REU, Alm.del - 2014-15 (1. samling) - Bilag 76: Vedrørende hackerangrebet mod CSC har Justitsministeriet indhentet nærmere oplysninger fra Rigspolitiet om de it-sikkerhedsmæssige forpligtelser, som CSC har påtaget sig i henhold til kontrakten med Rigspolitiet, og om gennemførelsen af PET’s anbefalinger til dansk politi.

Retsudvalget 2014-15 (1. samling)
REU Alm.del Bilag 76
Offentligt

Folketinget

Retsudvalget

Christiansborg

1240 København K

Politi- og Strafferetsafdelingen

28. november 2014

Sikkerheds- og Forebyg-

gelseskontoret

Sagsbeh: Andreas Christensen

Sagsnr.: 2013-1924-0049

Dok.:

1329487

Dato:

Kontor:

I forlængelse af mødet den 16. september 2014 vedrørende hackerangrebet

mod CSC har Justitsministeriet indhentet nærmere oplysninger fra Rigspo-

litiet om de it-sikkerhedsmæssige forpligtelser, som CSC har påtaget sig i

henhold til kontrakten med Rigspolitiet, og om gennemførelsen

af PET’s

anbefalinger til dansk politi, jf. bilag 2 i PET’s og Center for Cybersikker-

heds fælles rapport om hackerangrebet.

Rigspolitiet har i den forbindelse oplyst følgende

om CSC’s it-

sikkerhedsmæssige forpligtelser:

”Rigspolitiet

kan indledningsvist oplyse, at oplysninger i poli-

tiets it-systemer til stadighed beskyttes, således at kritiske og

følsomme oplysninger bevarer deres fortrolighed, integritet og

tilgængelighed.

Oplysninger i politiets it-systemer er undergivet den til enhver

tid gældende lovgivning samt interne fastsatte retningslinjer,

herunder politiets sikkerhedshåndbog.

Rigspolitiets sikkerhedsbestemmelser er bl.a. baseret på EU-

direktivet om databeskyttelse, persondataloven, sikkerhedsbe-

kendtgørelsen (bekendtgørelse nr. 528 af 15. juni 2000 som

ændret ved bekendtgørelse nr. 201 af 22. marts 2001), den fæl-

lesstatslige standard for informationssikkerhed DS 484,

ISO/IEC 27001 samt Statsministeriets sikkerhedscirkulære

(CIR nr. 9846 af 21. december 2013).

Det kan i den forbindelse oplyses, at det i dansk politi er be-

sluttet at fastlægge it-sikkerhedsstrategier, som sikrer et it-

sikkerhedsniveau, der som minimum svarer til ISO 27001. Ind-

til 2013 var der fastlagt et sikkerhedsniveau, der som minimum

Slotsholmsgade 10

1216 København K.

Telefon 7226 8400

Telefax 3393 3510

www.justitsministeriet.dk

[email protected]

REU, Alm.del - 2014-15 (1. samling) - Bilag 76: Vedrørende hackerangrebet mod CSC har Justitsministeriet indhentet nærmere oplysninger fra Rigspolitiet om de it-sikkerhedsmæssige forpligtelser, som CSC har påtaget sig i henhold til kontrakten med Rigspolitiet, og om gennemførelsen af PET’s anbefalinger til dansk politi.

svarede til den fællesstatslige standard for informationssikker-

hed DS 484.

Rigspolitiet er den overordnede ansvarlige for politiets centrale

systemer og registre, herunder de oplysninger der behandles

heri.

Rigspolitiet kan oplyse, at politiets centrale registre er out-

sourcet til en ekstern driftsleverandør (CSC), som Rigspolitiet

har indgået en databehandleraftale med.

Af aftalen fremgår, at databehandleren alene handler efter in-

struks fra den dataansvarlige, og at databehandleren skal træffe

forskellige tekniske og organisatoriske sikkerhedsforanstalt-

ninger. Disse sikkerhedsforanstaltninger skal sikre mod, at op-

lysningerne



hændeligt eller ulovligt tilintetgøres, fortabes eller forrin-

ges,

kommer til uvedkommendes kendskab eller misbruges, el-

ler

i øvrigt behandles i strid med lov om behandling af person-

oplysninger.

Endvidere fremgår det af aftalen, at reglerne i sikkerhedsbe-

kendtgørelsen ligeledes gælder for behandlingen ved databe-

handleren.

Herudover kan Rigspolitiet oplyse, at databehandleraftalen, der

er indgået med CSC, er en del af et kontraktkompleks omfat-

tende de aftaler, der er indgået med CSC om drift af en del af

politiets it-systemer og databaser. Kontraktkomplekset inde-

holder bl.a. et bilag om generelle sikkerhedsforhold, et bilag

om sikkerhedsforhold i forbindelse med driftsaftalen samt en

beredskabsaftale.

Kravene skal overordnet sikre et tilstrækkeligt sikkerhedsni-

veau, herunder særligt kravene om overholdelse af persondata-

loven og sikkerhedsbekendtgørelsen, politiets egne sikker-

hedskrav (baseret på DS484 og ISO 27001), kravene til drift

og behandling af data i Danmark samt kravene vedrørende ret

til kontrol og opfølgning.

Kontraktkomplekset med CSC har ikke været i udbud, selvom

der har været tiltag med henblik på at konkurrenceudsætte sy-

stemdriften.

Rigspolitiet har iværksat en undersøgelse af, om CSC som

driftsleverandør har levet op til de kontraktmæssige forpligtel-

ser vedrørende de aftalte sikkerhedsforhold.

Undersøgelsens resultat vil indgå i Rigspolitiets endelige vur-

dering af CSC’s leverede ydelser på it-sikkerhedsområdet,

sammen med anbefalinger fra PET og Center for Cybersikker-

hed indgå i fremadrettede tiltag for at sikre, at der er tilstræk-

kelige krav til it-sikkerheden i kontrakterne.”

Rigspolitiet har oplyst følgende om gennemførelsen af PET’s anbefalinger

til dansk politi:

”Rigspolitiet

kan indledningsvist oplyse, at

PET’s og

Center

for Cybersikkerheds rapport om hackerangrebet (rapport II),

inklusiv bilag 2 indeholdende PET’s anbefalinger til dansk po-

liti, er modtaget af Koncern IT den 11. september 2014, og at

arbejdet med at vurdere de konkrete anbefalinger er påbegyndt.

Der foreligger på nuværende tidspunkt således ikke en færdig

analyse af de endelige anbefalinger fra PET.

Rigspolitiet har dog løbende forholdt sig til de anbefalinger,

PET indledningsvis afgav som følge af sikkerhedshændelsen

hos CSC i 2012, og har adresseret disse i aktuelle og kommen-

de projekter.

Anbefalinger vedrørende kontraktmæssige tiltag vil fremadret-

tet blive adresseret i forbindelse med kontraktudbud og lignen-

de.

Med hensyn til anbefalinger af mere teknisk og it-relateret ka-

rakter har Rigspolitiet adresseret flere af disse dels i igangvæ-

rende projekter, hvor det findes relevant, og dels i en række

nye og kommende projekter. En del af de tekniske anbefalin-

ger er imidlertid af en sådan karakter og omfang, at det er nød-

vendigt at analysere, hvad det forudsætter i forhold til den ge-

nerelle system- og infrastrukturmodernisering, og de vil såle-

des blive implementeret successivt over en årrække på forven-

teligt 3-5 år og i takt med, at moderniseringen finder sted.

Endvidere har Rigspolitiet iværksat en analyse af samtlige an-

befalinger afgivet af PET og Center for Cybersikkerhed for at

sikre, at alle anbefalinger, inklusive anbefalinger vedrørende

processer og procedurer, fremadrettet vurderes og tages meget

alvorligt.

Sluttelig kan Rigspolitiet oplyse, at væsentlige forudsætninger

for implementering af flere af anbefalingerne, herunder en

vurdering af systemer og data for sensitivitetsniveau, er med-

taget i politiets projekt vedrørende beskyttelse af følsomme og

fortrolige oplysninger (SAFE), som der henvises til i PET’s

anbefalinger.”

Med hensyn til politiets bevisindsamling i den verserende straffesag vedrø-

rende hackerangrebet henvises i øvrigt til de samtidige besvarelser af

spørgsmål nr. 1540-42 (Alm. del) fra Folketingets Retsudvalg.

Endvidere henvises der til de samtidige besvarelser af spørgsmål nr. 1576

og 1577 (Alm. del) fra Folketingets Retsudvalg vedrørende spørgsmålet

om, hvorvidt dansk politi skulle være blevet underrettet om kompromitte-

ringen af CSC’s data på et tidligere tidspunkt end hidtil antaget.

Det bemærkes endelig, at et enslydende brev er sendt til Folketingets

Kommunaludvalg.

Mette Frederiksen

Rikke-Louise Ørum Petersen