Datatilsynet: Rigspolitiets datasikkerhed var "overordentlig kritisabel"

03 september 2015

Bagmanden bag "Danmarks største hackersag", svenske Per Gottfrid Svartholm Warg, fik d. 17. juni 2015 i Østre Landsret stadfæstet sin dom på 3½ års fængsel for uberettiget at have skaffet sig adgang til millioner af danskeres CPR-numre, kørekortnumre samt Schengen-registret over eftersøgte personer gennem systemer, som Rigspolitiet er dataansvarlig for. Datatilsynet har nu rettet omfattende kritik mod Rigspolitiet for manglende datasikkerhed.

En en række danske myndigheder – herunder Rigspolitiet, SKAT, Økonomi- og Indenrigsministeriet (nu Social- og Indenrigsministeriet) og Moderniseringsstyrelsen får driftet deres it-system hos den samme leverandør.

Systemet blev afviklet på fire forskellige diskpartitioner, såkaldte Logical Partitions (LPAR's) – hhv. D11, D12, D13 og D14 – som sammen med et delt disksystem blev afviklet fra samme mainframe. Mainframens sikkerhedssystem (RACF) blev afviklet på det delte disksystem og indeholdt en database med bruger-id og passwords for ca. 85.000 medarbejdere hidrørende fra forskellige myndigheder, som hver især opererede på de forskellige partitioner.

I partitionen D11 var der installeret en såkaldt aktiv webservice, der kunne tilgås fra det åbne internet. Der var tale om websitet tjenestemandspension.dk, hvor tjenestemænd kunne finde oplysninger om deres pensionsordning. Dataansvarlig for websitet var Moderniseringsstyrelsen.

Rigspolitiet anvendte imidlertid også partitionen D11 i forbindelse med et såkaldt konsistenscheck af data i det nationale Schengen-register. Til disse konsistenscheck blev foretaget et dataudtræk af oplysningerne i det centrale Schengen-register for at undersøge, om det nationale register stemte overens. Dette dataudtræk blev lagret på det delte disksystem i filen X, der kunne tilgås fra alle fire partitioner – også efter konsistenschecket var gennemført.

I forbindelse med hackerangrebet, der stod på fra d. 9. marts 2012 til d. 27. august 2012, lykkedes det den svenske hacker at udnytte såkaldte zero-day sårbarheder i webserveren – tjenestemandspension.dk – og således trinvist "bygge bro" mellem den del af partition D11, der tilhørte Moderniseringsstyrelsen og den del, der tilhørte Rigspolitiet og herved tiltage sig gradvist mere omfattende administratorrettigheder for i sidste ende at opnå ubegrænset adgang til diskpartition D11. Det lykkedes herefter hackeren at bryde krypteringen på RACF-databasen, hvorved hackeren tilegnede sig ubegrænsede rettigheder til alt data på mainframen.

Selve udnyttelsen af zero-day sårbarheder er desværre sædvanlig inden for IT-branchen og noget, man sjældent kan undgå. Derimod kunne konsekvenserne være inddæmmet og begrænset betydeligt, hvis principperne om adskillelse, isolation og forsvar i dybden havde været efterlevet af de dataansvarlige.

Datatilsynet fandt herefter, at Rigspolitiet ikke har opfyldt persondatalovens § 41, stk. 3, hvorefter den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Specifikt kritiserede Datatilsynet Rigspolitiet for:

  • manglende isolation af Schengen-informationssystemet fra internettet,
  • utilstrækkelig isolation/adskillelse mellem de forskellige dataansvarliges informationssystemer og services,
  • for omfattende deling af IT-systemmæssige ressourcer som LPAR, operativsystem, diske og RACF mellem de forskellige dataansvarlige,
  • deling af netværksmæssige sikkerhedsforanstaltninger omkring mainframen med andre dataansvarlige, samt
  • at foretagelse af konsistenscheck af Schengen-informationssystemets database mod den tilsvarende Schengen database i Strasbourg var organiseret og tilrettelagt således, at filer med udtræk af data i Schengen-informationssystemet lå lagret på det delte disksystem, efter at konsistenschecket var udført, og filerne havde udtjent deres formål.

Rigspolitiet har siden angrebet foretaget ændringer i den netværksmæssige adgang til og fra mainframeinstallationen, ligesom sikkerheden generelt er gennemgået. Rigspolitiet oplyser desuden, at de fører et skærpet tilsyn med, at driftsleverandøren implementerer sådanne fornødne tekniske sikkerhedsforanstaltninger, der fremgår af Center for Cybersikkerhed og Politiets efterretningstjenestes rapport fra august 2014 om sikkerhedsbruddet.

Datatilsynet afventer svar på, om Rigspolitiet har overvejet at flytte informationssystemerne, som Rigspolitiet er dataansvarlig for, ud af det omhandlende mainframemiljø.