Kæmpe hacker-sag opdaget ved et tilfælde

Dybt fortrolige oplysninger er elektronisk blevet stjålet fra politiet i den mest omfattende hacker-sag herhjemme. En dansk mand er varetægtsfængslet i fire uger i sagen, mens svensk stjerne-hacker kræves udleveret fra Sverige. Politikere kritiserer IT-firmaet CSC.

Rigspolitichef Jens Henrik Højbjerg sagde på et pressemøde torsdag, at politiet havde fået nys om hackerangrebet i januar. Fold sammen
Læs mere
Foto: Claus Bech

I mere end 10 måneder anede hverken politiet eller IT-firmaet CSC, at de havde været udsat for et af de mest alvorlige hacker-angreb i nyere tid.

Fra april til august 2012 har hackere downloadet et stort antal filer fra CSCs hovedcomputer. Det drejer sig blandt andet om oplysninger fra politiets kørekortregister, herunder CPR-numre, oplysninger om efterlyste personer i Schengen-registrene samt 10.000 tjenestemænds password og email-konti. Men først i januar 2013 blev dansk politi og CSC opmærksomme på det kæmpe data-indbrud.

»Sagen starter i januar, hvor vi får oplysninger fra svensk politi, som peger i retning af Danmark og CSC,« forklarer rigspolitichef Jens Henrik Højbjerg.

Politiet mistænker den kendte svenske hacker Gottfrid Svartholm Warg, der er medstifter af den omstridte fildelingstjeneste »The Pirate Bay«, for sammen med en ung dansk mand at stå bag angrebet. Den unge dansker blev i går fremstillet i grundlovsforhør ved retten på Frederiksberg, hvor han nægtede sig skyldig, ligesom han nægtede at udtale sig.

»Retsmødet foregik bag lukkede døre. Jeg kan bare sige, at retten fandt, at der var begrundet mistanke mod manden, og han er derfor blevet varetægtsfængslet i fire uger,« oplyser senioranklager Maria Cingari fra Københavns Politi.

CSC: Det er frygteligt

På et møde i går blev forligskredsen bag politiforliget orienteret om sagen. Her kom det ifølge Berlingskes oplysninger bl.a. frem, at den sigtede unge dansker i forvejen var kendt af politiet, og at han forsøgte at stikke af med en bærbar computer under armen, da han blev anholdt.

Samtidig kom det frem, at Gottfrid Svartholm Warg mistænkes for at have forsøgt at svindle penge fra blandt andet fagforbundet BUPL og Odense Kommune.

Sagen blev opdaget i januar, da svensk politi henvendte sig til dansk politi i forbindelse med en større sag, hvor Gottfrid Svartholm Warg sammen med tre andre svenskere er tiltalt for flere store hacker-angreb og for groft bedrageri mod blandt andet storbanken Nordea og flere svenske myndigheder.

Hos CSC bekræfter direktør Jens Schmidt, at CSC ikke selv opdagede data-indbruddet, før henvendelsen fra Sverige kom.

»CSC har været udsat for kriminelle, som har tiltvunget sig adgang til vores systemer. De har benyttet en adgang som for længst er lukket. De har været teknisk meget dygtige, og det bliver opdaget i forbindelse med en svensk politiefterforskning,« siger han.

»Det er en frygtelig sag. Det er frygteligt, når der kan rejses tvivl – berettiget eller uberettiget – om vores sikkerhed,« tilføjer Jens Schmidt.

Kritik fra justitsministeren

Fra flere steder lød der i går knubbede ord til CSC. Blandt andet fra justitsminister Morten Bødskov (S):

»Det er selvfølgelig ikke tilfredsstillende, at sådan noget kan ske. Derfor er Rigspolitiet i tæt dialog med leverandørerne af systemet – CSC. Det er deres forpligtelse at skærme systemerne mod de hackerangreb, som vi har set. Det er stærkt personfølsomme oplysninger, som ligger i registrene, og derfor skal sikkerheden være høj,« lød det fra Morten Bødskov, der understregede, at intet tyder på, at der er sket misbrug af oplysningerne.

»Men det er klart, at når noget sådan kan finde sted, er der en brist. Den skal findes, og der skal rettes op på det. Jeg forstår, at CSC har forsikret, at den aktuelle brist er der rettet op på, men det betyder ikke, at det ikke er nødvendigt at kigge mere grundlæggende på det,« sagde Morten Bødskov.

Shehzad Ahmad, chef for DK-Cert og næstformand for Rådet for Digital Sikkerhed undrer sig over, at hackerne har haft adgang til oplysningerne i mere end fem måneder.

»Det er meget alvorligt med de angreb. Specielt fordi det har stået på i fem måneder. Jeg mindes ikke, at et hul har stået pivåbent så længe uden at blive opdaget. Det er klart, at når der har været åbent i fem måneder, så er der nogle procedurer, der ikke har været, som de bør være. Med andre ord er der mulighed for forbedringer,« siger Shehzad Ahmad, der ikke tøver med at kalde angrebet »historisk«:

»Spørgsmålet er så, hvor mange angreb som dette der har fundet sted, som vi ikke kender noget til,« siger han.

CPR-sikkerhed skal tjekkes

Der ventes at falde dom i Gottfrid Svartholm Wargs svenske hackersag 14. juni, hvorefter det 17. juni afgøres, om han bliver udleveret til Danmark. Hvis det er tilfældet, kan han ifølge Martin von Haller Grønbæk, IT-advokat hos Bird & Bird, forvente at blive mødt med krav om flere års fængsel.

»Det er noget af det groveste og farligste, vi har set herhjemme. Det er endnu svært at sige, hvad formålet med angrebet har været, men det er ikke usandsynligt, at nogle af de skrappeste paragraffer i straffeloven om datakriminalitet kan komme i brug. Det kan give fængsel på op til seks år,« siger Martin von Haller Grønbæk.

Økonomi- og indenrigsminister Margrethe Vestager (R) har på baggrund af politiets efterforskning i sagen bedt om en undersøgelse af sikkerheden i CPR-systemet.

Det skyldes, at CSC varetager driften af CPR-systemet. Ministeren har endvidere bedt CSC om en redegørelse for, hvorfor ministeren først blev orienteret om sagen så sent:

»Jeg ser med meget stor alvor på denne sag, og derfor bad jeg, da jeg blev orienteret, om en grundig undersøgelse af sikkerheden i vores eget CPR-system. Det er vigtigt, at vi får et overblik over, om vi skal tage særlige forholdsregler i relation til CPR-systemet, så vi kan sikre systemet bedst muligt. Jeg har også bedt om en redegørelse fra CSC for, hvorfor jeg først er blevet orienteret så sent i forløbet,« lød det i går fra Margrethe Vestager i en pressemeddelelse.

Journalist Asger Gørup Nielsen har bidraget til artiklen.