Hvad er værste konsekvens af Forsvarets store datalæk? Her er to bud

Det er ikke unormalt, at personfølsomme data lækkes hos offentlige institutioner. Men hvis de lækkede oplysninger fra Forsvaret, ender i de forkerte hænder, kan det gå ud over Danmarks uofficielle forsvarsindsats, vurderer ekspert.

(ARKIV) CAMP DANEVANG IRAK. Mandagsappel i den danske lejr Camp Danevang. En gang om ugen mødes alle de danske soldater til parade og en generel orientering om situationen. Ansatte i Forsvaret kan have fået oplysninger om cpr, pasnummer og billede kompromitteret. Det skriver Ritzau, fredag den 12. april 2019.. (Foto: Henning Bagger/Ritzau Scanpix) Fold sammen
Læs mere
Foto: Henning Bagger

Forsvaret er blevet ramt af et læk. Men det er endnu uklart, om lækket var selvforskyldt eller resultat af et hackingangreb. De 3.000 ansatte, som kan have fået lækket deres CPR-numre, billeder og pas-oplysninger, har alle været udsendt eller på tjenesterejse til Mellemøsten mellem 2012 og 2016.

I bedste fald er oplysningerne ikke blevet kompromitteret, og de 3.000 personer kan ånde lettet op. Det er det scenarie, som Forsvarskommandoen synes at udpege som det mest realistiske. Og det er godt.

For i værste fald kan oplysningerne lande i hænderne på fremmede efterretningstjenester, som ønsker at danne sig et billede af Danmarks uofficielle forsvarsindsats.

Det vurderer Peter Viggo Jakobsen, der er lektor ved Forsvarsakademiet.

»Efterretningstjenester og dem, der vil os ondt, kan have en interesse i disse oplysninger,« siger han til Berlingske.

»Hvis du har rejst under dække og egentlig ikke har optrådt som om, du var en del af det danske forsvar officielt, så kan det blive svært at lave det nummer i regionen én gang til,« vurderer han.

Hvis fremmede efterretningstjenester får adgang til oplysningerne, kan de afsløre, hvem der uofficielt rejste til regionen for Forsvaret - og fortsat holde øje med, hvordan de personer rejser rundt i verden, forklarer han.

»De kan altså bruge oplysningerne til at danne sig et billede af andre staters hemmelige efterretning.«

Forsvaret har indtil nu fastholdt, at man »af sikkerhedsmæssige årsager« hverken kan svare på, om det er hacking-angreb eller en almindelig fejl, der er skyld i lækket.

Men ifølge Henrik Larsen, som er chef for it-sikkerhedsenheden DKCert, er det ikke unormalt, at den slags oplysninger kompromitteres. Det behøver ikke altid være et resultat af hacking, siger han. Og siden Forsvaret selv vurderer, at der »ikke er grund til stort postyr« over lækket, kan der blot være tale om en helt almindelig fejl.

»Det, der nogle gange sker, er, at man får lagt sådan nogle oplysninger på et intranet, hvor der er mange forskellige, der har adgang til oplysningerne - også folk, der ikke burde have det,« forklarer han.

Det var for eksempel tilfældet, da Kalundborg Kommune i 2017 kom til at lægge tusindvis af borgeres CPR-numre på en offentlig server, eller i 2016 da Copenhagen Business School (CBS) kom til at lægge 1100 elevers CPR-numre, pas- og karakter-oplysninger på skolens hjemmeside.

»Det er mere normalt, end det burde være,« siger Henrik Larsen.

Men et læk fra en forsvarsdatabase er alligevel noget andet end et læk af karakterblade fra CBS. Der kan nemlig være en anden interesse for at få fat i oplysningerne om dem, der har været udsendt for Forsvaret.

»Det er jo ren spekulation. Men der er kriminelle, som kan anvende oplysningerne til afpresning. Der er andre stater, som kan bruge det i deres efterretning. Og i sidste ende kan der være terrororganisationer, som kan være interesseret i at finde de her folk,« siger han.

Peter Viggo Jakobsen understreger dog, at en terrororganisation ville skulle have en »vis, organisatorisk kapacitet« for at kunne få fat i de oplysninger, og han mener i øvrigt, at det er et fåtal af de berørte 3.000 personer, som lækket ville kunne ramme negativt, hvis nogen fik fat i oplysningerne.

Hvis man har været udsendt som soldat i et givent land, ved landets efterretningstjenester det for eksempel allerede, forklarer han.

»Når du ser på, hvor mange datalæk, der foregår rundt omkring i forskellige institutioner, så er det vist meget normalt, at det sker. Men det burde ikke være det i forsvarsmæssig sammenhæng,« siger Peter Viggo Jakobsen:

»Jeg ved ikke, om det er et hackerangreb eller en anden form for uheld. Men uanset hvad, så skal det altså ikke ske.«

Forsvarskommandoen har over for Berlingske oplyst, at de endnu ikke har hørt om hændelser, som er relateret til databruddet. Derfor vurderer kommandoen heller ikke, at de lækkede informationer kan kompromittere danske soldaters sikkerhed.

Ifølge Forsvarets Efterretningstjeneste kan et brud på datasikkerheden øge risikoen for spionage, hvervning og chikane i forbindelse med rejser i Mellemøsten. Men risikoen er lille, vurderer efterretningstjenesten.