Uvedkommendes adgang til personoplysninger i systemer, som Rigspolitiet er dataansvarlig for

Journalnummer: 2013-632-0050

1. Baggrunden for sagen

Datatilsynet vender hermed tilbage til sagen vedrørende uvedkommendes adgang til personoplysninger i systemer, som Rigspolitiet er dataansvarlig for.

Datatilsynet har stillet Rigspolitiet spørgsmål både som tilsynsmyndighed i henhold til persondataloven¹ og som national tilsynsmyndighed for Schengen-informationssystemet².

Datatilsynet har i første række fokuseret sine undersøgelser på forholdene omkring Schengen-informationssystemet.

Som svar på tilsynets spørgsmål er Rigspolitiet fremkommet med redegørelser om sikkerhedshændelsen, og Datatilsynet har modtaget en række rapporter. En oversigt over rapporter, som Datatilsynet har modtaget, vedlægges som bilag til dette brev.

2. Datatilsynet lægger på baggrund af de høringssvar, rapporter mv., som tilsynet har modtaget, følgende til grund:

I 2012 blev informationssystemer, som en række danske myndigheder – herunder Rigspolitiet, SKAT, Økonomi- og Indenrigsministeriet (nu Social- og Indenrigsministeriet) og Moderniseringsstyrelsen – fik driftafviklet hos CSC, udsat for et hackerangreb. Informationssystemerne blev driftet på én og samme mainframe hos CSC i Valby. Det er med sikkerhed fastslået, at angrebet har fundet sted i tidsrummet fra den 9. marts 2012 til den 27. august 2012.

En svensk statsborger blev anholdt i Cambodia ultimo august 2012. Under anholdelsen blev en computer tilhørende den anholdte svenske statsborger beslaglagt. Den svenske statsborger og computeren blev efterfølgende udleveret til svensk politi, og siden er den svenske statsborger blevet udleveret til Danmark, hvor han ved retten på Frederiksberg i 2014 blev dømt for at have overtrådt dansk lovgivning i forbindelse med hackerangrebet. Dommen blev stadfæstet ved Østre Landsrets dom afsagt den 17. juni 2015.

Dansk og svensk politi har undersøgt den beslaglagte computer fra Cambodia. Computeren har vist sig at indeholde filer, som det har kunnet fastslås er kopier af filer på den hackede mainframe hos CSC i Valby. Blandt filerne på den beslaglagte computer er fundet en kopi af RACF-databasen, som var på den hackede mainframe. Desuden er der på den beslaglagte computer fundet filer, som er kopieret fra Rigspolitiets systemer på den hackede mainframe. En af filerne på computeren er fastslået at være en kopi af en specifik fil (i det følgende benævnt ’filen X’), som fandtes på mainframen, og som indeholder et dataudtræk af data i Schengen-informationssystemet, som Rigspolitiet er dataansvarlig for.

2.1. Om hackerangrebet

Hackerangrebet blev foretaget ved bl.a. at udnytte to sårbarheder i IBM softwaren på mainframen. Begge sårbarheder var såkaldte zero-day sårbarheder, hvilket betyder, at der ikke eksisterer rettelser til afhjælpning af sårbarhederne. IBM udsendte først rettelser til afhjælpning af de to zero-day sårbarheder, efter at angrebet var ophørt. Den aktuelle udnyttelse af sårbarhederne kunne derfor ikke have været afværget ved patchning.

Hackeren har skaffet sig adgang til mainframen via en webserver, som kunne tilgås fra det åbne internet. Ved at udnytte den ene zero-day sårbarhed, som fandtes i IBM webserversoftwaren, har hackeren opnået en indledende og begrænset adgang til mainframen.

Ved derefter at udnytte den anden zero-day sårbarhed i mainframens systemsoftware, har hackeren trinvis kunnet øge sine beføjelser og tiltage sig mere kontrol med mainframen. Forløbet førte til, at hackeren opnåede ubegrænset adgang til alle data og dermed adgang til at kopiere, slette, ændre og tilføje data. Der er undervejs i forløbet blevet installeret et eller flere programmer, som har kunnet benyttes til at udtrække data fra mainframen. Undervejs i forløbet har hackeren opnået så store rettigheder, at hackeren har kunnet stjæle og kopiere (downloade) hele RACF-databasen fra mainframen. Endvidere er der opnået adgang til at omgå logning af de udførte handlinger, hvorefter hackeren har kunnet operere ”stealth”.

Det er konstateret, at data er blevet udtrukket til flere forskellige servere i udlandet, samt at hackeren har udtrukket flere gigabytes (GB) data, herunder en fil, som er en kopi af filen X indeholdende udtrækket af data fra Schengen-informationssystemets database.

Datatilsynet må på baggrund af det oplyste desuden lægge til grund, at filen X med udtrækket af data fra Schengen-informationssystemet indeholdt oplysninger om alle efterlyste personer i Schengen-området, at det i alt drejer sig om ca. 1,2 mio records med såkaldte Schengen alerts, og at det vedrører personer, som er registreret i henhold til artiklerne 95-99 i Schengenkonventionen.

Det er en kopi af filen X, der er fundet på den beslaglagte computer.

2.2. Det konkrete system

2.2.1. Om mainframens indretning

Hackerangrebet er foregået mod én fysisk computer, en såkaldt mainframe af fabrikat IBM. Mainframen var konfigureret i fire partitioner, såkalte LPAR’s (Logical Partitions). De fire LPAR’s er benævnt D11, D12, D13 og D14.

I en LPAR kan der driftes systemer, programmer og services.

Mainframen var konfigureret således, at de tilsluttede lagringsmedier (diske) var delte og fysisk kunne tilgås fra alle fire LPAR’er. I det følgende benyttes betegnelsen ’det delte disksystem’ for disse lagringsmedier.

RACF er et mainframe sikkerhedssystem udviklet af IBM. RACF anvendes bl.a. til at kontrollere bruger-id og password for brugere og administratorer, samt disses autorisationer til at anvende data, programmer og andre ressourcer på mainframes.

Den aktuelle mainframe var konfigureret med ét RACF sikkerhedssystem, som var fælles for hele mainframen inklusiv de fire LPAR’er. Dette RACF kontrollerede således i den aktuelle situation bruger-id og password for alle brugere og administratorer samt disses autorisationer til at anvende data, systemer, programmer og services og andre ressourcer i alle fire LPAR’er på mainframen.

De oplysninger om bruger-id, password og autorisationer, som RACF i det aktuelle tilfælde anvendte, fandtes lagret i krypteret form i en database/fil på det delte disksystem, som var tilsluttet mainframen. I det følgende omtales denne database/fil som ’RACF-databasen’.

I LPAR D11 var der installeret en aktiv webserverservice, som kunne tilgås fra det åbne internet. Det var en sårbarhed i denne webserver, som hackeren benyttede til at skaffe sig den indledende adgang til mainframen.

2.2.2. Om mainframens anvendelse

I mainframen driftedes bl.a. informationssystemer for Rigspolitiet, SKAT, Økonomi- og Indenrigsministeriet og Moderniseringsstyrelsen.

De informationssystemer, der blev driftet for Rigspolitiet, omfattede bl.a. Schengen-informationssystemet, Kriminalregisteret, Kørekortregisteret, Pasregisteret og Index-registeret.

Schengen-informationssystemet indeholdt bl.a. oplysninger om personer, der var eftersøgt, havde indrejseforbud i Schengen-området eller var under diskret overvågning af politi eller efterretningstjenester i henhold til artiklerne 95-99 i Schengenkonventionen.

Kriminalregisteret indeholdt bl.a. oplysninger om straffede personer og disses strafbare forhold.

Kørekortregisteret indeholdt bl.a. oplysninger om alle personer, der har dansk kørekort, herunder kørekortindehaverens personnummer og kørekortnummer.

Pasregisteret indeholdt bl.a. oplysninger om alle personer, der har et dansk pas, herunder bl.a. indehaverens personnummer og pasnummer.

Index-registeret indeholdt bl.a. oplysninger fra CPR-registeret om alle borgere i Danmark med et personnummer.

Rigspolitiet har oplyst, at Rigspolitiets systemer blev driftet i LPAR D11 og D14.

På forespørgsel har Rigspolitiet oplyst, at den implicerede webserver, som var installeret og aktiv i LPAR D11, havde til formål at give adgang fra internettet til portalen "www.tjenestemandspension.dk".

Moderniseringsstyrelsen er dataansvarlig for internetportalen "www.tjenestemandspension.dk". Portalen retter sig mod alle tjenestemænd med tjenestemandspension. På portalen kan den enkelte tjenestemand finde relevante oplysninger om egen tjenestemandspension.

Datatilsynet har specifikt spurgt Rigspolitiet om, hvem (f.eks. Rigspolitiet eller CSC), der har truffet beslutning om, at webserveren skulle kunne tilgås fra internettet af brugere udenfor CSC’s lokalitet. I to omgange har Rigspolitiet ikke besvaret spørgsmålet.

Datatilsynet lægger i det følgende til grund, at LPAR D11 er blevet anvendt af både Moderniseringsstyrelsen og Rigspolitiet. Dette understøttes af oplysningerne i de rapporter, som Datatilsynet er i besiddelse af, hvoraf det fremgår, at både Rigspolitiet og Moderniseringsstyrelsen benyttede LPAR D11.

RACF sikkerhedssystemet på mainframen var fælles for de fire ovennævnte LPAR’er D11, D12, D13 og D14. RACF sikkerhedssystemets database (RACF-databasen) indeholdt oplysninger om ca. 85.000 bruger- og administrator-id’er, samt oplysninger om de hertil knyttede password og autorisationer til at anvende programmer, services og data på hele mainframen. Det høje antal bruger- og administrator-id’er i RACF-databasen hænger sammen med, at RACF-sikkerhedssystemet kontrollerede brugere og administratorer af systemerne fra såvel Rigpolitiet, Økonomi- og Indenrigsministeriet, SKAT og Moderniseringsstyrelsen. En kopi af RACF-databasen blev fundet på hackerens computer.

2.2.3. Om konsistenscheck af data i Schengen-informationssystemet

Schengen-informationssystemet var i den periode, hvor hackerangrebet fandt sted, opbygget således, at det bestod af et centralt system (C.SIS) med data fra alle Schengen-landene og et tilsvarende nationalt system (N.SIS) i hvert land, der var tilsluttet Schengen. De nationale N.SIS indeholdt også alle data fra alle lande. Det samlede system virkede på den måde, at når et land inddaterede/opdaterede oplysninger om bl.a. personer i det nationale N.SIS, sendtes data automatisk videre til det centrale C.SIS, som på tidspunktet fysisk var placeret i Strasbourg. Fra C.SIS videresendtes oplysningerne til N.SIS-systemerne i de øvrige lande. Formålet med opbygningen og virkemåden var, at det centrale C.SIS og de nationale N.SIS-systemer skulle indeholde de samme oplysninger. I praksis kunne systemerne indholdsmæssigt afvige fra hinanden på grund af forsinkelser og tekniske svigt, f.eks. i forbindelse med den indbyrdes dataudveksling. For at kompensere for og korrigere disse afvigelser mellem systemernes dataindhold udførtes med mellemrum såkaldte konsistenscheck, hvor det enkelte land lokalt automatisk krydscheckede dataindholdet i det nationale N.SIS mod en referencefil fremsendt fra C.SIS i Strasbourg.

Det omtalte nationale ”N.SIS” er en anden betegnelse for det Schengen-informationssystem, som blev driftet på den hackede mainframe.

Af oplysningerne fra Rigspolitiet fremgår, at konsistenscheck af data i Schengen-informationssystemet er foregået i LPAR D11 ved anvendelse af et batch-job. I forbindelse med konsistenschecket er der blevet foretaget et dataudtræk af oplysningerne i Schengen-informationssystemets database til filen X.

Ifølge det oplyste blev filen X indeholdende udtrækket af data fra Schengen-informationssystemets database lagret på det delte disksystem ved filen X’s dannelse og vedblev at ligge der, efter at konsistenschecket var udført. Det er endvidere oplyst, at filen X indeholdende udtrækket kunne tilgås fra alle fire LPAR’er D11, D12, D13 og D14, samt at der fandtes yderligere to filer lagret med samme indhold som filen X, nemlig en konverteret fil og en sorteret fil. Disse filers formål var også konsistenscheck, og de to filer vedblev også at ligge lagret på det delte disksystem knyttet til mainframen, efter at konsistenschecket var udført.

Den fil med oplysninger om ca. 1,2 mio. records i Schengen-informations-systemet, som blev fundet på hackerens computer, er som nævnt en kopi af filen X indeholdende udtrækket af data fra Schengen-informationssystemet. Rigspolitiet har oplyst, at filen X er kopieret fra disksystemet tilknyttet mainframen ud på internettet via LPAR D11. Rigspolitiet udelukker samtidig, at det kunne være sket via nogen af de øvrige tre LPAR’er.

3. Datatilsynets vurdering og konklusioner

Ved Datatilsynets behandling af sagen rejser der sig først og fremmest følgende spørgsmål:

1. Havde Rigspolitiet som dataansvarlig truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt kunne tilintetgøres, fortabes eller forringes eller kunne komme til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven?
2. Havde Rigspolitiet som den ansvarlige myndighed i Danmark for Schengen-informationssystemet efterlevet pligten i Schengen-konventionens artikel 118 (1)⁴ til at træffe nærmere beskrevne sikkerhedsforanstaltninger?

Disse spørgsmål behandles i de følgende afsnit 3.1. til 3.10. Herefter behandles i afsnit 3.11 spørgsmål om, hvilke skridt Rigspolitiet har taget for at forbedre beskyttelsen af de personoplysninger, som på Rigspolitiets vegne behandles hos CSC.

Endelig behandles i afsnit 3.12 spørgsmålet om Rigspolitiets underretning til de personer, om hvem oplysninger kan være kommet til uvedkommendes kendskab.

3.1. Om zero-day sårbarheder og principperne om isolation, adskillelse og forsvar i dybden

Hackeren udnyttede ved angrebet to zero-day sårbarheder. Som allerede omtalt ville patchning ikke kunne have afhjulpet sårbarhederne og forhindret det hændte, fordi rettelser, såkaldte patches, ikke eksisterede og først blev udviklet af leverandøren IBM, efter at hackerangrebet var ophørt.

Zero-day sårbarheder eksisterer i stort set alle IT-systemer i stort antal, og de opdages løbende. Det er almen viden blandt de, der beskæftiger sig professionelt med IT. Eksistensen af sårbarheder og især zero-day sårbarheder er et vilkår, som derfor altid må tages i betragtning ved bl.a.:

• indretningen af informationssystemer
• indretningen af de IT-systemer, som anvendes til driften af informationssystemerne
• overvejelse og beslutning om, hvorvidt et informationssystem (f.eks. Schengen-informationssystemet i det aktuelle tilfælde) forsvarligt kan driftes i samme mainframe som andre af ens egne informationssystemer
• overvejelse og beslutning om, hvorvidt ens eget informationssystem (f.eks. Schengen-informationssystemet i det aktuelle tilfælde) skal driftes i samme mainframe som andre dataansvarliges informations-systemer og i den forbindelse dele systemmæssige ressourcer med disse
• overvejelse og beslutning om, hvorvidt et informationssystem (f.eks. Schengen-informationssystemet i det aktuelle tilfælde) forsvarligt kan driftes i en mainframe, som kan tilgås fra det åbne internet.

Da zero-day sårbarheder i sagens natur ikke er kendte, vides det ikke, hvor i systemerne de findes, eller hvilke specifikke risici de indebærer. For at imødegå denne (og i øvrigt også andre) trusler er der nogle enkle grundprincipper, som kan bringes i anvendelse ved indretning af IT-systemer og anvendelse af informationssystemer:

• Princippet om isolation
• Princippet om adskillelse
• Princippet om forsvar i dybden

3.2. Datatilsynets vurdering af de fremkomne oplysninger

3.2.1.

Mainframen var som nævnt ovenfor opdelt i fire LPAR’er D11, D12, D13 og D14. Opdeling af én mainframe i fire LPAR’er kan sikkerhedsmæssigt ikke sidestilles med drift i fire fra hinanden fysisk isolerede/adskilte mainframes.

Lagringsmedierne (disksystemet), som mainframen anvendte, var delte og kunne tilgås fra alle fire LPAR’er D11, D12, D13 og D14. Svagheden ved denne indretning er, at graden af adskillelsen afhænger af brugerrettigheder, og hvis man som hackeren i den aktuelle sag har opnået ubegrænsede rettigheder på mainframen, opnås der reelt adgang til alle lagrede data. Opdeling af én mainframe i fire LPAR’er med et delt disksystem kan sikkerhedsmæssigt ikke sidestille med drift i fire fra hinanden fysisk isolerede/adskilte mainframes med hvert sit disksystem.

Ved at Rigspolitiet har placeret driften af Schengen-informationssystemet i én mainframe, som også blev benyttet af andre dataansvarlige til helt andre formål, er Schengen-informationssystemet helt unødvendigt blevet eksponeret for risici, som kan henføres til disse andre dataansvarliges drift af deres systemer.

3.2.2.

I LPAR D11 var installeret en aktiv webserver, hvis service blev anvendt af Moderniseringsstyrelsen. Webserveren kunne tilgås af alle fra det åbne internet, og formålet hermed var angiveligt at give tjenestemænd adgang til portalen "www.tjenestemandspension.dk", så den enkelte tjenestemand kunne tilgå oplysninger om egen tjenestemandspension. Det er Moderniseringsstyrelsen, som er dataansvarlig for "www.tjenestemandspension.dk".

Rigspolitiets informationssystemer, herunder Schengen-informationssystemet, blev driftet i LPAR D11 og D14. På Datatilsynets forespørgsel har Rigspolitiet i to omgange ikke svaret på et spørgsmål om, hvilke af informationssystemerne der blev driftet i henholdsvis LPAR D11 og D14. Rigspolitiet har dog oplyst, at konsistenscheck af Schengen-informationssystemet blev udført med et batchjob, og at konsistenscheck kørte i LPAR D11. Datatilsynet må på den baggrund lægge til grund, at samtlige oplysninger i Schengen-informationssystemet er blevet behandlet i LPAR D11, og at der fra LPAR D11 har været adgang til samtlige af Schengen-informationssystemets oplysninger, som fandtes lagret på det delte disksystem i filen X.

Rigspolitiets Schengen-informationssystem og Moderniseringsstyrelsens webserver til "www.tjenestemandspension.dk" blev driftet i samme mainframe, i samme LPAR, under kontrol af ét og samme - delte - styresystem.

Hackeren kunne udnytte zero-day sårbarheden i webserveren til at få en indledende begrænset adgang til LPAR D11. Med dette som afsæt udnyttede hackeren den anden zero-day sårbarhed i det delte/fælles styresystem til at tiltage sig flere systemrettigheder, hvilket videre førte til, at hackeren reelt fik administratorrettigheder med ubegrænset adgang i hele LPAR D11, herunder adgang til hele det delte disksystem, hvorfra hackeren udtog en kopi af filen X indeholdende udtrækket fra Schengen-informationssystemet.

Udnyttelse af zero-day sårbarheden i operativsystemet resulterede som allerede omtalt i, at hackeren i en række trin kunne tiltage sig mere omfattende rettigheder. Dette skete i LPAR D11 i det styresystem, som deles af webserveren og Schengen-informationssystemet, dvs. som deles af Moderniseringsstyrelsen og Rigspolitiet. Det er her i det delte styresystem, at hackeren ”slår bro” fra den ene dataansvarlige, Moderniseringsstyrelsen, til den anden dataansvarlige, Rigspolitiet, og fra den ene funktionalitet, webserveren, til anden funktionalitet, Schengen-informationssystemet. I takt med, at hackeren tiltager sig stadig mere omfattende administratorrettigheder på det delte styresystem, opløses adskillelsen mellem Moderniseringsstyrelsen og Rigspolitiet og mellem webserveren og Schengen-informationssystemet. Dette skal ses i lyset af, at webserveren til "www.tjenestemandspension.dk" og Schengen-informations-systemet funktionelt ikke havde nogen sammenhæng og derfor ikke havde behøvet at dele styresystem eller at dele LPAR, endsige at dele mainframe.

Ved at indlægge driften af Schengen-informationssystemet i samme mainframe, i samme LPAR, og under kontrol af ét og samme styresystem, som Moderniseringsstyrelsen også anvendte til webserveren, tilsidesatte Rigspolitiet såvel princippet om isolation som princippet om adskillelse. I dette tilfælde manglede der tilstrækkelig adskillelse mellem de dataansvarlige, ligesom der manglede adskillelse mellem Schengen-informationssystemet og webserveren, som funktionelt set ikke havde noget med hinanden at gøre, og derfor ikke burde afvikles under kontrol af et og samme styresystem. Herved tilsidesattes tillige princippet om forsvar i dybden.

Det er et almindelig anerkendt sikkerhedsprincip at holde en webserver, som kan tilgås fra internettet, adskilt fra det informationssystem, der indeholder de oplysninger, som skal udstilles, ved at webserveren og det bagvedliggende informationssystem ikke driftafvikles på samme platform under kontrol af ét og samme styresystem. Dette gøres for at inddæmme en eventuel udnyttelse af sårbarheder i webserveren og undgå spredning til det bagvedliggende informationssystem.

På denne baggrund er det efter Datatilsynets opfattelse sikkerhedsmæssigt særdeles uforsigtigt, at Rigspolitiet har ladet Schengen-informationssystemet drifte i LPAR D11 og i LPAR D11 har ladet Schengen-informationssystemet dele styresystem med en webserver, hvortil der var adgang for alle fra internettet. Så meget desto mere er det uforsigtigt, fordi webserveren betjente en anden dataansvarlig, og fordi webserveren ikke havde nogen funktion i forbindelse med Schengen-informationssystemet. Herved har Rigspolitiet helt unødvendigt eksponeret Schengen-informationssystemet for et hackerangreb fra internettet.

3.3.

Sikkerhedssystemet RACF styrer og kontrollerer adgang og autorisationer til systemer for brugere og administratorer. Den aktuelle mainframe var indrettet med ét RACF, som dækkede hele mainframen, dvs. alle fire LPAR’er D11, D12, D13 og D14, brugere og administratorer af systemerne samt data for såvel Rigspolitiet som SKAT, Økonomi- og Indenrigsministeriet og Moderniseringsstyrelsen. Ved at dele RACF påførte de fire dataansvarlige hinanden forøgede risici, både fordi den enkelte dataansvarlige, f.eks. Rigspolitiet, eksponeres for visse former for sikkerhedshændelser hos de øvrige dataansvarlige, og fordi konsekvenserne af visse sikkerhedshændelser kan sprede sig fra én dataansvarlig til de øvrige dataansvarlige. Rigspolitiet har på forespørgsel oplyst, at der i RACF-databasen eksisterede (eller kunne oprettes) bruger- eller administrator-id med autorisationer til at kunne tilgå og udføre handlinger på data, som Rigspolitiet ikke er dataansvarlig for. Rigspolitiet har endvidere oplyst, at det drejer sig om data, som SKAT, Moderniseringsstyrelsen eller Økonomi- og Indenrigsministeriet er dataansvarlige for.

På computeren, som blev beslaglagt i Cambodia, blev fundet en kopi af en RACF-database. Det er fastslået, at der er tale om en kopi af RACF-databasen, som fandtes på den aktuelle mainframe. RACF-databasen indeholdt adgangskoder og autorisationer for ca. 85.000 bruger- og administrator-id’er hidrørende fra forskellige myndigheder. Datatilsynet må anse det for overvejende sandsynligt, at hackeren har været i stand til at bryde den kryptering, der var på RACF-databasens indhold, og dermed tilgå indholdet. På denne baggrund - og fordi hackeren vides at have tilegnet sig ubegrænsede rettigheder til at tilgå alle data på mainframen - må alle data på mainframen og hele det delte disksystem anses for eksponeret og potentielt kompromitteret ved hackerangrebet.

3.4.

Mainframen var netværksmæssigt forbundet til det åbne internet og altså ikke isoleret herfra. Dette er åbenlyst risikabelt og rejser spørgsmålet om, hvilke sikkerhedsforanstaltninger der i den forbindelse var truffet for at imødegå trusler fra internettet og for at etablere forsvar i dybden.

Datatilsynet har skriftligt specifikt spurgt Rigspolitiet om, hvilke sikkerhedsforanstaltninger filen med udtrækket fra Schengen-informationssystemet og filen med RACF-databasen har passeret på vejen gennem det interne netværk hos CSC fra mainframen og ud på internettet (f.eks. firewalls, Intrusion Detection System, systematisk logning og loganalyser).

Rigspolitiet har hertil svaret: ”Firewall-cluster ([her har Datatilsynet udeladt navne på to firewalls]) IDS på Internet-forbindelserne”.

Datatilsynet forstår svaret således, at der var etableret en form for firewall og en form for Intrusion Detection System.

I tillæg hertil har Datatilsynet skriftligt specifikt spurgt Rigspolitiet, hvorfor sikkerhedsforanstaltningerne, som filen med udtrækket fra Schengen-informationssystemet og filen med RACF-databasen har passeret på vejen gennem det interne netværk hos CSC fra mainframen og ud på internettet, ikke har kunnet forhindre, at bl.a. filen med udtrækket fra Schengen-informationssystemet og filen med RACF-databasen er blevet kopieret til mindst én computer i udlandet.

Hertil har Rigspolitiet svaret: ”Grundet funktionelle kunde-behov tillod de implementerede firewallregler (Firewall-cluster ([her har Datatilsynet udeladt de samme navne på to firewalls som ovenfor])) på daværende tidspunkt udgående trafik af den pågældende type. IDS på Internet-forbindelserne”.

Datatilsynet forstår Rigspolitiets svar således, at firewall-clusteret, som skulle beskytte mainframen og informationssystemerne herpå, herunder Schengen-informationssystemet, var en sikkerhedsforanstaltning, som Rigspolitiet delte med andre dataansvarlige. Datatilsynet må endvidere forstå, at nogle af reglerne i firewall-clusteret, som de facto også dækkede Rigspolitiets systemer, var blevet defineret til et lavt beskyttelsesniveau af hensyn til andre dataansvarliges behov. Et beskyttelsesniveau som de facto tillod adgang til mainframen fra internettet for alle.

Rigspolitiet har således delt netværksmæssige sikkerhedsforanstaltninger med andre dataansvarlige. Ved at gøre det har Rigspolitiet reelt etableret et unødvendigt lavt beskyttelsesniveau mod trusler fra internettet, ligesom det har bevirket, at Rigspolitiets forsvar i dybden af Schengen-informationssystemet reelt er blevet undergravet.

3.5.

Den aktuelle mainframe var indrettet med ét delt disksystem, som kunne tilgås fra alle fire LPAR’er D11, D12, D13 og D14. Det delte disksystem blev benyttet til at lagre data for informationssystemerne, som blev driftet i alle fire LPAR’er, dvs. for Rigspolitiet, SKAT, Økonomi- og Indenrigsministeriet og Moderniseringsstyrelsen. Ved at dele disksystemet påførte de fire dataansvarlige hinanden forøgede risici, både fordi den enkelte dataansvarlige, f.eks. Rigspolitiet, eksponeredes for visse former for sikkerhedshændelser hos de øvrige dataansvarlige, og fordi konsekvenserne af visse sikkerhedshændelser kunne sprede sig fra én dataansvarlig til de øvrige dataansvarlige. Delingen af disksystemet er med hensyn til adskillelse af dataansvarlige og adskillelse af de dataansvarliges data risikabel og undergraver tillige forsvar i dybden for alle de dataansvarlige.

For Rigspolitiet betyder delingen af disksystemet, at data i Schengen-informationssystemet (og også Rigspolitiets andre informationssystemer på mainframen), har været i farezonen, fordi data har været eksponeret for sikkerhedshændelser, som kunne/måtte indtræffe hos de andre dataansvarlige, som afvikler drift i andre LPAR’er.

I det aktuelle tilfælde har hackeren tilgået og kopieret filen X indeholdende udtrækket fra Schengen-informationssystemet og hele RACF databasen fra det delte disksystem. Hackeren har ved at tilgå det delte disksystem kopieret data, som tilhører andre af de dataansvarlige, f.eks. de dele af RACF databasen, som andre myndigheder var dataansvarlige for.

3.6.

I det aktuelle tilfælde har det delte disksystem været delt mellem og anvendt af Rigspolitiet, SKAT, Moderniseringsstyrelsen og Økonomi- og Indenrigsministeriet. For Rigspolitiets vedkommende blev det delte disksystem anvendt af alle Rigspolitiets informationssystemer på mainframen. Foruden Schengen-informationssystemet drejer det sig som allerede nævnt bl.a. om Kriminalregisteret, Pasregisteret, Kørekortregisteret og Index-registeret, som indeholder personnumre og andre personoplysninger. Disse informationssystemer tjener forskellige formål. Ved at placere disse forskellige informationssystemers drift på samme mainframe og ved at lade dem dele LPAR D11 og D14 samt dele samme disksystem har Rigspolitiet etableret en situation, hvor Rigspolitiets informationssystemer bringer hinanden i fare og forøger risici, både fordi det enkelte informationssystem, f.eks. Schengen-informationssystemet, eksponeres for visse former for sikkerhedshændelser i Rigspolitiets øvrige informationssystemer, og fordi konsekvenserne af visse sikkerhedshændelser kan sprede sig fra et informationssystem til de øvrige informationssystemer.

Det er fastslået, at der på den computer, som blev beslaglagt i Cambodia, er fundet data, som stammer fra andre af Rigspolitiets informationssystemer end Schengen-informationssystemet. Dette viser, at den beskrevne risiko er reel.

3.7.

Det fremgår af Rigspolitiets svar på en række spørgsmål fra Datatilsynet, at den fil med et udtræk af data i Schengen-informationssystemet, som er fundet på hackerens computer, ikke er et udtræk af data fra Schengen-informationssystemets database, som hackeren selv har foretaget. Filen, som er fundet på hackerens computer, er derimod en kopi af filen X, som allerede indeholdt udtrækket af data fra Schengen-informationssystemets database. Filen X lå lagret på mainframens delte disksystem, og den var blevet oprettet i forbindelse med konsistenscheck af Schengen-informationssystemet, som foretages for at sikre kvaliteten af data i Schengen-informationssystemet. Datatilsynet kan af Rigspolitiets svar forstå, at filen X indeholdende udtrækket fra Schengen-informationssystemet forblev lagret på mainframens delte disksystem, indtil konsistenscheck blev udført næste gang. Denne praksis førte til, at der på det delte disksystem hele tiden lå en fil med et udtræk af data i Schengen-informationssystemets database.

Datatilsynet finder, at praksis med at lade filer med udtræk af Schengen-informationssystemets database ligge lagret på det delte disksystem i sig selv er risikabel på grund af delingen af disksystemet med andre dataansvarlige. Datatilsynet finder yderligere, at en praksis med at lade filer indeholdende udtræk fra Schengen-informationssystemets database ligge lagret, efter at konsistenschecket er udført, og filerne ikke længere er nødvendig for deres formål, udgør en unødvendig risiko.

Den kendsgerning, at en kopi af filen X indeholdende udtrækket fra Schengen-informationssystemet er fundet på hackerens computer, viser, at den beskrevne risiko er reel.

Det forhold, at filen X indeholdende udtrækket fra Schengen-informations-systemet lå tilgængelig for hackeren på det delte disksystem, har gjort det lettere for hackeren at bemægtige sig en kopi af indholdet i Schengen-informationssystemets database, end hvis hackeren selv skulle have udtrukket data fra Schengen-informationssystemets database. Alt andet lige er det betydelig nemmere at bortføre en lagret fil, end det er uopdaget selv at skulle foretage et udtræk fra en kørende database til en fil og efterfølgende lykkes med at føre filen bort.

Det er oplyst, at der fandtes yderligere to filer på mainframens delte disksystem, og at disse to filer indeholdt de samme oplysninger fra Schengen-informationssystemet. Det drejede sig om en konverteret fil og en sorteret fil. Dette har eksponeret Schengen-informationssystemet yderligere.

3.8.

Udnyttelse af zero-day sårbarheden i webserveren for "www.tjenestemandspension.dk" ville næppe kunne have været undgået, men konsekvenserne kunne have været inddæmmet og begrænset, hvis enkle principper om adskillelse, isolation og forsvar i dybden havde været efterlevet.

At hackerangrebet førte til, at bl.a. oplysninger i Schengen-informations-systemet er blevet overført til hackerens computer i Cambodia, må overvejende tilskrives:

• manglende isolation af Schengen-informationssystemet fra internettet,
• utilstrækkelig isolation/adskillelse mellem de forskellige dataansvarliges informationssystemer og services, og i tråd hermed
• for omfattende deling af IT-systemmæssige ressourcer som LPAR, operativsystem, diske og RACF mellem de forskellige dataansvarlige,
• deling af netværksmæssige sikkerhedsforanstaltninger omkring mainframen med andre dataansvarlige, samt
• at foretagelse af konsistenscheck af Schengen-informationssystemets database mod den tilsvarende Schengen database i Strasbourg var organiseret og tilrettelagt således, at filer med udtræk af data i Schengen-informationssystemet lå lagret på det delte disksystem, efter at konsistenschecket var udført, og filerne havde udtjent deres formål.

3.9. Opsummering og vurdering

Datatilsynet må på baggrund af de modtagne oplysninger lægge til grund, at Rigspolitiet de facto havde etableret og organiseret driften af Schengen-informationssystemet således:

• at Schengen-informationssystemets drift var utilstrækkeligt adskilt fra andre dataansvarliges informationssystemer og services,
• at sikkerheden omkring Schengen-informationssystemet var utilstrækkelig på grund af omfattende deling af IT-systemmæssige ressourcer som mainframe, LPAR, operativsystem, disksystem og RACF med andre dataansvarlige,
• at Schengen-informationssystemet blev driftet i en mainframe, som ikke var isoleret fra internettet,
• at Schengen-informationssystemet blev driftet i mainframen i en LPAR, hvortil der helt unødvendigt var adgang for alle fra det åbne internet til en aktiv webserver, som tjente en anden dataansvarligs driftsmæssige behov,
• at de netværksmæssige sikkerhedsforanstaltninger omkring Schengen-informationssystemet var utilstrækkelige, fordi sikkerhedsforanstaltningerne var delte/fælles med andre dataansvarlige og var blevet indrettet efter disse andres driftsmæssige behov, og
• at filer med udtræk af data i Schengen-informationssystemet lå lagret, efter at filerne havde opfyldt deres formål.

Datatilsynet finder:

• at Rigspolitiet ikke havde truffet fornødne tekniske og organisatoriske sikkerhedsforanstaltninger til at isolere og adskille Schengen-informationssystemet tilstrækkeligt fra andre dataansvarliges informationssystemer og driften af disse systemer,
• at Rigspolitiet ikke havde truffet fornødne tekniske og organisatoriske sikkerhedsforanstaltninger til at isolere Schengen-informations-systemet mod adgang fra det åbne internet,
• at Rigspolitiet ikke havde truffet fornødne tekniske og organisatoriske sikkerhedsforanstaltninger til at beskytte Schengen-informations-systemet mod, at data kunne føres bort til det åbne internet, og
• at Rigspolitiet ikke havde truffet fornødne tekniske og organisatoriske sikkerhedsforanstaltninger til at slette filer med udtræk af data i Schengen-informationssystemet, efter at filerne havde opfyldt deres formål i forbindelse med konsistenscheck.

3.10. Konklusion vedrørende sikkerhedskravene i persondataloven og Schengen-konventionen

Det er konstateret, at data i Schengen-informationssystemet om alle efterlyste personer i Schengen-området er kommet i uvedkommendes besiddelse.

Hvad angår Schengen-informationssystemet finder Datatilsynet samlet set, at Rigspolitiet ikke havde truffet de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger kunne komme til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

Datatilsynet finder derfor, at Rigspolitiet ikke har opfyldt persondatalovens
§ 41, stk. 3.

For så vidt angår Schengen-informationssystemet finder Datatilsynet, at Rigspolitiet ikke havde truffet fornødne foranstaltninger til:

• at forhindre, at databærerne kan læses, kopieres eller ændres af uautoriserede personer,
• at forhindre uautoriseret indlæsning af oplysninger samt uautoriseret læsning, ændring eller sletning af indlæste personoplysninger og
• at forhindre, at edb-systemerne kan benyttes af uautoriserede personer ved hjælp af datatransmissionsudstyr.

Datatilsynet finder derfor, at Rigspolitiet ikke har levet op til Schengen-konventionens artikel 118 (1) b), c) og d).

Datatilsynet finder den manglende efterlevelse af persondatalovens § 41, stk. 3, og Schengen-konventionens artikel 118 (1) b), c) og d) overordentlig kritisabel.

Datatilsynet har som tidligere nævnt i første række fokuseret sine undersøgelser på forholdene omkring Schengen-informationssystemet. Tilsynet må imidlertid lægge til grund, at hackeren har haft ubegrænsede rettigheder på mainframen og har haft mulighed for at tilgå alle data på mainframens delte disksystem.

Det er på den baggrund Datatilsynets umiddelbare vurdering, at de konklusioner, der i nærværende brev drages vedrørende Rigspolitiets manglende efterlevelse af persondatalovens § 41, stk. 3, for så vidt angår Schengen-informationssystemet, tilsvarende gør sig gældende for Rigspolitiets andre informationssystemer, som blev driftet på mainframen, heriblandt Kriminalregisteret, Pasregisteret, Kørekortregisteret og Index-registeret.

3.11.

Datatilsynet har ved brev af 28. november 2014 anmodet Rigspolitiet om at oplyse, hvorvidt og i hvilket omfang Rigspolitiet har gennemført eller agter at gennemføre systemmæssige ændringer efter hackerangrebet, herunder som følge af PET’s anbefalinger⁵.

Rigspolitiet har ved brev af 6. marts 2015 svaret, at Rigspolitiet har foretaget ændringer i den netværksmæssige adgang til og fra mainframeinstallationen, ligesom sikkerheden generelt er gennemgået, herunder er proceduregrundlaget tilpasset. Videre er det oplyst, at Rigspolitiet overvejer visse systemmæssige ændringer vedrørende enkeltapplikationer på mainframeinstallationen, idet dette beror på en samlet analyse af videreførelsen og moderniseringen af Rigspolitiets systemmæssige legacyportefølje. Ydermere er det oplyst, at Rigspolitiet, Koncern IT, fører et skærpet tilsyn med, at CSC har implementeret de tekniske sikkerhedsforanstaltninger, der fremgår af Center for Cybersikkerhed og Politiets Efterretningstjenestes rapport fra august 2014 om sikkerhedsbrud hos CSC.

Datatilsynet skal anmode Rigspolitiet om at oplyse, hvorvidt Rigspolitiet har overvejet – eller nu vil overveje – at flytte informationssystemer, som Rigspolitiet er dataansvarlig for, ud af det omhandlede mainframemiljø.

Tilsynet skal anmode om svar herpå senest den 1. september 2015.

3.12. Underretning til berørte personer – persondatalovens krav om god databehandlingsskik

3.12.1. Rigspolitiets underretning til de berørte personer

Det er oplyst, at Rigspolitiet den 6. juni 2013 har underrettet de berørte personer om sikkerhedsbristen ved at informere offentligheden i en pressemeddelelse og under et pressemøde sammen med PET og Københavns Politi – som samme dag blev fulgt op af et pressemøde med justitsministeren – samt ved at informere ansatte i politiet via politiets intranet POLNET. Videre er det oplyst, at der i forbindelse med straffesagen er blevet dokumenteret oplysninger om kompromitteringen af CPR-registeret, hvilket på ny resulterede i pressedækning heraf. Ydermere er det oplyst, at Rigspolitiet har offentliggjort en vejledning om identitetstyveri på politiets hjemmeside.

Rigspolitiet har den 10. september 2014 på Datatilsynets forespørgsel anført, at det vurderes, at kravet om god databehandlingsskik i forhold til at informere offentligheden om sikkerhedsbristen i fornødent omfang er efterlevet, men at Rigspolitiet på ny vil vurdere spørgsmålet om særskilt underretning af befolkningen i forhold til oplysninger i Index-registeret (som bl.a. er en kopi af dele af CPR-registeret), når undersøgelsen af sikkerhedsbristen er afsluttet.

Rigspolitiet har efterfølgende i et brev af 6. marts 2015 oplyst, at undersøgelsen af sikkerhedsbristen endnu ikke er afsluttet, og at Rigspolitiet endeligt vil vurdere spørgsmålet om eventuel selvstændig underretning af befolkningen om denne del af sikkerhedsbristen, når undersøgelsen er tilendebragt.

3.12.2. Datatilsynets opfattelse

Hvis personoplysninger er kommet til uvedkommendes kendskab, er det Datatilsynets opfattelse og faste praksis⁶, at reglen i persondatalovens § 5, stk. 1, om god databehandlingsskik medfører, at den dataansvarlige skal vurdere, om og i givet fald hvordan de berørte personer skal underrettes.

Ved vurderingen af spørgsmålet om underretning må den dataansvarlige blandt andet tage oplysningernes karakter og de mulige konsekvenser for de berørte personer i betragtning.

Datatilsynet må lægge til grund, at de pressemøder og informationer, som blev givet i juni 2013, alene omtalte it-systemer, som det på daværende tidspunkt var kendt var kompromitteret.

Selv om en kompromittering af oplysninger fra CPR-registeret efterfølgende kan have fremgået af visse medier i forbindelse med straffesagen, finder Datatilsynet, at sådanne oplysninger ikke kan anses som fyldestgørende underretning til de berørte om, hvor omfattende data om alle personer og virksomheder i Danmark uvedkommende har haft adgang til.

Det er således Datatilsynets opfattelse, at Rigspolitiet – allerede da der fremkom oplysninger om, at Index-registeret var blevet kompromitteret – burde have underrettet de berørte herom, f.eks. ved at informere offentligheden via omtale i medierne eller på politiets hjemmeside. Datatilsynet finder det beklageligt, at dette ikke er sket.

Tilsvarende må Rigspolitiet efter Datatilsynets opfattelse overveje, om der er anledning til at orientere berørte personer, der på tidspunktet for angrebet var registeret i Schengen-informationssystemet og de øvrige informationssystemer. Datatilsynet skal i den forbindelse pege på, at det navnlig i relation til Schengen-informationssystemet må tages i betragtning, at en del af de registrerede ikke er bosiddende i Danmark og derfor ikke umiddelbart kan anses for at være blevet informeret via den presseomtale, der var i Danmark i sommeren 2013.

4. Afsluttende bemærkninger

Datatilsynet finder sagens langstrakte forløb meget beklageligt. Uanset at dette til dels beror på tilsynets egen sagsbehandling, er det Datatilsynets opfattelse, at Rigspolitiet i væsentlig grad har bidraget til det meget lange forløb. Datatilsynet har således under forløbet måttet stille de samme spørgsmål flere gange, og i flere tilfælde har tilsynet fået uklare eller ufyldestgørende svar.

Datatilsynet har fundet anledning til at orientere Justitsministeriet om de konstaterede brud på persondataloven og Schengen-konventionen. Til orientering vedlægges kopi af Datatilsynets brev af dags dato til Justitsministeriet.

Det skal for god ordens skyld oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside.

 

¹ Lov nr. 429 af 31. maj 2000 om behandling af personoplysninger med senere ændringer.
² I medfør af den dagældende § 2, stk. 3, i lov nr. 418 af 10. juni 1997 om Danmarks tiltrædelse af Schengen-konventionen som ændret ved lov nr. 448 af 9. juni 2004 er Datatilsynet udpeget som national tilsynsmyndighed efter konventionens artikel 114 og 128.
³ Det følger af persondatalovens § 41, stk. 3, at den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
⁴ Efter § 2, stk. 2, i lov nr. 418 af 10. juni 1997 om Danmarks tiltrædelse af Schengen-konventionen som ændret ved lov nr. 448 af 9. juni 2004 er Rigspolitiet den centrale myndighed efter konventionens artikel 108, stk. 1, som er ansvarlig for den nationale del af Schengen-informationssystemet.
Hermed er Rigspolitiet bl.a. ansvarlig for opfyldelsen af Schengen-konventionens artikel 118 (1), som lyder:
”Artikel 118
1. Hver enkelt kontraherende part forpligter sig til for sin nationale del af Schengen-informationssystemet at træffe foranstaltninger til:
   a) at forhindre, at uautoriserede får adgang til de anlæg, der benyttes til behandling af personoplysninger (kontrol med fysisk adgang til anlæggene)
   b) at forhindre, at databærerne kan læses, kopieres, ændres eller fjernes af uautoriserede personer (kontrol med databærere)
   c) at forhindre uautoriseret indlæsning af oplysninger samt uautoriseret læsning, ændring eller sletning af indlæste personoplysninger (kontrol med optagelse)
   d) at forhindre, at edb-systemerne kan benyttes af uautoriserede personer ved hjælp af datatransmissionsudstyr (brugerkontrol)
   e) at sikre, at autoriserede personer hvad angår brugen af et edb- system, kun får adgang til de oplysninger, som henhører under deres kompetence (adgangskontrol)
   f) at sikre, at det er muligt at undersøge og fastslå, til hvilke myndigheder der kan videregives personoplysninger via datatransmissionsudstyr (kontrol med videregivelse)
   g) at sikre, at det er muligt efterfølgende at undersøge og fastslå, hvilke personoplysninger der er indlæst i edb-systemerne, hvornår og af hvem (efterfølgende kontrol med indlæsning)   
   h) at forhindre uautoriseret læsning, kopiering, ændring eller sletning af personoplysninger i forbindelse med videregivelse af oplysninger eller transport af databærere (kontrol med overførsler).”
⁵ Afsnit 4 og 5 i PET’s indledende rapport af 19. juli 2013 om hackerangrebet på politiets IT-systemer hos CSC samt PET’s og Center for Cybersikkerheds rapport fra august 2014 om sikkerhedsbrud hos CSC, bilag 2: PET’s anbefalinger af 12. juni 2014 til Dansk Politi og Justitsministeriet i forbindelse med hackerangrebet på politiets systemer hos CSC.
⁶ Jf. bl.a. www.datatilsynet.dk/offentlig/sikkerhedsbrister/.

 

 
Bilag: Oversigt over rapporter mv., som Datatilsynet har modtaget

1.
Titel: Reply to questions asked by the Schengen countries in relation to the security breach on the Schengen Information System (SIS)
Forfatter:  Rigspolitiet
Dato:  8. juli 2013
Modtaget:  13. september 2013

2.
Titel:   Analyse (CSC’ skriftlige redegørelse)
Forfatter:  CSC
Dato:  30. april 2013
Modtaget:  28. oktober 2013

3.
Titel:  Report on the Danish CSC mainframe incident of 2012 (rapport fra uvildige eksperter) t.o.m. side 54 af 137.
Forfatter:  ROMAB – Robert Malmgren AB
Dato:  9. maj 2013
Modtaget:  28. oktober 2013

4.
Titel:  CSC Danmark A/S, Uafhængig revisors erklæring om generelle it-kontroller for udvalgte dele af Rigspolitiets it-miljøer
Forfatter:  Deloitte – Erklæring for 2011
Dato:  12. juni 2012
Modtaget:  28. oktober 2013

5.
Titel:  CSC Danmark ASAE3000 Erklæring, Uafhængig erklæring om CSC Danmarks A/S’ managed services sectors datacenter omfattende informationsteknologi og infrastruktur for Rigspolitiet – Erklæring for 1. januar 2012 til 31. december 2012
Forfatter:  Deloitte
Dato:  15. marts 2013
Modtaget:  28. oktober 2013

6.
Titel:  Report on the Danish CSC mainframe incident of 2012 (rapport fra uvildige eksperter)
Forfatter:  ROMAB – Robert Malmgren AB
Dato:  9. maj 2013
Modtaget:  26. november 2013

 
7.
Titel:  Resultat af undersøgelse vedr. systemerne […]
Forfatter:  CSC
Dato:  30. april 2013
Modtaget:  26. november 2013

8.
Titel:  Indledende rapport om hackerangreb på politiets IT-systemer hos CSC
Forfatter:  Politiets Efterretningstjeneste
Dato:  19. juli 2013
Modtaget:  11. februar 2014

9.
Titel:   Internt notat om redegørelse vedrørende tab af data hos CSC
Forfatter:  Rigspolitiet, Koncern IT
Dato:  29. maj 2013
Modtaget:  24. marts 2014

10.
Titel:   Rapport om sikkerhedsbrud hos CSC
Forfatter:  Forsvarets Efterretningstjeneste, Center for Cybersikkerhed
Dato:  August 2014
Modtaget:  14. oktober 2014 

11.
Titel:   Foreløbig rapport om sikkerhedsbrud hos CSC
Forfatter:  Forsvarets Efterretningstjeneste, Center for Cybersikkerhed
Dato:  Juli 2013
Modtaget:  7. juli 2014
Note:  Rapporten er modtaget i forbindelse med Datatilsynets egen drift-sag om sikkerhedsbrud hos CPR-kontoret. Rapporten er først inddraget i nærværende sag i forbindelse med udarbejdelse af tilsynets udtalelse.