»Der er brug for en fundamental gentænkning af statens data-håndtering.«

Sådan lyder det fra professor på CBS Kim Normann Andersen oven på danmarkshistoriens største hackersag, som i går blev afsluttet. Svenske Gottfrid Svartholm Warg blev dømt for hacking af CSC, mens hans danske medtiltalte blev dømt for medvirken til forsøg på hacking.

Hackerangrebet ramte en af statens største it-leverandører, og har kompromittereret vitale persondata for den danske befolkning. Og mens staten har påbegyndt arbejde for at højne sikkerheden, så er det ikke nok, mener Kim Normann Andersen.

»Det, der er sat i gang efter denne sag breakede, handler om, at gentænke sikkerheden i forhold til, hvem der har adgang til data, samt hvor der er brug for oprustning. Men vi mangler at se opdatering af planer for, hvordan staten skal reagere når uheldet er ude, og der har været et vellykket hackerangreb,« siger han til Version2.

En stor del af truslen fra it-angreb skyldes, at mens dansk it er blevet overdraget til private virksomheder, har staten ikke opdateret sin sikkerhed tilstrækkeligt.

»For år tilbage havde vi Kommunedata, og det hele var i offentlige hænder. Det er det overhovedet ikke i dag. Sikkerhed anno 2014 er fundamental anderledes og statens sikkerhedsprocedurer har i mine øjne ikke fuldt med,« forklarer it-professoren.

Hackersagen er et »wake up call«

Trusselsbilledet fra it-kriminelle er imidlertid heller ikke blevet mindre af, at datahåndteringen ligger mange æg i samme kurv.

»Det uheldige er, at opgaverne er samlet på store internationale aktører. De står for brug, drift og transport af data. Det gør dem til meget attraktive mål for it-kriminelle. Det er en del af det trusselsbillede, som ikke er blevet opdateret,« siger Kim Normann Andersen, der dog understreger, at visse ting kan være ændret bag lukkede døre.

Forsvarsadvokaten for den nu hackerdømte Gottrid Svartholm Warg, Luise Høj, forklarede igår i retten, at konsekvenserne af angrebet kunne have været meget være. For eksempel kunne hackeren have slettet politiets registrer helt. Endnu er det dog uvist, præcis hvilken skade der er sket. Manglende logning hos CSC gør det nemlig umuligt at udelukke, om den ulovlige adgang til CSC’s mainframe er blevet brugt til at redigere i statens filer- for eksempel kriminalregistret.

Kim Normann Andersen ser sagen som en anledning til at gentænke statens it-sikkerhed fra bunden.

»Hackersagen var et wake up call. Men denne sag er ikke enestående. Der er mange historier om læk af personlige data. Derfor er man nødt til at starte fra scratch og gentænke, hvordan man vil
holde dansk data sikker, og hvordan man vil reagere, når der sker brister på sikkerheden.«

Omfanget af hackerangreb på websites, der bruger CMS-systemet Drupal, kan være langt mere omfattende end hidtil antaget ifølge udviklerne bag systemet.

Den 15. oktober kom det frem, at en kritisk SQL-sårbarhed i Drupal gjorde muligt for hackere at få adgang til at køre forespørgsler på databaserne og få adgang til fortrolige oplysninger.

Det udnyttede en hacker blandt andet til at få adgang til en række websites under Mediehuset Ingeniøren, heriblandt Version2.dk og Ing.dk, der begge kører på Drupal.

Det har været sparsomt med udmeldinger fra andre virksomheder, der kører på systemet, men noget tyder dog på, at Mediehuset Ingeniøren ikke er den eneste Drupal-bruger, der er blevet ramt.

Samtlige websites, der ikke patchede systemet inden for syv timer, er som udgangspunkt blevet kompromitteret – også selvom, systemet nu er blevet opdateret. Det oplyser Drupal-holdet.

Det skyldes, at hackerne kan have efterladt bagdøre i koden, som kan udnyttes selv efter opdateringen.

Især brugere, der har installeret deres Drupal-løsning gennem web-hoteller kan være i farezonen, da disse installationer normalt ikke bliver opdateret automatisk, når de først er lagt ind på serveren. Ligeledes kan virksomheder, der selv hoster Drupal-løsningen, være ramt, hvis de har ventet med at installere sikkerhedsopdateringen til efter den 16. oktober klokken et om natten, dansk tid. Kun i de få tilfælde, hvor web-hosten selv har ansvar for at opdatere applikationer som Drupal – og har gjort det i tide – kan man vide sig mere sikker.

Er det ikke tilfældet, bør man enten gå tilbage til en backup fra før den 15. oktober eller installere systemet helt forfra ifølge Drupal-holdet.

Læs advarslen fra Drupal.

Der er sat foreløbigt punktum i den historisk hackersag.

Retten på Frederiksberg forkastede Gottfrid Svartholm Wargs forklaring om at gerningscomputeren var fjernstyret og fandt svenskeren skyldig i danamrkshistoriens største hackersag. Gottfrid Svartholm Warg ankede med det samme sin dom på tre et halvt års fængsel.

Danske JT er derimod løsladt efter en dom på seks måneder, som han allerede har udtjent under sin 17 måneder lange varetægtsfængsling. Han blev fundet skyldig i medvirken til forsøg på hacking, og han blev således frifundet for tiltalen om at have medvirket til selve hackerangrebet, der strakte sig over måneder i 2012.

Her er dommens fulde ordlyd

K E N D E L S E

Indledning

Efter bevisførelsen, herunder de fremkomne oplysninger fra CSC Danmark A/S (CSC), lægger retten til grund, at CSC i hvert fald i perioden fra den 13. februar 2012 til slutningen af august 2012 var udsat for hacking og forsøg herpå. Hackingangrebet var meget omfattende og teknisk avanceret.

CSC er en stor dansk it-virksomhed, som driver et større antal it-systemer for private virksomheder og offentlige institutioner, herunder Rigspolitiet og Økonomi- og Indenrigsministeriet. CSC opbevarer data for sine kunder, blandt andet kriminalregisteret, kørekortregisteret, Schengen Informationssystemet og CPR-registeret. Dataene opbevares på en IBM mainframe (stor centraliseret computer) med styresystemet z/OS. Mainframen har en FTP-server og en webserver tilknyttet.

Det er efter bevisførelsen fastlagt, at der fra den 13. februar 2012 blev gjort flere forsøg på at skaffe sig uberettiget adgang til CSC’s mainframe. Den 7. april 2012 blev der første gang skaffet uberettiget adgang til mainframen. Der blev herefter i perioden indtil ultimo august 2012 kopieret og downloadet en meget stor mængde data, som indeholdt oplysninger fra blandt andet politiets registre. Dataene blev downloadet via forskellige udenlandske IP-adresser.

Den uberettigede adgang til CSC’s mainframe blev opdaget, fordi svensk politi henledte dansk politis opmærksomhed på, at svensk politi i forbindelse med efterforskningen af en straffesag i Sverige mod tiltalte T1 havde fået mistanke om, at der fra tiltalte T1s computere var skaffet adgang til CSC’s systemer.

Tiltalte T1 blev på foranledning af svensk politi anholdt af cambodiansk politi den 30. august 2012 i sin lejlighed i Phnom Penh i Cambodia og har siden været frihedsberøvet i henholdsvis Sverige og Danmark, hvortil han blev udleveret.

Der blev under svensk politis efterforskning på en computer tilhørende tiltalte T1 fundet en tekstfil. Tekstfilen fremstod som en chatsamtale over internettet den 13. og 14. februar 2012 mellem to personer benævnt ved nicknavnene (internetalias) My Evil Twin og Advanced Persistent Terrorist Threat. Indholdet af chatten indikerede, at personerne udviste interesse for at skaffe sig adgang til CSC’s mainframe, herunder politiets systemer.

Tiltalte T2 blev anholdt den 5. juni 2013 i København og har siden været frihedsberøvet.

Logica-sagen

Tiltalte T1 blev under en straffesag i Sverige ved endelig dom af 25. september 2013 fundet skyldig i over en periode fra 1. januar 2010 til 15. april 2012 at have foretaget ulovlig dataindtrængen i en mainframe tilhørende Logica Sverige AB, nu CGI (Logica). Logica er en svensk it-virksomhed, der opbevarer data for blandt andet svensk politi.

Ifølge dommen blev forholdet begået sammen med MG, som i forbindelse med straffesagen blev anholdt af svensk politi den 15. april 2012, varetægtsfængslet den 18. april 2012 og løsladt den 19. juni 2012.

Den ulovlige dataindtrængen hos Logica fandt sted via en FTP-server, og der blev til brug for indtrængen blandt andet anvendt et script (program) navngivet “kuku”. Der blev downloadet filer fra Logica, blandt andet til en server på rådhuset i Phnom Penh i Cambodia og via en tysk IP-adresse med nummeret 93.186.170.54. Den tyske IP-adresse var efter det oplyste tilknyttet en server i Tyskland, som havde været udlejet. Serveren var derefter blevet overtaget af en ukendt hacker, inden den i juli 2012 blev slettet uden backup.

Adgang til CSC’s systemer

Efter bevisførelsen var der den 13. og 14. februar 2012 forsøg på uberettiget login på CSC’s FTP-server tilknyttet mainframen. Den 3., 4. og 9. marts 2012 var der endvidere 515 forsøg på login på CSC’s FTP-server fra den tyske IP-adresse (93.186.170.54). Der var derudover frem til den 7. april 2012 flere hundrede besøg på CSC’s webserver fra den tyske IP-adresse og fra cambodianske IP-adresser.

Den 7. april 2012 fandt den første konstaterede uberettigede adgang til CSC’s mainframe sted ved udnyttelse af en hidtil ukendt sårbarhed (zer0day) i webserveren. Der blev til brug for adgangen benyttet to domæner, henholdsvis tjenstemandspension.dk og tn3270.sdn.dk. Der blev derved skaffet adgang til politiets system på mainframen.

Den 8. april 2012 blev der uautoriseret overført et script navngivet ”koki” til politiets system på CSC’s mainframe, hvorved brugeren fik eskaleret sine brugerrettigheder til administratorrettigheder til systemet.

Ligeledes den 8. april 2012 blev der på CSC’s mainframes webserver uautoriseret oprettet et script, som indeholdt en kopieret og ændret udgave af et allerede eksisterende script. Dette nye script udgjorde den såkaldt første bagdør (adgang til computeren uden normale sikkerhedskontroller). Der blev via bagdøren ved hjælp af et eksternt script skabt adgang til at udføre kommandoer, herunder til at automatisere udkopiering af data fra CSC’s systemer.

Der blev endvidere den 8. april 2012 uautoriseret på CSC’s mainframes internetserver tilføjet en ny linje i en konfigurationsfil (kaldet anden bagdør), samt tilføjet endnu en linje (kaldet tredje bagdør). Der blev derved skabt uautoriserede muligheder for at tilgå CSC’s systemer. Adgangen via anden og tredje bagdør blev ikke logget (registreret) hos CSC.

Herefter skete der uautoriseret efterspørgsel og download af store mængder data fra CSC’s mainframe, hvoraf størstedelen hidrørte fra politiets system. Den 10. april 2012 skete første større download af data ved, at hele RACF-databasen (central brugerdatabase i mainframecomputeren), som indeholdt omkring 84.000 brugernavne og krypterede passwords, blev downloadet.

Download skete blandt andet ved komprimering og omdøbning af filer og datasæt i forbindelse med kopiering af data ud til en offentligt tilgængelig mappe på CSC’s webserver (pub-mappe), hvorefter filerne kunne tilgås via internettet af enhver med kendskab til filnavnet. Filerne blev herefter downloadet og slettet fra den offentligt tilgængelige mappe.

Udover download af RACF-databasen den 10. april 2012 skete der blandt andet download af større mængder data fra CSC’s mainframe alle dage den 11.-16. april 2012, den 21.-22. april 2012, den 16.-17. juni 2012, den 24.-25. juni 2012, den 30. juni 2012, den 12.-13. juli 2012, den 20. juli 2012, den 22. juli 2012, den 28. juli 2012, den 1. august 2012, den 10.-11. august 2012, den 14.-16. august 2012 og den 27. august 2012.

De downloadede filer og datasæt vedrørte navnlig personfølsomme data fra CPR-registret, politiets indexregistre, kriminalregistret, kørekortregistret og Schengen Informationssystemet.

Den seneste uberettigede aktivitet på CSC’s mainframe fandt ifølge bevisførelsen sted den 28. august 2012.

De tre bagdøre, som gav uautoriseret adgang til CSC’s mainframe, blev ifølge vidnet Gs forklaring fjernet af CSC således, at første bagdør blev fjernet omkring den 27. februar 2013, mens anden og tredje bagdør blev fjernet senest den 6. marts 2013.

Tiltalte T1s computere

I forbindelse med anholdelsen af tiltalte T1 den 30. august 2012 blev der af Cambodiansk politi beslaglagt blandt andet to computere tilhørende ham; en stationær computer med to harddiske, hvoraf den ene harddisk var I forbindelse med anholdelsen af tiltalte T1 den 30. august 2012 blev der af cambodiansk politi beslaglagt løst tilknyttet, og en bærbar computer af mærket MacBook Pro.

Den konkrete opsætning af tiltalte T1s computere inden anholdelsen, herunder af routeren, blev ikke undersøgt og dokumenteret af cambodiansk politi.

Tiltalte T1s computere blev efterfølgende beslaglagt af svensk politi, og dansk politi har alene haft mulighed for at undersøge computerne i Sverige.

På den stationære computer, som var navngivet Metaverse, var der tre brugerkonti. På computerens faste harddisk blev der blandt andet fundet seks filer med data fra det danske kriminalregister (data for i alt 91.011 personnumre), to filer indeholdende kopier af CSC’s RACF-database, filer med søgninger i Schengen Informationssystemet, filer med lister af datasæt fra CSC og en såkaldt Hercules-emulator (software der muliggør simulering af en mainframe) med brugeren APT2011 tilknyttet. I en række scripts blev der fundet henvisninger til IP-adresser tilhørende CSC, Nordea i Sverige og en iransk mainframe.

På den stationære computers løse harddisk blev der fundet en række filer med data og systemfiler fra Logica og CSC, herunder et stort antal mapper og filer fra CSC’s mainframe. Derudover blev der fundet en fil benævnt ”koki”, der indeholdt det script, som den 8. april 2012 blev benyttet til at opnå administratorrettigheder på CSC’s mainframe.

På den bærbare computer var der syv brugerkonti. Det fremgår af politiets undersøgelser, at computeren blev navngivet Flechette den 16. november 2010. Samme dato blev der første gang installeret Windows på computeren, og der blev skabt en såkaldt krypteret container (krypteret del af harddisk som åbnes med password). Der blev endvidere samme dag etableret et link fra chatprogrammet mIRC til den krypterede container.

I den krypterede container blev der fundet et meget stort antal mapper og filer.

I en mappe navngivet ”cpr” i den krypterede container blev der fundet filer downloadet fra CSC’s mainframe, herunder et udtræk af Schengen Informationssystemet bestående af navne, fødedata og efterlysningskategorier på efterlyste personer i Schengenlandene, anmeldelseskvitteringer fra Bornholms Politi og en fil med CPR-numre for ikke under 4.000 personer og generalia på 170 personer med navne- og adressebeskyttelse. I samme mappe blev der endvidere fundet filer fra Logica samt den tekstfil, hvor chatten af 13. og 14. februar 2012 mellem Advanced Persistent Terrorist Threat og My Evil Twin var gemt.

Ligeledes i mappen navngivet ”cpr” i den krypterede container blev der fundet en række logfiler. En af disse logfiler viste, at der den 4. marts 2012 fra den stationære computer var 50 loginforsøg på CSC’s FTP-server samtidig med, at der skete indtrængen i og kopiering af filer fra Logicas mainframe i Sverige.

En anden logfil viste blandt andet, at der den 7. og 8. april 2012 fra den stationære computer blev etableret adgang til CSC’s mainframe via domænet tn3270.sdn.dk ved udnyttelse af en sårbarhed i webserveren. Der blev herefter etableret endnu en forbindelse til CSC’s mainframe via domænet tjenestemandspension.dk.

En tredje logfil viste handlinger foretaget på CSC’s mainframe via CSC’s webserver den 8. april 2012 med blandt andet opgradering af scripts og forsøg på at downloade RACF-databasen via en IP-adresse i Cambodia.

En fjerde logfil viste blandt andet, hvordan der den 10. april 2012 blev skabt forbindelse fra den stationære computer til CSC’s mainframe via webserveren ved hjælp af den første bagdør. Logfilen viste endvidere, at hele RACF-databasen blev kopieret og downloadet via en cambodiansk IP-adresse til en server tilhørende rådhuset i Phnom Penh i Cambodia, ligesom der opnåedes yderligere rettigheder på mainframen.

En femte logfil viste, at der den 21. april 2012 blev flyttet 38 filer fra CSC’s mainframe til CSC’s webservers offentlige mappe (pub-mappe). Der blev endvidere søgt information og sendt forespørgsler til mainframen mere end 100 gange. Der blev navnlig søgt efter filer vedrørende politiet, Rigspolitiet og Interpol, og en række scripts blev modificeret og tilpasset.

Der blev i den krypterede container endvidere fundet en mappe navngivet ”mysec”, som indeholdt ca. 1.100 filer. I mappen fandtes filer vedrørende firmaet Mysec, der er et firma, som tiltalte T1 har udført arbejde for. Der blev blandt andet fundet en faktura dateret den 4. maj 2010 til Mysec for softwareudvikling. Fakturaen fremstår som udstedt af firmaet Arocore Co., Ltd, hvilket firma tiltalte T1 ligeledes har udført arbejde for.

På den del af den bærbare computers harddisk, som ikke var krypteret, blev der fundet en række genveje, der viste, at man flere gange havde været inde i filer i den krypterede container. På et skrivebord forefandtes to genveje, der viste, at der fra den bærbare computer var skabt forbindelse til et program, der kunne betjene Hercules-emulatoren på den stationære computer. Fundne filer viste, at 27 af de 32 IP-adresser, der havde været anvendt til hackingen af CSC og forsøgene herpå, havde været tilgået fra den bærbare computer. Det drejede sig om IP-adresser til servere i Cambodia, Iran og Tyskland, ligesom domænet tilhørende rådhuset i Phnom Penh i Cambodia også havde været tilgået fra den bærbare computer.

Tiltalte T2s computer

I forbindelse med anholdelsen af tiltalte T2 den 5. juni 2013 blev der hos ham beslaglagt en bærbar computer af mærket Lenovo og en hul skakbrik indeholdende et micro SD-kort.

Computeren var indkøbt den 13. maj 2013 og indeholdt en stor mængde data, hvoraf størstedelen var krypteret. SD-kortet indeholdt to dekrypteringsnøgler til de krypterede partitioner (dele af harddisken). Tiltalte T2 har ikke ønsket at medvirke til dekryptering, og det er kun lykkedes politiet at få delvis adgang til indholdet af computeren. I den krypterede del, som politiet har skaffet sig adgang til, var materialet ikke læsbart.

I det læsbare materiale på computeren blev der blandt andet fundet dokumenter vedrørende historiske hackersager, data fra kendte hackerangreb, herunder brugernavne, e-mails og passwords, en vejledning i brug af z/OS styresystemer og dokumenter fra en offentliggjort svensk forundersøgelse vedrørende straffesagen mod tiltalte T1 i Sverige. Der blev endvidere fundet en kvittering for leje af servere med mulighed for at benytte diskplads.

Chatten af 13. og 14. februar 2012

Tekstfilen med chatten blev fundet i mappen navngivet “cpr” i den krypterede container på tiltalte T1s bærbare computer. Tekstfilen fremstår som uddrag af en chat mellem to personer benævnt My Evil Twin og Advanced Persistent Terrorist Threat. Chatten begynder den 13. februar 2012 kl. 14:07:07 og slutter den 14. februar 2012 kl. 13:31:04 og er tidsmæssigt opdelt i samtaler, som tilsammen varer ca. otte og en halv time.

Chatten i tekstfilen er enslydende gengivet to gange i umiddelbar forlængelse af hinanden og fremstår som værende kopieret to gange ind i samme dokument. Hovedparten af chatten foregår på engelsk, mens en lille del foregår på dansk.

Tiltalte T2 har forklaret, at han var den ene deltager i chatten og ophavsmand til den tekst, der står ud for Advanced Persistent Terrorist Threat, men at han ikke har anvendt dette navn i chatten. Han mener ikke, at han chattede med en person med nicknavnet My Evil Twin, men at den person, han chattede med, anvendte nicknavnet “era”, og at han selv anvendte nicknavnet “Joe”.

Under chatten blev der den 13. februar 2012 indsat en kopi af et svar fra CSC’s FTP-server, som var sendt på det samme tidspunkt, som chatten angives at finde sted. Ligeledes blev der den 14. februar 2012 i chatten indsat en kopi af et svar fra CSC’s FTP-server, hvoraf fremgår, at tiden på CSC’s server svarer til det tidspunkt, som også angives i chatten.

På baggrund heraf finder retten ikke grundlag for at betvivle, at chatten har fundet sted på de angivne tidspunkter og i hvert fald med det udfundne indhold, ligesom det lægges til grund, at de nicknavne, der oprindeligt blev anvendt, efterfølgende er blevet ændret, fx ved benyttelse af programmet Pidgin, som er fundet på tiltalte T1s bærbare computer.

Generelle bemærkninger

CSC’s mainframe, som handlingerne har været rettet imod, befinder sig i Danmark. Da handlingernes strafbarhed påvirkes af, hvilke virkninger der indtræder eller tilsigtes at indtræde på CSC’s mainframe, kan handlingerne straffes her i landet, uanset om de måtte være foretaget uden for Danmark eller gennem servere, der befandt sig uden for Danmark, jf. straffelovens § 9, stk. 2.

Efter straffelovens § 263, stk. 2, kan man straffes med fængsel i 1 år og 6 måneder, hvis man skaffer sig adgang til en andens oplysninger eller programmer, der er bestemt til at bruges i et informationssystem. Hvis forholdet begås under særligt skærpende omstændigheder, eller hvis der er tale om overtrædelser af mere systematisk eller organiseret karakter, kan straffen efter § 263, stk. 3, 1. og 2. punktum stige til fængsel indtil 6 år.

Der fremgår af forarbejderne til straffelovens § 263, stk. 3, 1. punktum, at det blandt andet anses som en skærpende omstændighed, hvis gerningsmanden skaffer sig adgang til offentlige it-registre.

På CSC’s mainframe blev der blandt andet opbevaret registre fra politiet og Økonomi- og Indenrigsministeriet, og disse offentlige registre indeholder stærkt personfølsomme oplysninger.

Der blev fra den 13. og 14. februar 2012 gjort forsøg på at skaffe sig uberettiget adgang til de offentlige it-registre, som blev opbevaret på CSC’s mainframe. Retten finder, at der herved foreligger i hvert fald forsøg på overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2.

Adgangen til CSC’s mainframe i perioden fra den 7. april 2012 til slutningen af august 2012 har omfattet adgang til oplysningerne i de offentlige it-registre, og de personfølsomme oplysninger er over en længere periode blevet kopieret og downloadet til servere i Cambodia, Tyskland og Iran. Henset til mængden af oplysninger downloadet fra de offentlige registre og den anvendte fremgangsmåde finder retten, at den uberettigede adgang fra den 7. april 2012 endvidere har været af systematisk og organiseret karakter og således omfattet af straffelovens § 263, stk. 3, 2. punktum.

På denne baggrund finder retten, at den uberettigede adgang til CSC’s mainframe indebærer en fuldbyrdet overtrædelse af straffelovens § 263, stk. 3, jf. stk. 2.

I forlængelse af den uberettigede adgang blev der oprettet tre bagdøre. Dette skete dels ved oprettelsen af et nyt script i systemet, og dels ved to ændringer i en konfigurationsfil. Dette medførte, at beskyttelsen af de stærkt personfølsomme oplysninger blev beskadiget, således at enhver med kendskab til disse bagdøre ville kunne få uberettiget adgang til oplysningerne. Retten finder, at der ved disse ændringer af CSC’s sikkerhedssystemer blev udøvet hærværk i betydeligt omfang, jf. straffelovens § 291, stk. 2.

Vidnet G har forklaret, at der ikke var nedbrud eller andre betydelige forstyrrelser af driften hos CSC som følge af angrebet. Da CSC i slutningen af februar 2013 af politiet blev gjort opmærksom på, at CSC havde været udsat for et hackingangreb, foretog CSC de nødvendige fejlrettelser som følge heraf – de seneste den 6. marts 2013. Fejlrettelserne blev foretaget i servicevinduer, der blev aftalt med CSC’s kunder, og der skete ikke utilsigtede nedbrud af systemerne, ligesom CSC’s kunder havde adgang til systemerne som aftalt.

Ved adgangen til CSC’s mainframe blev CSC’s informationssystemer kompromitteret, men driften af systemerne ses ikke at være blevet forstyrret på en måde, som er omfattet af ordlyden af eller forarbejderne til straffelovens § 193, idet CSC og CSC’s kunder både før, under og efter hackingangrebet havde sædvanlig uforstyrret adgang til systemerne. Retten finder derfor, at straffelovens § 193 ikke er overtrådt.

Tiltalte T1

Efter bevisførelsen lægger retten til grund, at loginforsøgene, den efterfølgende uberettigede adgang til CSC’s mainframe, ændringerne på systemet samt download af filer og datasæt, er foregået fra tiltalte T1s computere, hvilket heller ikke er bestridt af tiltalte T1.

Tiltalte T1 har nægtet sig skyldig og har forklaret, at hans computere har været fjernstyret under hele forløbet. Han har endvidere afvist, at det var ham, der den 13. og 14. februar 2012 deltog i chatten under nicknavnet My Evil Twin.

Tiltalte T1 har afgivet forskellige forklaringer om, hvem der har sat hans computere op, og hvorledes fjernstyring af disse var mulig. Han har endvidere forklaret, at hans computere var sat op til at virke som lab-computere, hvilket indebar, at de kunne benyttes af andre til udvikling og test. Dansk og svensk politi samt Center for Cybersikkerhed har i den anledning foretaget en række undersøgelser og analyser af muligheden for fjernstyring af tiltalte T1s bærbare computer. Undersøgelserne viste ikke spor af eller tegn på fjernstyring.

Retten finder efter en samlet vurdering, hvori også indgår det forhold, at den originale opsætning af tiltalte T1s computere ikke er dokumenteret og ikke kan genskabes, at der ikke er fuldt tilstrækkeligt grundlag for at afvise, at der har eksisteret en mulighed for fjernstyring af tiltalte T1s computere.

Tiltalte T1 har forklaret, at han ikke har installeret den krypterede container på sin bærbare computer, og at han ikke har reflekteret nærmere over, at der eksisterede en krypteret container, eller hvad der var lagret i denne.

Efter bevisførelsen lægger retten til grund, at den bærbare computer blev navngivet Flechette af tiltalte T1 den 16. november 2010, og at den krypterede container blev skabt på computeren samme dag. Der blev endvidere samme dag etableret et link fra chatprogrammet mIRC til den krypterede container, og på et skrivebord på den bærbare computer var der etableret en genvej til den krypterede container.

I den krypterede container blev der blandt andet fundet filer, som kan relateres til tiltalte T1s arbejde. Der blev endvidere i den krypterede container i samme mappe fundet filer downloadet fra både Logica og CSC.

Der blev derudover i den krypterede container fundet en logfil, der viste, at der i perioden den 3. og 4. marts 2012 fra tiltalte T1s computere blev foretaget adskillige loginforsøg på CSC’s FTP-server samtidig med, at der blev downloadet filer fra Logicas mainframe. Tiltalte T1 er i Sverige dømt for at have foretaget ulovlig dataindtrængen hos Logica i den pågældende periode.

Retten forkaster på denne baggrund tiltalte T1s forklaring om, at han ikke selv har installeret og bevidst benyttet sig af den krypterede container. Retten har herved lagt særlig vægt på indholdet af den krypterede container samt på, at computeren blev navngivet af tiltalte T1 samme dag, som den krypterede container og genvejen til mIRC blev skabt.

Tiltalte T1 har forklaret, at han ved anholdelsen i Cambodia var i besiddelse af en HP-computer, som var hans personlige computer, og den han brugte mest, samt at denne computer må være forsvundet i forbindelse med cambodiansk politis ransagning. Retten forkaster denne forklaring og har herved lagt vægt på, at forklaringen er uunderbygget og tillige utroværdig, da tiltalte T1 først har forklaret herom under byretssagen i Sverige mange måneder efter sin anholdelse.

Tiltalte T1 har forklaret, at han ikke har installeret eller anvendt Hercules-emulatoren på sin computer. Der var imidlertid på hans stationære computer installeret en Hercules- emulator med brugernavnet APT2011, og på et skrivebord tilknyttet en af brugerne på den bærbare computer fandtes to genveje til et program, der anvendes til styring af Hercules.

Tiltalte T1 har afvist kendskab til filerne fra CSC på sine computere. Af to filer fundet på den stationære computer fremgår, at der i det downloadede udtræk af Schengen Informationssystemet på den bærbare computer blandt andet var foretaget søgninger på forskellige talkombinationer relateret til tiltalte T1s fødselsdato samt på ”Svarth”, som er begyndelsen på tiltalte T1s mellemnavn.

Tiltalte T1 blev anholdt den 30. august 2012 og har siden været frihedsberøvet. Dette er tidsmæssigt sammenfaldende med, at der efter CSC’s oplysninger ikke siden den 28. august 2012 har været konstateret uberettiget aktivitet på CSC’s mainframe på trods af, at de tre etablerede bagdøre stod åbne frem til februar og marts 2013 og kunne benyttes af enhver med kendskab hertil.

Retten har foretaget en samlet vurdering af de ovenstående forhold og har sammenholdt dette med hackingangrebets lange tidsmæssige udstrækning, den teknisk avancerede metode og det meget store omfang, herunder download af meget store mængder data via blandt andet den tyske IP-adresse, som også blev anvendt i Logica-sagen.

Retten har endvidere taget i betragtning, at tiltalte T1 ikke har ønsket at oplyse nærmere om identiteten på de personer, som han har angivet har haft mulighed for at fjernstyre hans computere, og heller ikke nærmere har redegjort for, hvorledes fjernstyringen i givet fald konkret skulle have fundet sted.

4 nævninger og 3 dommere udtaler herefter:

Når dette ses i tidsmæssig sammenhæng med chatten af 13. og 14. februar 2012 og chattens indhold, særligt at der i chatten nævnes en Hercules-emulator med brugernavnet APT2011, den tyske IP-adresse og domænet riviera.thelatticeteam.com, hvortil tiltalte T1 ubestridt har tilknytning, samt det forhold, at begge deltagere i chatten forstår dansk, finder vi det bevist, at det var tiltalte T1, der deltog som My Evil Twin under chatten med tiltalte T2 den 13. og 14. februar 2012.

På grundlag af chattens indhold og det forhold, at tiltalte T1 i Sverige er dømt for ulovlig dataindtrængen i en mainframe tilhørende Logica, lægger vi til grund, at tiltalte T1 besidder indgående kendskab til mainframes og styresystemet z/OS.

Vi finder det herefter usandsynligt, at andre personer end tiltalte T1 skulle have betjent hans computere i forbindelse med hackingen af CSC, og vi forkaster derfor tiltalte T1s forklaring om, at hans computere har været fjernstyret.

Det kan i den forbindelse ikke tillægges nogen betydning, at det ikke klart af efterforskningen fremgår, hvilke af brugerkontiene oprettet på tiltalte T1s computere, der har været undersøgt, da han må have været fuldt ud bekendt med disse brugerkonti og deres funktion. Det forhold, at der var flere brugerkonti på computerne, er endvidere ikke ensbetydende med, at der var andre brugere end tiltalte T1.

I chatten blev der indsat oplysninger, som klart beviser, at tiltalte T1 under chatten den 13. og 14. februar 2012 blandt andet ved hjælp af de oplysninger om mulige brugernavne, der blev udvekslet, forsøgte at skaffe sig uberettiget adgang til politiets system via den FTP-server, som var forbundet til CSC’s mainframe.

Vi finder det herefter bevist, at det var tiltalte T1, som i hele gerningsperioden bevidst forsøgte og skaffede sig uberettiget adgang til CSC’s it-systemer og i den forbindelse begik hærværk af betydeligt omfang, og vi stemmer for at domfælde ham i overensstemmelse hermed.

To nævninger udtaler:

Efter bevisførelsen finder vi, at der fortsat udestår en ikke ubetydelig usikkerhed i relation til, om der kan have været personer, som har fjernstyret tiltalte T1s computere. Vi har herved lagt vægt på, at der forefindes mange tekniske muligheder for fjernstyring, og at efterforskningen ikke i tilstrækkeligt sikkert omfang har kunnet afkræfte, at fjernstyring har fundet sted, eller at andre gerningsmænd har været involveret.

Chatten af 13. og 14. februar 2012 er lagret som en kopieret tekstfil og fremtræder alene som et uddrag af en længere chatsamtale. Derudover er det muligt, at der er flere personer, som har deltaget i chatten. På denne baggrund finder vi, at der er usikkerhed forbundet med at anse det for bevist, at det var tiltalte T1, der under navnet My Evil Twin deltog i chatten.

Uanset om tiltalte T1 måtte have været bekendt med, at hans computere blev benyttet til hackingen af CSC, finder vi derfor efter en samlet vurdering, at der er rimelig tvivl om, at tiltalte T1 har gjort sig skyldig i den rejste tiltale. Vi stemmer derfor for at frifinde tiltalte T1.

Afgørelse vedrørende tiltalte T1

Efter stemmeafgivningen er tiltalte T1 herefter skyldig i overtrædelse af straffelovens § 263, stk. 3, jf. stk. 2, jf. til dels § 21, og § 291, stk. 2, i det i anklageskriftet anførte omfang med den ændring, at handlingerne indtil den 7. april 2012 alene udgjorde forsøg, og at handlingerne efter den 14. februar 2012, herunder adgang til CSC’s it-systemer og kopiering og download af filer og datasæt, ikke skete i forening med tiltalte T2, jf. nærmere herom nedenfor, samt at ændring af konfigurationsfilen skete efter, at der blev skaffet adgang via en sårbarhed i webserveren.

Da der ikke er fremkaldt omfattende forstyrrelse i driften af CSC’s it-systemer, frifindes tiltalte T1 for overtrædelse af straffelovens § 193, stk. 1.

Tiltalte T2

Tiltalte T2 har nægtet sig skyldig og har ikke ønsket at udtale sig før under hovedforhandlingen af sagen. Han har forklaret, at han under chatten den 13. og 14. februar 2012 blev introduceret til programmet Hercules og udstyret med en virtuel mainframe computer, som han kørte på sin egen computer under chatten, og at han blev undervist af My Evil Twin/era i brugen heraf. Han har videre forklaret, at chatten drejede sig om hacking og om at prøve at logge ind på CSC, og at han oplyste My Evil Twin/era brugernavne, som muligt kunne bruges til at få adgang til CSC’s mainframe.

Retten lægger efter indholdet af chatten og tiltalte T2s egen forklaring til grund, at formålet med den langvarige chat blandt andet var, at tiltalte T2 ved brug af Hercules-emulatoren ville lære, hvorledes en mainframe med et z/OS-styresystem fungerede og kunne betjenes.

Tiltalte T2 har yderligere forklaret, at hans formål med chatten var at forsøge at finde ud af, om det var muligt at hacke en virkelig mainframe, hvilket understøttes af indholdet af chatten, hvoraf også fremgår, at der blev udvekslet oplysninger, som åbenbart var relateret til CSC’s mainframe og det forhold, at politiets registre blev opbevaret herpå.

Under chatten oplyste tiltalte T2 blandt andet en e-mailadresse mv. tilhørende “gan003″, hvilke oplysninger umiddelbart herefter blev brugt af My Evil Twin til et loginforsøg på CSC’s FTP-server. CSC serversvar på loginforsøget blev indsat af My Evil Twin i chatten, så det blev synligt for tiltalte T2.

Der blev endvidere under chatten indsat oplysninger, som klart viste, at My Evil Twin samtidig med chatten blandt andet ved hjælp af de oplysninger om mulige brugernavne, der blev udvekslet, forsøgte at skaffe sig adgang til CSC’s mainframe via FTP-serveren, hvilket må have stået klart for tiltalte T2.

På denne baggrund er det bevist, at tiltalte T2 har medvirket til forsøg på at få adgang til CSC’s mainframe den 13. og 14. februar 2012.

Det forhold, at de oplysninger, som tiltalte T2 bidrog med under chatten, måtte være offentligt tilgængelige, kan i den forbindelse ikke tillægges nogen betydning.

Tiltalte T2 opholdt sig i perioden fra den 28. februar 2012 til den 6. marts 2012 i Phnom Penh i Cambodia, hvor han ifølge sin forklaring mødte en svensker ved navn NF. Tiltalte T2 har yderligere forklaret, at han ikke kan huske, om han mødte tiltalte T1 under opholdet.

Det fremgår af chatten, at tiltalte T2 oplyste tre brugernavne, WPOL3EDI, WRPVAAP og DMA8J1. Efter bevisførelsen blev disse tre brugernavne anvendt mindst 40 gange i dagene 3., 4. og 9. marts 2012 til forsøg på at skaffe sig uberettiget adgang til CSC.

Det fremgår endvidere af chatten, at tiltalte T2 bekræftede, at domænet tn3270.csc.dk formentlig var knyttet til politiets system, ligesom domænet tjenestemandspension.dk blev omtalt i chatten. Efter bevisførelsen blev domænerne tn3270.sdn.dk og tjenestemandspension.dk anvendt i forbindelse med den uberettigede adgang til CSC den 7. april 2012.

Efter en samlet vurdering finder retten imidlertid ikke fuldt tilstrækkeligt grundlag for at fastslå, at tiltalte T2 efter den 14. februar 2012 medvirkede til yderligere handlinger, som kan relateres til hackingen af CSC.

Retten finder endvidere, at der ikke er ført tilstrækkeligt bevis for, at tiltalte T2 ved sin sin deltagelse i chatten den 13. og 14. februar 2012 havde forsæt til, at oplysningerne efter dette tidspunkt ville blive anvendt til hacking af CSC’s mainframe som sket.

Herefter, og da retten finder, at formuleringen af anklageskriftet ikke er til hinder for dette, jf. i øvrigt retsplejelovens § 883, stk. 4, er tiltalte T2 skyldig i medvirken til forsøg på at skaffe uberettiget adgang til CSC’s mainframe den 13. og 14. februar 2012.

Efter bevisførelsen var handlingerne den 13. og 14. februar 2012 ikke i sig selv af mere systematisk eller organiseret karakter, men skete under særligt skærpende omstændigheder, idet de vedrørte offentlige it-registre. Tiltalte T2 er derfor skyldig i medvirken til forsøg på overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2.

Retten finder, at tiltalte T2 ikke er skyldig i hærværk, jf. straffelovens § 291, stk. 2, idet CSC’s systemer først blev beskadiget i forlængelse af, at der den 7. april 2012 blev skaffet uberettiget adgang hertil.

Fire nævninger og tre dommere udtaler herefter:

Da vi finder det bevist, at det var tiltalte T1, som skaffede sig adgang til CSC’s it-systemer og forsøgte herpå samt deltog i chatten, stemmer vi for at domfælde tiltalte T2 for medvirken til tiltalte T1s forsøg på at skaffe sig adgang til CSC’s mainframe den 13. og 14. februar 2012.

To nævninger udtaler:

Da vi ikke finder bevist, at det var tiltalte T1, som skaffede sig adgang til CSC’s it-systemer og forsøgte herpå eller deltog i chatten, stemmer vi for at domfælde tiltalte T2 for medvirken til en ukendt gerningsmands forsøg på at skaffe sig adgang til CSC’s mainframe den 13. og 14. februar 2012.

Afgørelse vedrørende tiltalte T2:

Efter stemmeafgivningen er tiltalte T2 herefter skyldig i overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2, jf. § 23 og § 21, ved den 13. og 14. februar 2012 at have medvirket til tiltalte T1s forsøg på at skaffe sig adgang til CSC’s it-systemer.

Da der ikke er fremkaldt omfattende forstyrrelse i driften af systemet, frifindes tiltalte T2 for overtrædelse af straffelovens § 193, stk. 1. Da han heller ikke har udøvet hærværk, frifindes han ligeledes for overtrædelse af straffelovens § 291, stk. 2.

T h i b e s t e m m e s:

Tiltalte T1 er skyldig i overtrædelse af straffelovens § 263, stk. 3, jf. stk. 2, jf. til dels § 21, og § 291, stk. 2.

Tiltalte T2 er skyldig i overtrædelse af straffelovens § 263, stk. 3, 1. punktum, jf. stk. 2, jf. § 23, jf. § 21.

………”

Sagen har journalnummer SS-5591/2014.

Se også afgørelsen på Retten på Frederiksbergs hjemmeside her.

Tre et halvt års fængsel, udvisning af Danmark for bestandigt og alle sagens omkostninger. Sådan lyder straffen til Gottfrid SVartholm Warg, der i går blev dømt skyldig i sagen om hacking af CSC’s mainframe. Straffen blev anket på stedet af Warg og hans forsvarsadvokat Luise Høj.

Medtiltalt dansker, der blev kendt skyldig i medvirken til forsøg på hacking, idømmes seks måneders fængsel. Dermed løslades den 21-årige JT, der allerede har siddet varetægtsfængslet i 17 måneder, øjeblikkeligt. JT accepterede sin dom.

Gottfrid Svartholm Warg skal betale samtlige af de omkostninger hans del af sagen har kostet. Dette inkluderer den tekniske bistand, som har rundet 120.000 kroner.

»Vi har lagt vægt på at angrebet var systematisk og langvarigt. Og vi har lagt vægt på at der blev downloadet store mængder personlige oplysninger, som kan have potentiel skadevirkning,« sagde dommer Kari Sørensen til Warg.

JT’s forsvarer, Michael Juul Eriksen, appelrede i går i retten for, at JT skulle fritages en stor del af sagens omkostninger. De havde nemlig været ubetydelige, hvis JT var blevet sigtet for det, som han blev dømt for. Det tog retten tilsyneladende til efterretning og bestemte, at JT skal betale en fjerdedel af de omkostninger hans sag har haft. Det blev begrundet med, at straffen var væsentlige mildere, end det han var tiltalt for.

Delte meninger om straflængde

Der var delte meninger om begge strafudmålinger. Strafudmålingen har fungeret på den måde, at hver nævning har en stemme, og hver af de tre dommer har to stemmer. Det giver i alt 12 stemmer.

Af disse gik to stemmer på at sende Warg i fængsel i fire år, mens fem stemmer landede på tre år. De resterende fem landede på de tre et halvt år, som blev den endelige straf.

For JT’s vedkommende gik to stemmer for en straf på ni måneder og en stemme på otte måneder. Flertallet stemte dog for de endelige dom på et halvt år.

Luise Høj anmodede om, at Warg skulle løslades indtil en ankedom kom i hus. Men det afviste dommer-trioen efter kort betænkningstid.

»Vi kan desværre ikke løslade dig. Vi mener, at der er risiko for, at du unddrager dig straffen,« lød en del af begrundelsen.

Gottfrid Svartholm Warg skal således sidde varetægtsfængslet indtil ankesagen afgøres.

Dommeren underkendte til gengæld anklagerens anmodning om at beholde JT’s konfiskerede computer.

»Vi er enige om ikke at konfiskere computer og SD-kort, fordi den ikke er blevet brugt til angrebet,« sagde Kari Sørensen.

Det er for bøvlet for kommunerne at skulle leve op til persondataloven i praksis, hvis man skal tro formanden for Kommunernes It-Arkitekturråd, Henrik Brix.

Udmeldingen kommer efter, at Version2 har afsløret, at en række kommuner bryder loven ved ikke at holde tilstrækkeligt tilsyn med it-sikkerheden hos en række leverandører til kommunernes jobcentre.

Leverandørerne behandler personfølsomme oplysninger om borgere i aktivering, og derfor er kommunerne blandt andet forpligtede til at indberette leverandørerne til Datatilsynet og lave selvstændige databehandleraftaler med dem for at sikre, at de opbevarer og behandler borgernes oplysninger sikkert. Dette forsømmer flere kommuner, heriblandt Brøndby og Glostrup Kommune, og de er sandsynligvis ikke de eneste.

»Jeg tror godt, der kan findes andre tilfælde i kommunerne, hvor man ikke har databehandleraftaler med de små leverandører,« siger Henrik Brix til Version2 og fortæller, at jobcentrene ofte samarbejder med et stort antal små private leverandører, der nogle gange kun giver hjælp til enkelte borgere.

»Alt det her giver ikke nødvendigvis øget sikkerhed. Hvis man forestiller sig, at alle 98 kommuner skulle ud og lave databehandleraftaler på alle de små og store leverandører, så er det en kæmpe ressourcemæssig opgave,« siger han.

Venstre: Vi vil ændre loven, hvis den er for bureaukratisk

Selvom kommunerne overtræder persondataloven, så venter der dem ikke andet end en løftet pegefinger fra Datatilsynet. Det gælder også Københavns Kommune, der efter Version2’s henvendelse, har måttet tilmelde flere af dens private leverandører til Datatilsynet.

Det har fået Socialistisk Folkeparti op af stolen og kræve, at Datatilsynet skal være i stand til at udskrive bøder til de myndigheder, der ikke passer ordentlig på borgernes oplysninger og bryder persondataloven.

Også hos Venstre, ser man det som et problem, at Datatilsynet ikke kan gøre mere:

»Det er paradoksalt, at kommunerne kan bryde persondataloven uden at risikere noget andet end en løftet pegefinger,« siger Venstres retsordfører Karsten Lauritzen til Version2 og fortsætter:

»Jeg mener personligt, at vi bliver nødt til at give Datatilsynet flere egentlige inspektioner af kommunerne, men også nogle større sanktionsredskaber,« siger han uden dog at kunne sige, hvad han konkret mener, disse sanktionsredskaber skulle være.

Samtidig spiller han bolden over til kommunerne:

»Hvis der er noget i lovgivningen, der ikke giver mening og øger bureaukratiet uden at øge datasikkerheden, så er jeg indstillet på at lave det om. Men KL må komme med det forslag, man kan ikke bare ignorere lovgivningen,« siger han.

Datatilsynet har tidligere oplyst til Version2, at det ikke bruger kommunernes indberetninger af deres databehandlere til noget. Men når det kommer til databehandleraftalerne, så får piben en anden lyd:

»Det, vi interesserer os for, når vi kommer ud på kontrolbesøg, er, om kommunerne har databehandleraftaler, og om de sørger for, at sikkerheden er i orden hos databehandlerne,« siger kontorchef i Datatilsynet Lena Andersen.

Fra KL er budskabet dog, at både kravet om databehandleraftaler og om at indberette databehandlerne til Datatilsynet bør ændres:

»Der er mere behov for at ændre loven eller vejledningen til den end at ændre praksis. Det er spild af tid, at vi skal lave særskilte aftaler. Der kunne man jo sige, at når man leverede databehandling til det offentlige, så var man i stedet automatisk forpligtet til at leve op til sikkerhedskravene i loven,« siger Henrik Brix fra KL.

Med overtagelsen af Motorolas mobilforretning, som Google i 2012 overtog fra den på daværende tidspunkt pressede amerikanske teleproducent, så bliver Lenovo nu verdens tredjestørste mobilproducent. Det skriver BBC.

Det er en plads, som Lenovo dermed vil overtage fra en anden kinesisk producent, Xiaomi, som ikke er et kendt navn blandt danske mobilkunder, men er store på det kinesiske hjemmemarked og i en stribe andre lande.

For Lenovo er strategien dels at introducere Motorola-navnet i Kina efter flere års fravær, og dels at bruge navnet på de markeder, hvor Motorola er mere kendt end Lenovo som mobilproducent. Det vil især sige de vestlige markeder.

Lenovos varemærke vil derimod fortsat stå i spidsen for indtoget på de nyere mobilmarkeder.

Foran Lenovo i kampen om smartphonemarkedet ligger Samsung et godt stykke foran alle andre, efterfulgt af Apple, derefter nu Lenovo, Xiaomi og LG.

Denne fredag er lønningsdag for mange tusinde danskere, men en del af dem fik sig en tidlig halloween-forskrækkelse, da de tjekkede deres saldo her til morgen. Mange af lønudbetalingerne blev nemlig forsinket på grund af en fejl hos Nets.

Det gik blandt andet ud over kunder hos Nordea, som oplyser til Version2, at årsagen lå i afviklingen af nattens batchkørsler hos Nets.

Nets ønsker ikke på nuværende tidspunkt at præcisere, hvad der gik galt.

»Årsagen kan vi ikke sige noget om endnu. Vi har som procedure, at tingene skal analyseres til bunds, så vi kan lære af fejlen og undgå, at det sker igen. Før den proces er færdig, kan jeg ikke udtale mig,« siger pressemedarbejder Michael Juul Rugaard til Version2.

Han oplyser, at problemet blev løst hurtigt, da det blev opdaget i morges, og alle overførsler skulle være klaret fra omkring klokken ni.

Men selvom problemet altså kunne løses hurtigt, er det ifølge Nets for tidligt at sige, hvad der gik galt.

Da direktøren for Digitaliseringsstyrelsen Lars Frelle-Petersen nåede tusind følgere på Twitter bad han sine følgere om at byde ind i forhold til en ny offentlig digitaliseringsstrategi.

Jeg foreslog fokus på privacy: Hvem har set mine data i offentlige systemer samt samtykke selvbetjening.

Den 11/11 skal jeg sammen med andre udvalgte ind og holde kaffemøde med Lars Frelle-Petersen og her er hvad jeg vil foreslå:

Vi skal stole på det offentlige

I offentlige IT systemer ligger der rigtigt mange data og mange af dem er følsomme i forhold til mig som person. Det offentlige ved om jeg er gift, single eller på vej til at blive skilt og om jeg har børn. Man kender mine sundhedsoplysninger, min økonomi, om jeg er i job eller ej og om jeg har problemer med at overholde loven. Man registrerer også de data, som ifølge persondataloven er særligt følsomme: Om jeg er medlem af folkekirken (min tro) og om jeg er medlem af en faglig organisation.

Når nu alle disse data ligger i IT systemer, som nemt kan sammenkøres ved hjælp af et cpr nummer, så er det det offentliges ansvar at passe rigtigt godt på disse data og sikre, at data kun udstilles overfor offentlige ansatte, som har et behov for at se dem. Vi har desværre set, at data er blevet lækket og eksempler på folk, som ikke har kunnet styre deres nysgerrighed i forhold til at se andres data.

Hvem har set mine data

Jeg foreslår en central selvbetjeningsløsning, hvor vi som borgere kan se hvilke offentlige myndigheder og herunder hvilken medarbejder, som har tilgået mine data. Det skal minde lidt om Sundhed.dks log, men fungere på tværs af offentlige IT systemer. Det skal være muligt at sætte alarmer op, så man kan blive notificeret, når visse typer af data bliver tilgået.

Det vil kræve større ændringer i IT løsningerne og det vil specielt kræve, at services bliver identitetsbaserede så man medtager myndighedspersonens identitet, når et system kalder en service hos et andet system. Dette sker ikke i dag, hvor integrationen oftest sker som system-til-system integration.

Vi skal selvfølgelig også finde en løsning, hvor sikkerhedsniveauet er højt og misbrug er svært.

Det bliver nok svært og der vil være tale om en massiv investering, men vi er nødt til at gøre det for at kunne bevare borgernes accept af, at det offentlige gemmer deres data og at data ikke misbruges.

Brasilien er nu gået et skridt videre i deres planer om at bygge et internetkabel fra Sydamerika til Europa. Et projekt, der koster 200 millioner dollars, og som eksperter fortæller ikke har den ønskede virkning. Det skriver The Register.

Grunden til, at Brasilien vil bygge kablet, er, at de vil undgå aflytninger fra NSA. Og der er nu fra Brasiliens regering givet grønt lys til byggeriet.

I kølvandet på NSA-skandalen kom det frem, at efterretningstjenesten har indhentet data fra milliarder af telefonopkald og e-mails foretaget af brasilianere – også præsident Dilma Rousseffs egne telefonopkald blev aflyttet, hvilket fik præsidenten til at lange kraftigt ud efter USA. Samtidig foreslog hun, at der skulle bygges et kabel uden om USA til Europa, så NSA ikke kan lytte med.

Brasilianerne går endda så langt som, at kablet skal bygges uden noget udstyr eller hardware fra USA.

Men det kommer ifølge The Registers eksperter ikke til at betyde noget som helst i forhold til overvågningen. Kablet, som skal gå fra Brasilien til Portugal, er ifølge Tim Stronge, analytiker hos Telegeography Research, overflødigt og en økonomisk dårlig beslutning.

Dokumenterne fra Edward Snowden viste nemlig, at NSA kunne få adgang til de eksisterende kabler via mange forskellige udbydere, og at mange af aflytningerne aldrig berørte amerikanske byer. Med andre ord så betyder det ikke noget som helst, hvor kablerne rent fysisk befinder sig, for hvis NSA vil ind, så kommer de ind.

Økonomisk giver det ifølge Stronge heller ikke mening, da næsten al internettrafik bliver ført gennem USA, fordi det er billigst. Det er et spørgsmål om størrelse og kapacitet, og netop derfor er det langt billigere at sende data gennem New York end Sao Paulo.

The Register mener i deres artikel heller ikke, at kablet er nødvendigt, og kalder det for et dyrt propaganda-statement.

Samtidig med, at Brasilien er ved at bygge deres kabel fra Fortaleza til Portugal, er Google også ved at bygge et kabel, som ligeledes skal gå fra Fortaleza. Men Googles kabel skal gå til Florida. Begge kabler forventes at være klar i 2016.