Professor: Sympatisk, at Rigspolitiet ikke vil føre en sag mod CSC efter hackersagen

Rigspolitiet har droppet tanken om at politianmelde CSC for forsømmelse af it-sikkerheden i kølvandet på hackersagen. Men det er måske meget godt, lyder det fra professor fra CBS.

Dommen er faldet i danmarkshistoriens største hackersag, men efterspillet er kun lige begyndt.

Hackerangrebet, der ramte en af statens største it-leverandører, CSC, kompromitterede ikke blot store dele af den danske befolknings private oplysninger, men blotlagde også kritiske problemer med sikkerheden hos leverandøren og sløseri hos blandt andet Rigspolitiet, der er ansvarligt for oplysningerne.

Derfor overvejede Rigspolitiet ifølge Justitsministeriet tidligere at føre sag mod CSC for at have svigtet sin opgave med at beskytte de statslige databaser med fortrolige oplysninger om borgerne tilstrækkeligt.

Læs også: Rigspolitiet overvejer sag mod CSC

Den idé er nu lagt på hylden hos Rigspolitiet, der i stedet er i gang med at lave en gennemgang af sikkerheden hos CSC.

»Vi har taget en kritisk dialog med dem og har ikke fundet noget grundlag for at lave en politianmeldelse,« siger Rigspolitiets it-direktør, Michael Steen Hansen, til Version2 og fortsætter:

»Det med at køre en sag, tror jeg mest, pressen har været optaget af. Det er en overdramatisering af situationen.«

Ikke desto mindre oplyste den tidligere justitsminister Karen Hækkerup (S) i september i et svar til Enhedslistens retsordfører, Pernille Skipper, at Rigspolitiet overvejede at køre sag mod CSC.

At det ikke bliver aktuelt, kan være positivt ifølge professor på Copenhagen Business School Kim Normann Andersen:

»Det lyder egentlig meget sympatisk, at Rigspolitiet ikke griber til det,« siger han og uddyber:

»Det er ikke befordrende for at ændre adfærd i virksomhederne og den offentlige forvaltning, hvis det ligger i luften, at den første løsning bliver at rejse politisager, som kan ende i et anklageskrift.«

Enhedslisten: Politiets dobbeltrolle er bekymrende

Pernille Skipper (EL) vil nu kræve svar fra justitsministeren på, hvem der har besluttet ikke at føre sag mod CSC, og på hvilken baggrund beslutningen er blevet truffet.

»Der er nogle åbenlyse problemer omkring politiets dobbeltrolle i den her sag: at de både er politi og offer på en og samme gang. Og politiets manglende reaktioner på advarslerne fra det svenske politi er meget bekymrende,« siger hun og fortsætter:

»Når man har fulgt debatten, får man en fornemmelse af, at vi mangler kompetencer hos politiet inden for efterforskning af it-kriminalitet.«

Selvom Rigspolitiet ikke politianmelder CSC, kan anklagemyndigheden stadig vælge at tage sagen op af egen drift eller efter opfordring fra Datatilsynet.

Anklagemyndigheden kan ikke oplyse, om der arbejdes på at rejse en sag eller ej på nuværende tidspunkt.

Folkeligt søgsmål på vej?

Der har tidligere været stor kritik af CSC’s håndtering af borgernes oplysninger fra blandt andet internetaktivisten Peter Kofod.

Og det kan i sidste udfald ende med et civilt søgsmål mod statens it-leverandør.

»Hvis ikke politiet og anklagemyndigheden rejser en tiltale, så håber jeg virkelig, at en stor gruppe af danskere - og jeg vil selv være blandt dem - vil starte et kollektivt søgsmål mod CSC,« sagde Peter Kofod til TV2 Nyhederne.

Hvorvidt sådan et søgsmål kan lade sig gøre, er dog mere tvivlsomt ifølge it-advokat fra Bird & Bird Nis Peter Dall. Det er nemlig slet ikke CSC, som man i udgangspunktet skal lægge sag an mod i denne situation. I stedet vil det være Rigspolitiet, der kan stå for skud.

»I første omgang vil man skulle lægge sag an mod den dataansvarlige, da det er dem, man har relation til,« siger han og pointerer, at det kan halte med at føre sådan en sag som privatperson.

»Jeg mener ikke, at vi tidligere har haft civile søgsmål, hvor en privatperson har stævnet en dataansvarlig, fordi der er mistet data,« siger han.

Desuden ligger bødeniveauet meget lavt i sager af denne type - typisk under 25.000 kr. ifølge Nis Peter Dall, der dog også mener, at sagens grovhed vil kunne lede til en højere bøde, hvis CSC ender med at komme i retten og blive dømt.

»Det mest oplagte vil være, at det er Datatilsynet, som går videre med det. De burde kigge grundigt på det her og overveje, om der ligger en overtrædelse af persondataloven,« siger han.

Datatilsynet undersøger Rigspolitiet, men ikke CSC

Som et resultat af hackersagen er fem statslige myndigheder kommet under luppen hos Datatilsynet, der er ved at undersøge, hvad der er foregået, og hvordan myndighederne har håndteret sagen.

Det gælder både Rigspolitiet, Moderniseringsstyrelsen, Skat, CPR-registeret samt Digitaliseringsstyrelsen, hvor blandt andet Rigspolitiet har været dataansvarlig for de ramte databaser.

Datatilsynet undersøger dog ikke CSC, da de er databehandlere i sagen og derfor ikke har det overordnede ansvar for borgernes oplysninger.

»Det er helt sædvanligt, at det er den dataansvarlige, der skal svare for sikkerheden. Du udliciterer driften, men ikke ansvaret,« siger kontorchef hos Datatilsynet Lena Andersen.

Og mens Datatilsynet undersøger Rigspolitiet, er Rigspolitiet ved at gå CSC efter i sømmene:

»Vi kigger efter anbefalingerne fra rapporter som dem fra vores eksterne revision og Center for Cybersikkerhed og tjekker, om de er blevet implementeret,« siger Rigspolitiets it-direktør, Michael Steen Hansen, og fortsætter:

»Vi har øget krav til revisionen af it-sikkerheden hos CSC, og så har vi kigget på reaktionstiderne på forskellige sager og overvågningselementer, så vi har en bedre chance for at undgå noget lignende i fremtiden. Det kan fx være, hvor lang tid der må gå for at implementere en kritisk sikkerhedsopdatering til et produkt.«

Hvilke krav har I stillet?

»Det vil være for vidt at gå ind på detaljerne i de krav, vi har stillet.«

Har I implementeret nogle faste deadlines for eksempelvis sikkerhedsopdateringer?

»Der er jeg dig svar skyldig. Vi har nogle kategoriseringer af vigtighed, så nogle opdateringer har større prioritet end andre.«

Var der ikke det før?

»Det skal jeg ikke kunne sige. Det er der i hvert fald nu.«

Rigspolitiet har omkring 20 pct. af sine it-systemer liggende hos eksterne driftsoperatører, og i fremtiden kan det være en mulighed at lægge al driften inden for politiets egne rækker i stedet for hos eksempelvis CSC, foreslår Michael Steen Hansen.

Er det noget, I planlægger?

»Det er noget af det, vi kigger på,« siger han.

Professor vil have leverandører til at vise deres sorte får frem

Når man ikke får et bedre sikkerhedsniveau af at straffe leverandørerne ifølge Kim Normann Andersen, så er der andre, bedre muligheder, mener professoren.

Han foreslår blandt andet, at offentlige myndigheder fremover kræver, at leverandørerne afslører deres lig i lasten, før de kan byde ind på de store it-projekter.

Med andre ord skal de fremvise en log over alle virksomhedens sikkerhedsbrister, hvor eksempelvis personfølsomme oplysninger er blevet kompromitteret.

»Det giver ikke mening at blackliste leverandører. Der er så få firmaer, der kan byde ind på de offentlige opgaver, at det er mere interessant at få sikkerhedshændelserne frem og så se, hvad de har gjort for at forhindre, at det sker igen,« siger han.