisk.

Den lokale skole fraråder dem - og beder om at egne devices er Windows-computere!