Kommunaludvalget 2012-13
KOU Alm.del
Offentligt
1267991_0001.png
1267991_0002.png
1267991_0003.png
1267991_0004.png
1267991_0005.png
1267991_0006.png
1267991_0007.png
1267991_0008.png
1267991_0009.png
1267991_0010.png
1267991_0011.png
1267991_0012.png
Dato:Dok.:
25. juni 2013801768

UDKAST TIL TALE

til brug for besvarelsen af samrådsspørgsmål W og X

fra Folketingets Kommunaludvalg den 28. juni 2013 kl. 8.00

Samrådsspørgsmål W:

”Vil ministrene redegøre for forløbet i forbindelse med at politiets køre-kortregister er blevet hacket, og hvilke initiativer ministrene i den sam-menhæng planlægger at tage efterfølgende?”

Samrådsspørgsmål X:

”Vil ministeren i forbindelse med afsløringen (6. juni 2013) af hackeran-grebet mod politiets centrale registre redegøre for, hvorvidt de ansvarligemyndigheder har levet op til deres tilsynspligt, og i hvilket omfang denkonkrete sag giver ministeren anledning til at overveje, om tilsynskraveneskal skærpes?”
1

[Indledning]

1.

Temaet for dagens samråd er hacker-angrebet mod IT-leverandørenCSC.
I spørgsmål W anmodes økonomi- og indenrigsministeren og jeg om enredegørelse for forløbet i forbindelse med, at politiets kørekortregisterer blevet hacket, og hvilke initiativer vi i den sammenhæng planlæggerat tage efterfølgende.
Herudover ønskes med spørgsmål X, at jeg redegør for, hvorvidt de an-svarlige myndigheder har levet op til deres tilsynspligt, og i hvilket om-fang den konkrete sag giver anledning til at overveje, om tilsynskraveneskal skærpes.

2.

Jeg forstår godt, hvis sagen giver anledning til bekymring.
Lad mig derfor starte med at slå fast, at regeringen tager sagen megetalvorlig. Det samme gælder alle involverede myndigheder. Jeg kan der-for også forsikre om, at alle nødvendige ressourcer bliver sat ind for athåndtere sagen og de sikkerhedsmæssige spørgsmål, som den rejser.
Jeg vil besvare de stillede samrådsspørgsmål på den måde, at jeg førstgiver et kronologisk overblik over forløbet – så langt som den igangvæ-rende efterforskning tillader det.
Derefter vil jeg redegøre for de ansvarlige myndigheders tilsynspligt,og til sidst vil jeg komme ind på de initiativer, som den konkrete hack-ersag giver anledning til.
2

[Redegørelse for forløbet: august 2012 - april 2013]

3.

Min redegørelse for forløbet bygger på oplysninger fra Rigspolitiet,som også indgår i det svar på spørgsmål 904 fra Folketingets Retsud-valg, som jeg afgav i går.
Rigspolitiet har i den forbindelse understreget, at der er tale om enigangværende efterforskning med enorme datamængder, som dansk po-liti løbende modtager fra svensk politi og herefter analyserer, og at detderfor ikke kan udelukkes, at billedet senere ændrer sig.
Om sagens forløb har Rigspolitiet oplyst, at en svensk statsborger islutningen af august 2012 blev anholdt i Cambodja, og at den pågæl-dende i starten af september 2012 blev udleveret til Sverige og fængs-let.
Det skete i forbindelse med efterforskningen af en sag om hacking ogmed henblik på afsoning af en dom om krænkelse af ophavsretsloven.
Den svenske efterforskning omhandlede blandt andet hacking af et pen-geinstituts it-systemer. Og oplysninger fra efterforskningen pegede på,at også danske konti i pengeinstituttet havde været anvendt til krimina-litet i den sammenhæng.
Rigspolitiet var på den baggrund i dialog med svensk politi, der oplyste,at også danske hjemmesider kunne være forsøgt hacket.

4.

I midten af januar 2013 modtog Rigspolitiet fra svensk politi uddragaf en række logfiler, som svensk politi var kommet i besiddelse af i for-bindelse med deres efterforskning.
3
Rigspolitiets Nationale IT-efterforskningssektion – i daglig tale NITES– gennemgik i slutningen af februar 2013 materialet, som var modtagetfra svensk politi.
Og på baggrund af denne gennemgang konstaterede NITES, at der hav-de været uautoriseret adgang til politiets data fra et mainframesystemhos CSC.
Straks herefter holdt Rigspolitiet et møde med CSC, og en nærmere un-dersøgelse blev iværksat hos CSC med deltagelse af Rigspolitiet. Detskete med henblik på at identificere den nærmere karakter af sårbarhe-den i systemet og sikre, at denne blev lukket.

5.

Rigspolitiet anmodede i begyndelsen af marts måned 2013 om enskriftlig redegørelse fra CSC samt sikring af data med henblik på efter-forskningen.
CSC afrapporterede herefter skriftligt til Rigspolitiet ved flere lejlighe-der og oplyste i den forbindelse, at den sårbarhed i systemet, som havdeværet benyttet til at opnå den uautoriserede adgang, var blevet identifi-ceret og lukket.
CSC oplyste endvidere, at såkaldte ”bagdøre” til systemet var identifi-ceret og fjernet, og at der ikke var fundet tegn på, at der havde været di-rekte adgang til Kriminalregisteret eller til andre registre på systemet.
Det var desuden CSC’s vurdering, at det med stor sandsynlighed kunneudelukkes, at der var ændret, tilføjet eller slettet i oplysningerne i regi-strene.
Med henblik på at verificere CSC’s oplysninger iværksatte Rigspolitieten supplerende selvstændig undersøgelse og fortsatte sideløbende her-
4
med undersøgelserne af det tilvejebragte materiale, som er særdelesomfattende.

6.

Københavns Politi har i marts 2013 med bistand fra NITES indledten strafferetlig efterforskning.
Rigspolitiet modtog i april 2013 en CD-rom med materiale, som varsikret fra den svenske statsborgers computer i forbindelse med anhol-delsen.
Rigspolitiet undersøgte herefter materialet og sammenholdt det med op-lysninger fra CSC. Rigspolitiet konstaterede, at materialet bl.a. inde-holdt en række talkoder og navne på fortrinsvis udenlandske statsborge-re.
Efter en nærmere undersøgelse konstaterede Rigspolitiet endvidere, atmaterialet indeholdt ca. 1,2 millioner såkaldte ”records” vedrørende ef-terlysninger i Schengen-informationssystemet – også kaldet SIS.
Rigspolitiet undersøger stadig materialet og får på den måde øget ind-sigt i omfanget og karakteren af den svenske statsborgers aktiviteter påmainframen hos CSC.

[Redegørelse for forløbet: maj-juni 2013]

7.

Rigspolitiet vurderede i midten af maj at have fornøden klarhed overepisoden.
Den 17. maj 2013 orienterede Rigspolitiet derfor telefonisk Datatilsynetom sikkerhedsbristen.
Justitsministeriet blev orienteret telefonisk den 21. maj og skriftligt den24. maj 2013.5
Den 29. maj 2013 orienterede Rigspolitiet Justitsministeriet om, at un-dersøgelser havde vist, at der den 8. april 2012 havde været aktivitetmod CPR-registerets miljø på mainframen fra politiets miljø på main-framen.
Rigspolitiet underrettede den 30. maj 2013 telefonisk Økonomi- og In-denrigsministeriet om aktiviteten.
Datatilsynet blev endvidere på ny orienteret om sagen den 31. maj2013.

8.

Som følge af den strafferetlige efterforskning afsagde KøbenhavnsByret den 31. maj 2013 fængslingskendelse med henblik på udleveringaf den svenske statsborger til Danmark.
Den 3. juni 2013 orienterede Rigspolitiet Kommissionen om sagen i re-lation til oplysningerne i Schengen-informationssystemet (SIS).
Københavns Politi foretog den 5. juni 2013 anholdelse af en dansk for-modet medgerningsmand. Der blev samtidig foretaget ransagning påflere adresser.
Den anholdte formodede medgerningsmand blev den 6. juni 2013 frem-stillet i grundlovsforhør for lukkede døre og varetægtsfængslet i forelø-big 4 uger.

9.

Rigspolitiet, PET og Københavns Politi orienterede ved et fællespressemøde samme dag offentligheden om sagen.
Efterfølgende holdt jeg samme dag ligeledes et kort pressemøde om sa-gen.
6
Rigspolitiet orienterede endvidere den 6. juni 2013 Schengen-landene,Rådssekretariatet, Kommissionen og den Europæiske Tilsynsførendefor Databeskyttelse om sagen.

[Tilsyn med politiets centrale registre]

Efter denne redegørelse for forløbet vil jeg nu komme med nogle be-mærkninger om de relevante tilsynsmyndigheder i forhold til hackeran-grebet. Lad mig starte med Rigspolitiet.

10.

Rigspolitiet er dataansvarlig for indholdet af politiets centrale regi-stre og har i overensstemmelse med persondataloven indgået en såkaldtdatabehandleraftale med CSC.
Som dataansvarlig er Rigspolitiet overordnet ansvarlig for CSC’s be-handling af personoplysninger. Det indebærer, at Rigspolitiet skal sikresig, at CSC kan træffe de fornødne tekniske og organisatoriske sikker-hedsforanstaltninger. Og Rigspolitiet skal påse, at dette også rent fak-tisk sker.
Rigspolitiet har i forbindelse med sit tilsyn hos CSC modtaget årlige re-visionserklæringer fra en uafhængig revisor. Revisionserklæringen forkalenderåret 2012 er udstedt i marts 2013.
Som opfølgning på de nævnte revisionserklæringer og som led i det ge-nerelle tilsyn afholdes der sikkerhedsmøder mellem CSC og Rigspoliti-et.
Der afholdes også løbende driftsstatusmøder og andre møder, når detteer relevant, herunder som opfølgning på sikkerhedshændelser.
7

11.

Ud over Rigspolitiet fører Datatilsynet tilsyn med politiets centraleregistre. Det sker som led i tilsynets generelle tilsynsvirksomhed i rela-tion til behandling af personoplysninger omfattet af persondataloven.
Datatilsynet har i anledning af samrådet oplyst, at tilsynet med politietscentrale registre sker i forbindelse med behandling af konkrete klagerfra borgere eller som egen drift undersøgelser.
Og Datatilsynet har gennemført flere inspektionsbesøg hos Rigspolitietsiden persondatalovens ikrafttræden i 2000.
Datatilsynet har endvidere oplyst, at tilsynet med Rigspolitiets centraleregistre typisk udføres med fokus på at kontrollere, at registreringen afpersonoplysninger sker i overensstemmelse med reglerne i persondata-loven og eventuel anden relevant lovgivning. Tilsynet undersøger omreglerne om registreredes rettigheder overholdes.
Datatilsynet foretager derimod ikke en mere omfattende it-revision elleren fuldstændig gennemgang af etablerede sikkerhedsforanstaltninger.
For så vidt angår det konkrete hackerangreb har Datatilsynet oplyst, attilsynet har anmodet Rigspolitiet om en redegørelse for det skete og ud-bedt sig oplysninger om en række forhold.

12.

I tillæg til de opgaver, som jeg netop har nævnt, er Datatilsynet na-tional tilsynsmyndighed i relation til behandling af personoplysninger,der sker i den danske del af en række internationale informationssyste-mer, som Danmark deltager i. Dette gælder eksempelvis SIS, altsåSchengen-informationssystemet.
I den forbindelse deltager Datatilsynet i de fælles tilsynsaktiviteter, somgennemføres i de samarbejdsfora, som er etableret på EU-niveau.
8
I forhold til SIS iværksættes og koordineres fælles tilsynsaktiviteter afDen Fælles Tilsynsmyndighed for Schengen.
Datatilsynet har oplyst, at en væsentlig del af tilsynsaktiviteten i forholdtil SIS har været at deltage i sådanne undersøgelser.
Fokus for undersøgelserne har været kontrol af overensstemmelse mel-lem landenes indberetninger til SIS og Schengen-konventionens be-stemmelser.
Datatilsynet har senest i 2011 gennemført inspektionsbesøg hos Rigspo-litiet med særlig fokus på SIS. Herudover indgik databeskyttelse i denSchengen-evaluering af Danmark, som blev gennemført i 2011.
Rigspolitiet har i øvrigt oplyst, at et Schengen-inspektionshold, bestå-ende af eksperter fra Schengen-lande, Rådssekretariatet og Kommissio-nen, aflagde besøg i Danmark så sent som i oktober 2012.
Inspektionsholdet aflagde blandt besøg hos CSC, hvor en række sikker-hedsmæssige forhold i forbindelse med CSC’s drift af SIS blev gen-nemgået.
Og det er værd at understrege, at inspektionsholdet ikke fremkom medbemærkninger eller anbefalinger i forhold til CSC i sin efterfølgendeevalueringsrapport.
Jeg kan i øvrigt nævne, at Rigspolitiet i juli måned vil deltage i et mødemed de øvrige Schengen-lande, sikkerhedseksperter for EU-agenturerneog Europol samt den Europæiske Tilsynsførende for Databeskyttelse.Formålet med mødet er at give Rigspolitiet mulighed for at redegøre forsagens forløb og udvikling samt at diskutere fremadrettede sikkerheds-tiltag.
9

13.

I forbindelse med tilsynet med politiets registre skal en sidste myn-dighed nævnes. Det drejer sig om PET.
Efterretningstjenesten har til opgave at forebygge, efterforske og mod-virke foretagender og handlinger, der udgør eller vil kunne udgøre enfare for Danmark som et selvstændigt, demokratisk og sikkert samfund.
PET er desuden national IT-sikkerhedsmyndighed for Justitsministeri-ets område, herunder altså for politiet og anklagemyndigheden.
Som led i PET’s rolle som national IT-sikkerhedsmyndighed for Ju-stitsministeriets område rådgiver PET løbende politiet og anklagemyn-digheden. PET godkender også – i overensstemmelse med reglerne i detsåkaldte sikkerhedscirkulære – IT-systemer, hvor klassificerede oplys-ninger bevares og behandles.
Det mainframe-anlæg hos CSC, som var udsat for hacker-angreb, erimidlertid ikke omfattet af PET’s godkendelses- og kontrolvirksomhed.Det skyldes, at anlægget ikke behandler klassificerede oplysninger.
PET er løbende i dialog med politi og anklagemyndighed om håndte-ring af følsomme oplysninger.
I 2011 tog PET endvidere initiativ til et projekt, der har til formål at sik-re et passende og ensartet beskyttelsesniveau for følsomme oplysninger,der behandles og opbevares af politi og anklagemyndighed.
PET har løbende bidraget med ekspertviden og rådgivning til projektet,der er forankret i Rigspolitiet. Projektets indledende anbefalinger er fo-relagt Rigspolitiets direktion i foråret 2013.
10
Desuden kan jeg nævne, at PET har iværksat en kortlægning af, hvor-dan trafikmonitorering og logning på politiets og anklagemyndighedensIT-systemer kan styrkes.

[Undersøgelser på Justitsministeriets område i anledning af hack-

ersagen]

14.

Som mine bemærkninger viser, er der allerede i dag et omfattendesystem, som fører tilsyn med politiets registre. Et naturligt og relevantspørgsmål er derfor, hvordan angrebet mod CSC kunne finde sted.
Det er for mig at se helt centralt at få fastlagt, hvordan noget sådantkunne ske, og hvordan vi kan modvirke, at det sker igen.
Der arbejdes da også målrettet på at undersøge omfanget af og årsager-ne til sikkerhedsbruddet og sikre, at der træffes de nødvendige sikker-hedsforanstaltninger.
Det er PET, som står i spidsen for dette arbejde, og det foregår i tætsamarbejde med navnlig Center for Cybersikkerhed under ForsvaretsEfterretningstjeneste.
Der vil blive udarbejdet en rapport om resultaterne af dette arbejde, nårdet er tilendebragt.

[Afrunding]

16.

Som jeg indledte med at sige, er der tale om et angreb, som regerin-gen ser med største alvor på. Det fremstår yderst professionelt.
Samtidig er det afgørende, at sikkerheden omkring offentlige myndig-heders registre er i orden. Det gælder ikke mindst politiets registre ogandre centrale myndighedsregistre.11
Såvel efterforskning som undersøgelser pågår stadig. Jeg kan derfor ik-ke i dag sige noget endegyldigt om, hvilke foranstaltninger hackeran-grebet kommer til at medføre.
Som nævnt vil der blive afgivet en redegørelse om omfanget af og årsa-gerne til sikkerhedsbruddet og sikkerhedsanbefalingerne i den anled-ning, når undersøgelsen heraf er færdig.
Men jeg håber, at det siger sig selv, at relevante sikkerhedstiltag vil bli-ve iværksat løbende, efterhånden som der viser sig behov herfor.
Når det gælder efterforskningen, så er der tale om en omfattende ogkompleks efterforskning, som kommer til at tage tid. Man kan altsålangt fra i dag sige noget om, hvordan efterforskningen ender.
Men jeg hæfter mig ved, at politidirektøren for København i forgårs ud-talte, at politiet indtil videre ikke har kunnet påvise, at der skal være fo-retaget ændringer i systemerne af de personer, som er brudt ind.
Og der er ifølge politidirektøren desuden endnu ikke set tegn på, at defortrolige oplysninger fra registrene er blevet lækket til uvedkommende.
Lad mig slutte - som jeg begyndte - med at gøre det klart, at alle nød-vendige ressourcer er blevet og fortsat vil blive sat ind for at håndteresagen.
Sagen tages meget alvorligt af alle involverede myndigheder.

Tak.

12