Fra april til august sidste år havde hackere adgang til dansk politis registre og millioner af personfølsomme oplysninger - heriblandt utallige CPR-numre. Det er IT-leverandøren CSC, der varetager driften af en række af politiets registre. BT har spurgt CSC-direktør Jens Schmidt om, hvordan det kunne lade sig gøre.
Jens Schmidt, det her angreb stod på gennem 5 måneder. Hvordan har det kunne lade sig gøre, uden at det blev opdaget?
- Jeg har ingen kommentarer til de nærmere omstændigheder og detaljer om den adgang, som de kriminelle har tiltvunget sig. Vi samarbejder med Rigspolitiet og bidrager til deres efterforskning, så jeg har ingen kommentarer til perioden og den nærmere karakter.
Men hvordan er de kommet ind?
- Vi har konstateret, at der har været en teknisk egenskab på de systemer, vi placerer vores sikkerhedssystemer på, der har gjort, at de her ekstremt dygtige hackere har haft mulighed for at bryde igennem. Og det er en teknisk egenskab, som nu er blevet rettet og lukket, så det ikke kan gentage sig. Sikkerhedssystemerne regnes ellers for de sikreste systemer og bliver brugt verden over.
Vil det sige, at jeres systemer ikke har været gode nok hidtil?
- Sikkerhed er et konstant kapløb mod de dygtigste hackere. Normalt er det jo sådan, at vi hele tiden afværger hackerangreb, man ikke hører noget om. Desværre har det vist sig i denne her sag - og det gælder både i Danmark og internationalt - at man med tilstrækkelig ond hensigt og tilstrækkelig dyb viden kan trænge gennem de mest sikre systemer, som man kan lave til denne type informationer.
Kommer sådan en sag her til at betyde noget for jeres fremtidige samarbejde med politiet?
- Det, der er vores opgave i denne her sag, er at bistå og fuldstændigt åbent samarbejde med politiet og hjælpe dem i deres efterforskning. Det stiller vi os fuldt til rådighed for. Vi har drevet systemer for politiet i over 50 år, og vi er meget glade for vores samarbejde med politiet.
Men kommer det til at betyde noget for samarbejdet?
- Jamen, det er en sag, der betyder noget for os alle sammen. Men som sagt kan jeg sige, at det, vi har foretaget os, er det, som man bør foretage sig i de her sager.
Og hvad er det helt præcist?
- Når man konstaterer, hvilke metoder hackerne har brugt, laver man i samarbejde med den leverandør, der laver de basale teknologier, en effektiv sikring for, at der bliver lukket af, for at man kan bruge den metode til at lave indbrud. Men det skal lige bemærkes, at der er intet, der tyder på, at de her informationer er blevet misbrugt.
Angrebene har jo angiveligt fundet sted fra april til august sidste år. I havde jo en større fyringsrunde i april sidste år, så kan I afvise, at det ikke er en af jeres fyrede medarbejdere, der har ladet en dør stå åben og måske lækket nogle oplysninger?
- Der er ingen informationer, der tyder på det, men de detaljer omkring efterforskningen er ikke noget, jeg kan og bør komme ind på. Det er en politimæssig efterforskning, der stadig er i gang.
