Der er uvished om personfølsomme data fra statens it-leverandør, der i 2012 blev hacket, viser rapport.
Det er ikke til at vide, om de danske myndigheder nogensinde får et større kendskab til, om personfølsomme data om danske borgere er blevet kopieret, ændret eller slettet i forbindelse med et hackerangreb på statens it-leverandør CSC.
Det skriver Politiken søndag, der er kommet i besiddelse af en rapport om hackerangrebet, som fandt sted fra april til august i 2012.
Af rapporten fremgår det, at uvisheden skyldes ringe sikkerhed hos CSC og myndighedernes manglende krav til it-leverandøren.
- Angriberen havde formodentlig rettigheder til at kopiere, slette, ændre og tilføje data (...), hvilket indbefatter data fra politiet, CPR-registret, Skat og Moderniseringsstyrelsen, står der blandt andet i den klassificerede rapport fra Center for Cybersikkerhed under FE og PET fra august 2014.
Det eneste, man ifølge rapporten ved med sikkerhed, er, at Rigspolitiets registre - heriblandt kriminalregistret og kørekortregistret - blev kopieret, da CSC blev angrebet af hackere.
I forhold til myndighedernes øvrige data, som CSC lå inde med - herunder en række systemer fra Skat og Statens Lønsystem - er det ikke til at vide, om de også er blevet kopieret.
De fællesoffentlige it-systemer hos CSC skal have været så usikkert sat op, at hackerne havde det forholdsvis nemt med at tage fuld kontrol over de store mængder data.
I rapporten konkluderer PET, at både politiet og CSC har svigtet ved ikke at have nok fokus på sikkerheden.
"Det er superslemt", lyder det fra it-sikkerhedsekspert Peter Kruse fra selskabet CSIS.
- De data, som ligger på CSC's systemer, kan man ikke garantere er intakte, siger han til Politiken efter at have læst rapporten.
- Folk kan være fjernet fra kriminalregistret, cpr-registret og Schengenregistret. Adgangen har kunnet misbruges til at modificere data, uden at man bagefter kan afsløre det - og det er det allerværste.
Over for Politiken ønsker CSC ikke at besvare spørgsmål. I en e-mail skriver it-leverandøren dog, at "CSC betragter sig selv som offer for en kriminel handling, som ikke kunne være forudset og forhindret".