Social- og Indenrigsudvalget 2015-16
SOU Alm.del Bilag 117
Offentligt
1585638_0001.png
:m :m
EC
å« ,
N5
om ,ampmma
.ZUG
w å”. a
0mm x
U>4>.... rm<z m4
CPR-kontoret
Holmens Kanal 22
1060 København K
17. december 2015
Datatilsynet
Borgergade 28, 5.
1300 København K
CVR nr 11-88 3 -29
Telefon 3319 320
Fax 3319 3218
E-mail
dt@datat' y td
ww.datatilsynet.dk
.nr. 2014 632-0084
Sagsbehandler
Kasper Frederiksen
Direkte 3319 3235
Datatilsynets udtalelse af 3 1 . juli 2015 til Rigspolitiet er tilgængelig her:
http: www.datatilsynet.dk/nyheder nyhedsarkiv artikel vedroerende-uvedkommendes-
adgang-til-personoplysninger-rigspolitiets-j nr-20 l 3-079-76
2 Datatilsynet har modtaget en større mængde oplysninger i de rejste sager i forlængelse af
hackerangrebet herunder oplysninger, som er klassificerede eller af forskellige årsager und-
taget fra aktindsigt efter offentlighedsloven
Vedrørende hackerangrebet på CSC i forhold til CPR-kontoret
l. Baggrunden for sagen
Datatilsynet vender hermed tilbage til sagen 0m hackerangrebet 1 forhold t1l
personoplysninger, som behandledes hos CSC pa vegne af det daværende
Økonomi- og Indenrigsministerium, IT og CPR (nu CPR administrationen i
Social- og Indenrigsministeriet, i det følgende ”CPR-kontoret”).
Efter anmodning fra Datatilsynet er CPR-kontoret fremkommet med udtalel-
ser til sagen ved breve af 27. marts og 1 oktober 2014
Datatilsynet har i forbindelse med sagen modtaget ”Foreløbig rapport om sik-
kerhedsbrud hos CSC” fra juli 2013 fra Center for Cybersikkerhed Tilsynet
er ligeledes i besiddelse af ”Rapport om sikkerhedsbrud hos SC fra august
2014 fra PET og Center for Cybersikkerhed omtalt som Rapport II).
Datatilsynet har den 31. juli 2015 truffet afgørelse i sagen om hackerangrebet
i forhold til Rigspolitietl. Tilsynet fokuserede i den forbindelse sine undersø-
gelser på forholdene omkring Schengen-informationssystemet. Undersøgel-
serne afdækkede imidlertid en række forhold omkring indretningen af den
berørte mainframe, som også er af relevans for den nærværende sag.
2. Sagens omstændigheder
Datatilsynet kan overordnetz beskrive sagen såled
2.1. CPR-kontorets it-systemer hos CSC
CPR-kontoret benyttede CSC som databehandler. I den forbindelse indgik de
personoplysninger, som CPR-kontoret er dataansvarlig for, i et mainframe-
 SOU, Alm.del - 2015-16 - Bilag 117: Datatilsynets udtalelse af 17/12-15 om hackerangrebet på CSC i forhold til CPR-kontoret, fra social- og indenrigsministeren
1585638_0002.png
miljø hos CSC. Mainframiljøet indeholdt ud over CPR-kontorets it-systemer
også it-systemer fra Modemiseringsstyrelsen, SKAT og Rigspolitiet.
Om mainframemiljøet foreligger følgende oplysninger, jf. Datatilsynets brev
af 31. juli 2015 til Rigspolitiet:
”2.2. Det konkrete system
2.2.1. Om mainframens indretning
l-Iackerangrebet er foregået mod én fysisk computer, en såkaldt mainframe af fabrikat IBM.
Mainframen var konfigureret i fire partitioner, såkalte LPAR's (Logical Partitions). De fire
LPAR's er benævnt D1 1, D12, D13 og D14.
I en LPAR kan der driftes systemer, programmer og services.
Mainframen var konfigureret således, at de tilsluttede lagringsmedier (diske) var delte og
fysisk kunne tilgås fra alle fire LPAR'er. I det følgende benyttes betegnelsen 'det delte disk-
system' for disse lagringsmedier.
RACF er et mainframe sikkerhedssystem udviklet af IBM. RACF anvendes bl.a. til at kon-
trollere bruger-id og password for brugere og administratorer, samt disses autorisationer til at
anvende data, programmer og andre ressourcer på mainframes.
Den aktuelle mainframe var konfigureret med ét RACF sikkerhedssystem, som var fælles for
hele mainframen inklusiv de fire LPAR'er. Dette RACF kontrollerede således i den aktuelle
situation bruger-id og password for alle brugere og administratorer samt disses autorisationer
til at anvende data, systemer, programmer og services og andre ressourcer i alle fire LPAR”er
på mainframen.
De oplysninger om bruger-id, password og autorisationer, som RACF i det aktuelle tilfælde
anvendte, fandtes lagret i krypteret form i en database/fil på det delte disksystem, som var
tilsluttet mainframen. I det følgende omtales denne database/fil som 'RACF-databasen'.
1 LPAR D11 var der installeret en aktiv webserverservice, som kunne tilgås fra det åbne in-
ternet. Det var en sårbarhed i denne webserver, som hackeren benyttede til at skaffe sig den
indledende adgang til mainframen.
2.2.2. Om mainframens anvendelse
l mainframen driñedes bl.a. infonnationssystemer for Rigspolitiet, SKAT, Økonomi- og
Indenrigsministeriet og Modemiseringsstyrelsen.
De infonnationssystemer, der blev drifiet for Rigspolitiet, omfattede bl.a. Schengen-
informationssystemet, Kriminalregisteret, Kørekortregisteret, Pasregisteret og Index-
registeret.
Schengen-informationssystemet indeholdt bl.a. oplysninger om personer, der var eftersøgt,
havde indrejseforbud i Schengen-området eller var under diskret overvågning af politi eller
efterretningstjenester i henhold til artiklerne 95-99 i Schengenkonventionen.
Kriminalregisteret indeholdt bl.a. oplysninger om straffede personer og disses strafbare for-
hold.
Kørekortregisteret indeholdt bl.a. oplysninger om alle personer, der har dansk kørekort, her-
under kørekortindehaverens personnummer og kørekortnummer.
Pasregisteret indeholdt bl.a. oplysninger om alle personer, der har et dansk pas, herunder bl.a.
indehaverens personnummer og pasnummer.
 SOU, Alm.del - 2015-16 - Bilag 117: Datatilsynets udtalelse af 17/12-15 om hackerangrebet på CSC i forhold til CPR-kontoret, fra social- og indenrigsministeren
1585638_0003.png
Index-registeret indeholdt bl.a. oplysninger fra CPR-registeret om alle borgere i Danmark
med et personnummer.
Rigspolitiet har oplyst, at Rigspolitiets systemer blev driftet i LPAR D11 og D14.
På forespørgsel har Rigspolitiet oplyst, at den implicerede webserver, som var installeret og
aktiv i LPAR Dl l, havde til fonnål at give adgang fra internettet til portalen
www.tjenestemandspension.dk.
Modemiseringsstyrelsen er dataansvarlig for intemetportalen www.tjenestemandspension.dk.
Portalen retter sig mod alle tjenestemænd med tjenestemandspension. På portalen kan den
enkelte tjenestemand finde relevante oplysninger om egen tjenestemandspension.
Datatilsynet har specifikt spurgt Rigspolitiet om, hvem (feks. Rigspolitiet eller CSC), der har
truffet beslutning om, at webserveren skulle kunne tilgås fra internettet af brugere udenfor
CSC's lokalitet. I to omgange har Rigspolitiet ikke besvaret spørgsmålet.
Datatilsynet lægger i det følgende til grund, at LPAR D1 l er blevet anvendt af både Modemi-
seringsstyrelsen og Rigspolitiet. Dette understøttes af oplysningeme i de rapporter, som Data-
tilsynet er i besiddelse af, hvoraf det fremgår, at både Rigspolitiet og Modemiseringsstyrelsen
benyttede LPAR Dl l.
RACF sikkerhedssystemet på mainframen var fælles for de fire ovennævnte LPAR'er D] l,
D12, D13 og D14. RACF sikkerhedssystemets database (RACF-databasen) indeholdt oplys-
ninger om ca. 85.000 bruger- og administrator-id'er, samt oplysninger om de hertil knyttede
password og autorisationer til at anvende programmer, services og data på hele mainframen.
Det høje antal bruger- og administrator-id'er i RACF-databasen hænger sammen med, at
RACF-sikkerhedssystemet kontrollerede brugere og administratorer af systemerne fra såvel
Rigpolitiet, Økonomi- og Indenrigsministeriet, SKAT og Modemiseringsstyrelsen. En kopi af
RACF-databasen blev fundet på hackerens computer."
2.2. Hackerangrebet
Om hackerangrebet er oplyst følgende, jf. Datatilsynets brev af 3 l. juli 2015
til Rigspolitiet:
"Hackerangrebet blev foretaget ved bl.a. at udnytte to sårbarheder i IBM softwaren på main-
framen. Begge sårbarheder var såkaldte zero-day sårbarheder, hvilket betyder, at der ikke
eksisterer rettelser til afhjælpning af sårbarhedeme. IBM udsendte først rettelser til afhjælp-
ning af de to zero-day sårbarheder, eñer at angrebet var ophørt. Den aktuelle udnyttelse af
sårbarhedeme kunne derfor ikke have været afværget ved patchning.
Hackeren har skaffet sig adgang til mainframen via en webserver, som kunne tilgås fra det
åbne internet. Ved at udnytte den ene zero-day sårbarhed, som fandtes i IBM webserversoñ-
waren, har hackeren opnået en indledende og begrænset adgang til mainframen.
Ved dereñer at udnytte den anden zero-day sårbarhed i mainframens systemsoñware, har
hackeren trinvis kunnet øge sine beføjelser og tiltage sig mere kontrol med mainframen. For-
løbet førte til, at hackeren opnåede ubegrænset adgang til alle data og denned adgang til at
kopiere, slette, ændre og tilføje data. Der er undervejs i forløbet blevet installeret et eller flere
programmer, som har kunnet benyttes til at udtrække data fra mainframen. Undervejs i forlø-
bet har hackeren opnået så store rettigheder, at hackeren har kunnet stjæle og kopiere (down-
loade) hele RACF-databasen fra mainframen. Endvidere er der opnået adgang til at omgå
logning af de udførte handlinger, hvorefter hackeren har kunnet operere "Stealth".
 SOU, Alm.del - 2015-16 - Bilag 117: Datatilsynets udtalelse af 17/12-15 om hackerangrebet på CSC i forhold til CPR-kontoret, fra social- og indenrigsministeren
1585638_0004.png
Der foreligger ikke et fuldstændigt overblik over, hvilke data der med sikker-
hed er kopieret fra mainfrarnemiljøet. Det er imidlertid konstateret, at store
mængder data tilhørende politiet er kopieret 0g trukket ud fra systemet, lige-
som RACF-databasen er blevet kopieret og downloadet.
2.3. CPR-kontorets håndtering af hackerangrebet
CPR-kontoret har bl.a. oplyst, at det daværende Økonomi- og Indenrigsmini-
sterium med bistand fra Center for Cybersikkerhed igangsatte en nærmere
undersøgelse af, om der var grund til at tage yderligere forholdsregler for
CPR-systemet på baggrund af den konkrete sag, og at CPR-kontoret følger
ISO 27001 og træffer løbende sikkerhedsforanstaltninger i forhold til den ak-
tuelle risikovurdering for CPR-systemet, ligesom kontoret har fulgt de anbefa-
linger til yderligere sikkerhedsforanstaltninger, som er fremkommet under den
iværksatte undersøgelse af hackerangrebet.
Endvidere har CPR-kontoret bl.a. oplyst, gt CPR-systemet siden marts 2014
ikke længere driftsafvikles på den fællesoffentlige mainframe hos CSC eller
anvender den fælles RACF, og at CPR-systemet er flyttet til en selvstændig
platform, hvor der anvendes et andet adgangskontrolsystem. CPR-kontoret
har også oplyst, a_t der i forbindelse med flytningen af CPR-systemet blev for-
anstaltet en ekstraordinær, uvildig it-revision og gennemført en sikkerheds-
vurdering af den nye platform i samarbejde med Center for Cybersikkerhed.
Herudover oplyste CPR-kontoret ved sit brev af 27. marts 2014, a_t det davæ-
rende Økonomi- og Indenrigsministerium ikke havde konstateret, at personop-
lysninger, som behandledes hos CSC på vegne af CPR-kontoret, var blevet
uautoriseret tilgået, modificeret, misbrugt eller offentliggjort som følge af
hackerangrebet, g CPR-kontoret i perioden siden februar 2012 ikke havde
modtaget henvendelser eller indikationer på, at CPR's data skulle være blevet
uautoriseret modificeret, misbrugt eller offentliggjort som følge af hackeran-
grebet, at Økonomi- og Indenrigsministeriet løbende vurderede, om der var
anledning til at informere konkrete borgere eller grupper af borgere om sik-
kerhedsbruddet, men indtil videre ikke havde fundet anledning til dette, og a_t
Økonomi- og Indenrigsministeriet bemærkede, at politiet den 6. juni 2013
offentliggjorde en vejledning til borgerne efter sikkerhedsbristen.
I forhold til den kopierede og downloadede RACF-database har CPR-kontoret
bl.a. oplyst, a_t databasen for CPR-systemets vedkommende indeholdt oplys-
ninger om bl.a. brugemavne og passwords for ca. 38.000 brugere, a_t 25.000 af
disse brugere var aktive, mens de resterende var blokerede og ikke kunne an-
vendes, og a_t databasen for ca. 11.000 af brugemavnene bl.a. også indeholdt
oplysninger om fornavn og efternavn på brugeren samt i visse tilfælde e-
mailadresse.
 SOU, Alm.del - 2015-16 - Bilag 117: Datatilsynets udtalelse af 17/12-15 om hackerangrebet på CSC i forhold til CPR-kontoret, fra social- og indenrigsministeren
1585638_0005.png
3. Datatilsynets udtalelse
3.1. For så vidt angår RACF-systemet og det disksystem, der var tilknyttet
den omhandlede mainframe, konkluderede Datatilsynet i afgørelsen af 31. juli
2015 bl.a.:
"Sikkerhedssystemet RACF styrer og kontrollerer adgang og autorisationer til systemer for
brugere og administratorer. Den aktuelle mainframe var indrettet med ét RACF, som dække-
de hele mainframen, dvs. alle fire LPAR'er Dl l, D12, D13 og D14, brugere og administrato-
rer af systemerne samt data for såvel Rigspolitiet som SKAT, Økonomi- og Indenrigsministe-
riet og Modemiseringsstyrelsen. Ved at dele RACF påførte de fire dataansvarlige hinanden
forøgede risici, både fordi den enkelte dataansvarlige, f.eks. Rigspolitiet, eksponeres for visse
former for sikkerhedshændelser hos de øvrige dataansvarlige, og fordi konsekvenserne af
visse sikkerhedshændelser kan sprede sig fra én dataansvarlig til de øvrige dataansvarlige.
Rigspolitiet har på forespørgsel oplyst, at der i RACF-databasen eksisterede (eller kunne
oprettes) bruger- eller administrator-id med autorisationer til at kunne tilgå og udføre hand-
linger på data, som Rigspolitiet ikke er dataansvarlig for. Rigspolitiet har endvidere oplyst, at
det drejer sig om data, som SKAT, Modemiseringsstyrelsen eller Økonomi- og Indenrigsmi-
nisteriet er dataansvarlige for.
På computeren, som blev beslaglagt i Cambodia, blev fundet en kopi af en RACF-database.
Det er fastslået, at der er tale om en kopi af RACF-databasen, som fandtes på den aktuelle
mainframe. RACF-databasen indeholdt adgangskoder og autorisationer for ca. 85.000 bruger-
og administrator-War hidrørende fra forskellige myndigheder. Datatilsynet må anse det for
overvejende sandsynligt, at hackeren har været i stand til at bryde den kryptering, der var på
RACF-databasens indhold, og dermed tilgå indholdet.
På denne baggrund - og fordi hackeren vides at have tilegnet sig ubegrænsede rettigheder til
at tilgå alle data på mainframen - må alle data på mainframen og hele det delte disksystem
anses for eksponeret og potentielt kompromitteret ved hackerangrebet."
og:
"Den aktuelle mainframe var indrettet med ét delt disksystem, som kunne tilgås fra alle fire
LPAR'er D11, D12, D13 og D14. Det delte disksystem blev benyttet til at lagre data for in-
formationssystememe, som blev driñet i alle fire LPAR'er, dvs. for Rigspolitiet, SKAT,
Økonomi- og Indenrigsministeriet og Modemiseringsstyrelsen. Ved at dele disksystemet
påførte de fire dataansvarlige hinanden forøgede risici, både fordi den enkelte dataansvarlige,
feks. Rigspolitiet, eksponeredes for visse former for sikkerhedshændelser hos de øvrige data-
ansvarlige, og fordi konsekvenserne af visse sikkerhedshændelser kunne sprede sig fra én
dataansvarlig til de øvrige dataansvarlige. Delingen af disksystemet er med hensyn til adskil-
lelse af dataansvarlige og adskillelse af de dataansvarliges data risikabel og undergraver tilli-
ge forsvar i dybden for alle de dataansvarlige."
3.2. Datatilsynets vurdering i forhold til CPR-kontoret
Datatilsynet må lægge til grund, at angriberen potentielt har haft adgang til at
ændre i, tilføje eller slette data, som befandt sig i systemer, som på vegne af
CPR-kontoret blev håndteret hos CSC.
Datatilsynet har i den forbindelse noteret sig, at det er anført i Rapport II, at
de berørte myndigheder har foretaget dataintegritetscheck (og konsekvens-
vurdering) som anbefalet af Center for Cybersikkerhed i den foreløbige rap-
port frajuli 2013.
 SOU, Alm.del - 2015-16 - Bilag 117: Datatilsynets udtalelse af 17/12-15 om hackerangrebet på CSC i forhold til CPR-kontoret, fra social- og indenrigsministeren
1585638_0006.png
3 Ifølge persondatalovens § 41, stk. 3, skal der træffes de fornødne tekniske og organisatori-
ske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, for-
tabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i
øvrigt behandles i strid med loven
Hertil kommer, at de oplysninger om personlige brugere, der indgik RACF-
databasen, efter Datatilsynets opfattelse i sig selv udgør personoplysninger
omfattet af persondataloven. Tilsynet lægger herved vægt på, at oplysningerne
omfattede navne 0g andre personoplysninger.
Efter Datatilsynets opfattelse er der således tale om, at personoplysninger,
som CPR-kontoret er dataansvarlig for, er kommet til uvedkommendes kend-
skab, da RACF-databasen er blevet kopieret og downloadet.
Det forhold, at mainframemiljøet hos CSC var delt mellem flere myndighe-
der, medvirkede efter Datatilsynets opfattelse til, at en angriber via en web-
server, som én myndighed var dataansvarlig for, kunne tilgå både data, som
den pågældende myndighed var dataansvarlig for, og data, som andre myn-
digheder var dataansvarlige for.
Det forhold, at RACF -databasen var delt mellem flere myndigheder, forøgede
desuden angriberens mulighed for at skaffe sig adgang til CPR-kontorets sy-
stemer via uberettiget adgang til andre myndigheders systemer.
Efter Datatilsynets opfattelse har CPR-kontoret derfor ikke haft tilstrækkelig
kontrol med sikkerheden omkring de personoplysninger, som på myndighe-
dens vegne blev håndteret hos CSC. Datatilsynet finder således, at CPR-
kontoret ikke har levet op til kravet i persondatalovens § 41, stk. 33, om de
fornødne sikkerhedsforanstaltninger.
Datatilsynet tager ved sin vurdering af sagen også i betragtning, at CPR-
kontoret fik håndteret CPR-systemet i det pågældende mainframemiljø hos
CSC, og at kompromittering af oplysningerne kurme få alvorlige skadevirk-
ninger for såvel CPR-kontoret, andre myndigheder, som bruger CPR-
systemet, som de personer, der behandles oplysninger om.
På den baggrund er det efter Datatilsynets opfattelse meget alvorligt, a_t en
udenforstående potentielt har haft mulighed for at tilgå, kopiere, slette 0 g æn-
dre i CPR-systemet hos CSC, og at personoplysninger i RACF-databasen er
blevet kopieret og downloadet.
Datatilsynet finder derfor CPR-kontorets manglende efterlevelse af personda-
talovens sikkerhedskrav kritisabel.
Datatilsynet har noteret sig det oplyste om de skridt, som CPR-kontoret har
taget til at forbedre beskyttelsen af CPR-systemet.
 SOU, Alm.del - 2015-16 - Bilag 117: Datatilsynets udtalelse af 17/12-15 om hackerangrebet på CSC i forhold til CPR-kontoret, fra social- og indenrigsministeren
1585638_0007.png
os aan:
Woñoanram
3.3. Underretning af de berørte personer
Hvis personoplysninger er kommet til uvedkommendes kendskab, er det Da-
tatilsynets opfattelse og faste praksis, at reglen i persondatalovens § 5, stk. 1,
om god databehandlingsskik medfører, at den dataansvarlige skal vurdere, om
og i givet fald hvordan de berørte personer skal underrettes.
Ved vurderingen af spørgsmalet om underretning må den dataansvarlige
blandt andet tage oplysningemes karakter og de mulige konsekvenser for de
berørte personer i betragtning.
I et tilfælde, hvor en brugerdatabase er blevet kompromitteret, ma det også
tages i betragtning, om såvel brugernavne som passwords er berørt, om pass-
words var krypteret, og om det må frygtes, at angriberen har brudt krypterin-
gen.
Tilsynet vurderer umiddelbart, at der i sådanne situationer som oftest vil være
behov for underretning ganske hurtigt. Ud over nulstilling af passwords i de
berørte løsninger kan der saledes være brugere der har behov for at ændre
passwords andre steder eller at ændre en metodik til opbygning af passwords
som kan være blotlagt.
Datatilsynet skal på denne baggrund opfordre CPR-kontoret til at fastsætte
retningslinjer for håndtering af sikkerhedsbrud både for myndigheden selv
og som led i aftalerne med de relevante databehandlere såfremt sådanne
retningslinjer ikke allerede er fastsat.
3.4. Afsluttende bemærkninger
Datatilsynet foretager sig herefter ikke yderligere i sagen.
Tilsynet forventer at offentliggøre denne udtalelse på sin hjemmeside
ed venl' hilsen