Spm. nr. S 1420

1) Til økonomi- og indenrigsministeren af:

Karsten Lauritzen (V) (medspørger: Michael Aastrup Jensen (V) ) :

Hvornår forventer regeringen, at den tidligere bebudede rapport om it-sikkerheden hos CSC foreligger, og finder regeringen det acceptabelt, at det har taget så lang tid at udarbejde rapporten, henset til de voldsomme og vedvarende udfordringer på området?

Værsgo.

Tak. Spørgsmålet lyder: Hvornår forventer regeringen, at den tidligere bebudede rapport om it-sikkerheden hos CSC foreligger, og finder regeringen det acceptabelt, at det har taget så lang tid at udarbejde rapporten, henset til de voldsomme og vedvarende udfordringer på området?

Økonomi- og indenrigsministeren.

Først og fremmest tak for spørgsmålet, som jeg tror har meget bred interesse, for der er ikke nogen tvivl om, at det angreb, der var mod CSC, er et af de alvorligste hackerangreb, som vi har oplevet i Danmark.

Det er jo så også grunden til, at vi lægger meget stor vægt på, at hackerangrebet bliver grundigt undersøgt. Det kan give baggrund for, at vi faktisk forstår, hvad der er foregået, og at vi kan lære af det og dermed jo også få et fuldt overblik over, hvad konsekvenserne egentlig har været, altså hvilke data hackerne faktisk fik adgang til. Men det skal også sikre, og det synes jeg også er en meget væsentlig pointe, at vi fremadrettet lærer af det for bedre at kunne sikre offentlige it-systemer mod fremtidige hackerangreb.

Siden det danske politi i januar 2013 blev opmærksom på hackerangrebet, er sagen selvfølgelig blevet efterforsket af politiet. Det er sådan set den strafferetlige del af det. I juni 2013 blev den nationale it-sikkerhedsmyndighed, Center for Cybersikkerhed, inddraget i sagen. Det, som Center for Cybersikkerhed foretager, er de it-sikkerhedsmæssige undersøgelser af hackerangrebet. Der er således to undersøgelsesspor. Det sker i et tæt samarbejde med de myndigheder, som havde data på de ramte CSC-systemer, dvs. cpr-kontoret, SKAT og Moderniseringsstyrelsen, og det giver også sig selv, at det i forhold til det strafferetlige gennemføres i tæt samarbejde med politiet.

Allerede i juli, altså 1 måned efter, var Center for Cybersikkerhed klar med en foreløbig rapport om hackerangrebet, og her beskrev centeret de første resultater af de it-sikkerhedsmæssige undersøgelser. Rapporten blev så efter, må man nok sige, en længerevarende høring hos de involverede parter i december 2013 oversendt til Folketingets Retsudvalg og Folketingets Kommunaludvalg, i en form, hvor oplysningerne som følge af den igangværende efterforskning af sagen hos PET og politiet var undtaget.

Center for Cybersikkerhed og Politiets Efterretningstjeneste er nu i gang med at lægge sidste hånd på en fælles rapport, som nærmere beskriver konsekvenserne. Og det kommer vi sandsynligvis yderligere ind på i opfølgningen af dette svar.

Hr. Karsten Lauritzen.

Tak til ministeren for besvarelsen. Jeg må sige, at jeg ikke er imponeret af de statslige myndigheder og heller ikke af regeringen i den her sag. Som ministeren jo redegjorde for, skete der noget ret hurtigt, og så er der ikke sket ret meget siden, og det kan undre noget. Det kan være, ministeren er af en anden opfattelse, men jeg må sige, at det faktisk lidt er mit indtryk, at man ikke har haft nok fokus på det her i regeringen. Jeg ved ikke, hvornår man læste den rapport, som ministeren henviste til, og som blev oversendt til Folketinget i december, hvor man kom med en foreløbig konklusion. Nu vil jeg bare læse op fra den foreløbige konklusion, og der skriver Center for Cybersikkerhed:

Det er ikke muligt at fastslå, om de sårbarheder, der muliggør den konstaterede kompromittering, på nuværende tidspunkt er fjernet, ligesom det ikke er muligt at fastslå, om CSC vil kunne forhindre forsøg på lignende kompromitteringer. Det er således ikke muligt at fastslå, om der i dag generelt er et passende sikkerhedsniveau i CSC's mainframemiljø – hovedcomputermiljø på dansk.

Hvad betyder det så? Det betyder, at Center for Cybersikkerhed konkluderer, at de ikke har nogen viden om, at det, der skete, da nogle hackede hele cpr-registeret og potentielt fik adgang til alle polititjenestemænds arbejdsmæssige mailkonti, ikke kunne ske igen. Man kan ikke konstatere, om der er et generelt passende sikkerhedsniveau ved CSC's mainframemiljø.

Hvad har regeringen så gjort ved den foreløbige konklusion? Ingenting. Man har ventet på politiet. Man har intet foretaget sig. Nu er denne sag med Se og Hør så eksploderet, og så er regeringen ude at sige: Vi synes, det her er vigtigt. Der må jeg bare sige, at jeg synes, regeringen måske skulle være nået til den erkendelse lidt før.

Jeg bliver nødt til at spørge økonomi- og indenrigsministeren endnu en gang om det, der er spørgsmålet, og som ministeren jo ikke svarede på: Hvornår ligger den rapport så? Hvornår er den der?

Man kunne jo forestille sig, at efterforskningen er ét spor, og at rapporten om sikkerhed ved CSC er et andet spor, og at man, hvis man ikke kan speede efterforskningen op, måske kan speede den anden proces op, sådan at vi hurtigt får klarhed over, om der er sikkerhed for alle danskeres cpr-numre, som ligger hos CSC. Jeg spørger altså, fordi den foreløbige konklusion siger, at man faktisk ikke ved det i dag.

Ministeren.

Nu betragter jeg sådan set sagen med en sådan alvor, at jeg ikke tror, at polemikken tjener noget formål, for så kunne jeg jo med lige god ret spørge, om det nu først er i lyset af Se og Hør-sagen, at hr. Karsten Lauritzen er kommet i tanke om at stille det spørgsmål, da rapporten jo har været til rådighed i en rum tid for Folketingets Retsudvalg og Kommunaludvalg. Det synes jeg ville være ærgerligt, for det, som er opgaven, er at analyse endog særdeles store datamængder.

Jeg har stor respekt for, at de mennesker, som arbejder med det her, er nødt til at formulere sig på en måde, som afspejler, hvad de kan konkludere, men også, hvad de ikke kan konkludere, og som derfor kræver yderligere undersøgelser. Center for Cybersikkerhed og Digitaliseringsstyrelsen har igangsat et arbejde, som skal resultere i en rapport med de anbefalinger, som på baggrund af CSC-sagen generelt kan højne sikkerheden i myndighedernes outsource af it-drift. Det gør jo, at vi generelt i forhold til det ansvar, vi har for folks data, kan agere kompetent, rettidigt og koordineret, når det handler om driften af myndighedernes outsourcede it. Den rapport foreligger også om kort tid, og den vil jeg selvfølgelig også oversende til Retsudvalget og Kommunaludvalget.

Med de i alt tre rapporter, der udarbejdes på baggrund af CSC-sagen, mener jeg faktisk, at vi får et endog særdeles solidt grundlag både for at lære af hackerangrebet og for at omsætte det til konkrete handlinger, som sørger for, at vi får en højnet it-sikkerhed.

Hr. Karsten Lauritzen.

Altså, jeg bliver nødt til at minde ministeren om, at det er ministeren, der har ansvaret her; det er jo ikke folketingsmedlemmerne. Og helt ærligt: Når man sender en rapport over til Folketinget, hvor størstedelen er overstreget, kan man jo ikke – det synes jeg er lidt billigt, vil jeg sige til ministeren – lægge skylden for, at der ikke sker noget, over på Folketinget. Der synes jeg sådan set ministeren skulle erkende, at man har sovet lidt i timen. Man har nedsat en gruppe til at lave en rapport og bedt myndighederne gøre noget, og så har man i øvrigt ikke foretaget sig noget yderligere.

Jeg synes simpelt hen ikke, ministeren kan være bekendt at sige, at det er Folketinget og folketingsmedlemmernes skyld, når det, man sender over, er rapporter, hvor halvdelen er overstreget – og i øvrigt lang tid efter at de er sendt til regeringen.

Ministeren.

Men nu fortsætter polemikken jo, og det synes jeg er en skam, for jeg tror, at folk er optaget af, at vi sørger for, at de myndigheder, som arbejder med det her, gør deres arbejde ordentligt. Og den hastighed, jeg kan forstå er magtpåliggende for hr. Karsten Lauritzen, er en hastighed, som jeg tror ville have gjort det meget svært at sige noget fornuftigt og meningsfuldt, fordi det faktisk er særdeles store datamængder, som skal analyseres.

Jeg tror, det er vigtigt, at man gør sit arbejde ordentligt, hvis vi fremtidig vil have en ordentlig sikkerhed på de her ting. For det, der er så afgørende, er jo, at vi på den ene side kan have store datamængder, som gør vores samfund effektivt og godt, og på den anden side har en ordentlig sikkerhed omkring de datamængder. Og lige præcis det at sørge for de to ting på samme tid er en opgave, som ligger regeringen meget på sinde – og det har den altså gjort, uanset at hr. Karsten Lauritzen først har stillet sit spørgsmål nu.

Så er det hr. Michael Aastrup Jensen som medspørger. Værsgo.

Ja, jeg kan forstå, at økonomi- og indenrigsministeren åbenbart ikke har set, at vi faktisk gentagne gange har stillet både § 20-spørgsmål og haft fulgt op på sagen i samråd, og at det jo snart er et år siden, den her sag begyndte. Det, som hr. Karsten Lauritzen var inde på, er jo, at den delrapport, der kom i december, klart viser, at der altså er et hul, som man ikke ved hvor stort er, og som man ikke ved hvor let kan bruges af de folk, som har onde hensigter. Der er svaret så fra ministeren, at vi ikke skal drive polemik om sagen, og at rapporten kommer, når rapporten nu kommer.

Er det så om 2 år, er det om 3 år, er det om 4 år? Og hvad skal vi så gøre i al den tid? Skal vi så bare tage det stille og roligt, for der er det her hul, og vi kan så rende rundt og håbe på, at der ikke er nogen, der bruger det her hul? Det er jo reelt det, ministeren i dag giver som svar til Folketinget. Jeg må indrømme, at jeg er helt enig med hr. Karsten Lauritzen: Det er absolut ikke et tilfredsstillende svar. Jeg mener, at it-sikkerheden må komme helt anderledes højt op på dagsordenen også i regeringen, så er det ikke snart på tide med et wakeupcall?

Økonomi- og indenrigsministeren.

Jeg er meget i tvivl om, hvad der er meningen med spørgsmålet her, for det, der er vores opgave, er selvfølgelig at sørge for, at den måde, vi håndterer it-sikkerheden på, kontinuert – altså ikke på baggrund af Folketingsspørgsmål eller samråd for den sags skyld – bliver sat i højsædet.

Det er derfor, jeg bare i al fredsommelighed må sige: Nej, det har ikke fået en større bevågenhed på grund af Se og Hør-sagen. Det har, siden hackerangrebet kom til vores kendskab, haft stor bevågenhed, ligesom man også forud for det har håndteret spørgsmålet om sikkerhed.

Jeg synes, det er helt afgørende at have respekt for, at de mennesker, som er sat til at gøre det her, gør det grundigt. For hvis ikke de gør det, risikerer vi jo sådan set, at de ting, som de anbefaler, ikke er velfunderede. Det giver sig selv, at der er iværksat en række ting for at styrke sikkerheden allerede på nuværende tidspunkt. Det gælder jo selvfølgelig cpr-systemet, og det er sket på baggrund af samarbejde med Center for Cybersikkerhed og deres foreløbige konklusioner.

Hr. Michael Aastrup Jensen.

Ja, man føler sig jo næsten hensat til statsministerens spørgetime, for der er lige så få svar i den her seance, som der er i spørgetimen. Altså, vi har overhovedet ikke fået svar på noget af det, vi spurgte om: Vi har ikke fået svar på helt konkret, hvornår den her rapport, som er blevet stillet os i udsigt, kommer. Altså, er det om flere år fra nu, den kommer? Vi er heller ikke blevet stillet andet i udsigt, end at regeringens svar er, at vi bare alle sammen skal rende rundt og holde hinanden i hånden og håbe på, at der ikke sker noget brud igen på it-sikkerheden, selv om delrapporten viser, at man ikke har nogen klarhed over, om der er et hul, og om det hul ikke godt kan bruges igen. Jeg håber på et svar.

Ministeren.

Jo, men nu kan spørgeren jo så læse svarene, når de på et tidspunkt fremgår af referatet. Jeg har forstået spørgsmålet som et postulat, nemlig at regeringen ikke tager sagen alvorligt. Det må jeg afvise. Det gør vi. Derfor er der jo på baggrund af de foreløbige konklusioner, som netop var foreløbige, fordi det er et meget stort arbejde at analysere det her grundigt, truffet nye foranstaltninger for at højne sikkerheden.

Når rapporten foreligger, vil der igen blive en diskussion af, hvordan vi så sørger for, at vi øger sikkerheden. Det er ikke nogen garanti for, at systemet ikke kan hackes – den garanti vil jeg være meget forsigtig med at udstikke – men det er et arbejde, som sørger for, at sikkerheden kommer på et stadig højere niveau. Jeg håber, rapporten snart er færdig – det tror jeg ville tjene os alle sammen udmærket – men der er alligevel et stykke derfra og så til at stå og kræve en konkret dato.

Så er det hr. Karsten Lauritzen til den afsluttende bemærkning på spørgsmålet.

Tak. Jeg forstår ikke, at ministeren ikke er mødt op her i dag med et mere klart svar om, hvornår der sker noget. Og jeg bliver nødt til at sige til ministeren, at informationsniveauet til Folketinget i den her sag ikke har været særlig stort. Den rapport, ministeren selv nævner, og som jeg står med i hånden her, kommer kun i Folketingets besiddelse, fordi der er nogle journalister, der søger aktindsigt, for så er ministeren tvunget til også samtidig at oversende den til Kommunaludvalget og Retsudvalget. Hvis de journalister ikke havde søgt aktindsigt, havde vi aldrig fået den pågældende rapport.

Derfor synes jeg sådan set, at ministeren her i dag skulle give tilsagn om en bedre og mere vedvarende orientering af Folketinget i den her sag, og at ministeren kan annoncere, at den her rapport kommer, ikke om måneder og år, men om dage, og måske give en mere præcis dato. Det må man jo vide, man har arbejdet med det i et år. Man må da vide, hvornår man er færdig, må jeg sige til ministeren. Man kan jo ikke hele tiden udskyde et så vigtigt emne, når man ved, at vores samlede cpr-register er kompromitteret, og at der tilsyneladende ikke er sikkerhed.

Økonomi- og indenrigsministeren.

Igen må jeg afvise postulatet om, at man ikke kerer sig om sikkerheden. Siden hackerangrebet er der jo bl.a. indført stærkere password-regler; der er lavet en udvidet anvendelse af kryptering; der er lavet en ekstraordinær og uvildig it-revision af cpr-systemet; der er lavet penetrationstest, altså hvordan kan man hacke systemet? Der er etableret automatiske kontroller, som advarer imod skadeligt indhold af internettrafikken mod cpr-systemet og eventuel manglende sikkerhedsopdateringer mod cpr-systemets servere.

Det betyder, at vi jo selvfølgelig handler på det. Jeg har lige set spørgeren være særdeles utilfreds med, at den rapport, som blev oversendt, på grund af de hensyn, der har været til efterforskningen, ikke var, om man så må sige, ligefrem læsning, fordi der er ting, der er fortrolige. I det omfang, det overhovedet er muligt at orientere Folketinget på en meningsfuld måde, er det selvfølgelig blevet gjort, herunder jo også meget, meget hurtigt, da det overhovedet kom til vores kendskab, at noget var sket. Det tror jeg man kan forsikre sig om, hvis man ser på de orienteringer, der er blevet lavet af Folketinget, og selvfølgelig også ved, at den rapport, som jeg tror alle håber kommer inden for en overskuelig tidshorisont, vil blive oversendt, når den kommer.

Spørgsmålet er sluttet. Tak til økonomi- og indenrigsministeren.

Det næste spørgsmål er til justitsministeren af hr. Christian Langballe.