Ringe sikkerhed hos statslig IT-leverandør betyder, at myndighederne ikke ved, om borgere under hackerangreb blev slettet fra eksempelvis kriminalregistret.
De danske myndigheder ved ikke, om følsomme data om danskerne blev kopieret, ændret eller slettet, da den statslige IT-leverandør CSC blev hacket i 2012. Det viser en rapport om hackerangrebet, som Politiken er i besiddelse af.
Det er heller ikke til at vide, om myndighederne nogensinde kommer til bunds i sagen. Det skyldes ifølge avisen en ringe grad af sikkerhed hos CSC og myndighedernes manglende krav til IT-leverandøren.
»Angriberen havde formodentlig rettigheder til at kopiere, slette, ændre og tilføje data (...), hvilket indbefatter data fra politiet, CPR-registret, Skat og Moderniseringsstyrelsen,« står der ifølge Politiken i den fortrolige rapport fra Center for Cybersikkerhed.
Det fremgår også af rapporten, at det eneste, man ved med sikkerhed, er, at Rigspolitiets registre, herunder kriminalregistret og kørekortregistret, blev kopieret. Det er altså uklart, om der for eksempel er blevet pillet ved data fra Skat og Statens Lønsystem.
IT-sikkerhedsekspert Peter Kruse fra selskabet CSIS påpeger, at folk kan være blevet fjernet fra kriminalregistret, CPR-registret og Schengen-registret, uden at man kan påvise det.
Det konkluderes i rapporten, at både politiet og CSC har svigtet ved ikke at have haft nok fokus på sikkerheden.
CSC oplyser i en mail til Politiken, at selskabet betragter sig selv som offer for en kriminel handling, som ikke kunne være forudset og forhindret.
