Efter datatyveri: Politiet mørklægger ny Netcompany-redegørelse

På den første onsdag i marts lander der en mail i indbakken hos Datatilsynet kort før middag.

Mailen er fra Netcompany, og den bliver sendt til GDPR-myndigheden for at redegøre for det datatyveri, som måneder forinden har fundet sted mod den danske it-leverandør og en række danske myndigheder.

Men store dele af redegørelsen må ikke komme ud i offentligheden. Det gælder blandt andet Netcompanys svar på, om der indgår personoplysninger i det lækkede materiale, og hvilke af it-virksomhedens kunder og systemer, der er berørt af datatyveriet.

Det har Datatilsynet besluttet i en afgørelse på en aktindsigt til Version2.

Beslutningen kommer efter, at Datatilsynet har bedt Netcompany og Københavns Politi vurdere, om der er oplysninger fra redegørelsen, der ikke må blive offentliggjort.

Og selvom man hos Netcompany ikke har haft bemærkninger til, at it-virksomhedens redegørelse kunne blive udleveret, er meldingen en anden fra politiet, som de seneste måneder har været i gang med en efterforskning af sagen.

»Københavns Politi har af hensyn til efterforskningen af sagen anmodet om at få visse oplysninger undtaget fra aktindsigten. Det er helt normal praksis, da det kan være en hindring for igangværende efterforskninger, hvis offentligheden får kendskab til oplysninger af væsentlig betydning for sagerne. Der bliver i foretaget en konkret vurdering i hver enkelt sag,« skriver Københavns Politi i en mail til Version2.

Politiet peger på, at it-virksomhedens rapport »indeholder en række detaljerede faktiske oplysninger om datatyveriet«, og at der samtidig er beskrivelser af Netcompanys vurderinger af sagen og måden at håndtere tyveriet på.

Og fordi disse oplysninger også indgår som en del af politiets efterforskning, mener politiet ikke, at informationerne bør bringes frem i offentligheden.

»Det vurderes derfor at være afgørende betydning for den videre efterforskning af straffesagen, at der på nuværende tidspunkt ikke meddeles aktindsigt i disse oplysninger,« skriver Københavns Politi i sin vurdering til Datatilsynet.

🔔 Gå aldrig glip af nyheder om Netcompany-sagen

Tilføj emneordet Cybersikkerhed på din notifikationsside.

Her kan du vælge om du vil modtage notifikationer eller e-mails, hver gang, der udgives en artikel om Netcompany-sagen eller lignende historier.

På den måde går du aldrig glip af de nyeste historier om cybersikkerhed.

Flere dele mørklagt

Datatilsynet gik ind i sagen om datatyveriet i slutningen af februar, efter Version2 i dagene forinden kunne fortælle, at hackere havde lækket kildekode og passwords fra Netcompany og flere danske myndigheder.

Hverken Netcompany eller de umiddelbart berørte myndigheder havde underrettet Datatilsynet om sagen. Derfor tog den danske databeskyttelsesmyndighed selv kontakt til it-leverandøren for at få afklaret, om datalækket var omfattet af GDPR.

Datatilsynet ville blandt andet have svar på, om der var personoplysninger i det lækkede materiale, samt hvilke kunder og systemer oplysningerne i det lækkede materiale handler om. Netcompanys svar på begge disse spørgsmål er overstreget i Datatilsynets afgørelse.

Det samme gør sig gældende for det afsnit i dokumentet, hvor it-leverandøren redegør for sagens faktiske omstændigheder.

Datatilsynets spørgsmål til Netcompany

1. Har Netcompany A/S viden om, hvorvidt der indgår personoplysninger i det lækkede materiale? Det ønskes også oplyst, om der kan være personoplysninger i form af eksempelvis testdata, logdata eller andet.
2. Hvilke systemer og hvilke kunder vedrører de oplysninger, der er omfattet af det lækkede materiale? Her ønskes en samlet oversigt over oplysninger om, hvilke dataansvarlige og systemer der er tale om.
3. Har Netcompany A/S, i egenskab af databehandler, underrettet de berørte dataansvarlige om risici for de registrerede i forbindelse med dette læk?
4. Har Netcompany A/S kendskab til, at de lækkede oplysninger kan bruges til at få adgang til personoplysninger, direkte eller indirekte?

Kilde: Datatilsynet

Netcompany: Sagen skulle ikke anmeldes

Selvom store dele af redegørelsen er blevet mørklagt, er der også oplysninger, som ikke er blevet overstreget fra rapporten.

Det gælder blandt andet spørgsmålet om, hvorvidt de lækkede oplysninger kan bruges til at få adgang til personoplysninger. Det afviser it-virksomheden i redegørelsen.

»De stjålne oplysninger kan ikke bruges til at få adgang til andre personoplysninger, hverken direkte eller indirekte.«

Samtidig holder Netcompany fast i, at der ikke var pligt til at anmelde sagen til den danske GDPR-myndighed.

»På baggrund af vores undersøgelser er vi imidlertid også kommet frem til, at det er usandsynligt, at databruddet indebærer en risiko for vores medarbejderes (de registreredes) rettigheder eller frihedsrettigheder, og at databruddet derfor heller ikke bør anmeldes til Datatilsynet,« skriver Netcompany i redegørelsen.

34-årig varetægtsfænglset

Sagen om datatyveriet fra Netcompany og de offentlige myndigheder begyndte for alvor at rulle i offentligheden, da Version2 i februar skrev om tyveriet.

Bag lækket stod en ukendt aktør, som under profilnavnet Zyndicate havde lagt flere mapper ud på to hjemmesider i løbet af februar. Mapperne havde navnene ‘Operations’, ‘Lunte’, ‘3’, ‘2’, ‘1’ og ‘Bang’, og det krævede et kodeord at tilgå dem.

Tidslinje: Datatyveriet mod Netcompany og danske myndigheder

Lørdag 2. december 2023 logger en 34-årig ifølge sigtelsen mod ham ind med et brugernavn og et password til Udviklings- og Forenklingsstyrelsens systemer. Det sker et sted på Valby Langgade kort efter klokken 12, lyder det i sigtelsen. Dette har den 34-årige også selv erkendt under grundlovsforhøret.

I januar og februar 2024 deler samme person ifølge sigtelsen kildekode og password på to forskellige hjemmesider. Dette har den 34-årige også selv erkendt.

I løbet af februar sender den 34-årige ifølge sigtelsen mails til en række ansatte i Skattestyrelsen med ordlyden »Hello danish government are these your files?« I disse mails skriver han, at han vil offentliggøre mere materiale, medmindre han modtager betalinger i kryptovaluta svarende til 21 millioner kroner. På baggrund af disse mails er den 34-årige blevet sigtet for afpresning, men dette forhold afviser han selv.

På en af de hjemmesider, hvor de stjålne data blev lagt ud, benyttede Zyndicate- profilen sig af et manipuleret foto af Kong Frederik 10.

Fredag 23. februar skriver Version2 den første historie om sagen. Fagfolk kalder sagen alvorlig. Netcompany oplyser i den forbindelse, at der er tale om tyveri af ældre kildekode. Virksomheden afviser samtidig, at hændelsen skulle have påvirket drift og services eller have medført læk af data.

Søndag 25. februar bliver der offentliggjort flere oplysninger fra datatyveriet. Blandt det lækkede materiale er der også dokumenter, der handler om andre af Netcompanys kunder såsom Domstolsstyrelsen og Banedanmark.

Mandag 26. februar bliver den 34-årige anholdt af Københavns Politi. Siden da er der ikke blevet lækket flere oplysninger, til trods for at profilen bag de tidligere læk havde lagt op til dette.

Tirsdag 27. februar bliver den 34-årige fremstillet i grundlovsforhør i Retten på Frederiksberg. Han bliver sigtet for uberettiget adgang til offentlige myndigheder og en privat virksomheds data og videregivelse af disse. Derudover bliver han sigtet for afpresning. Han afviser at skulle have afpresset, men erkender de andre forhold i sigtelsen. Netcompany oplyser samme dag, at den anholdte ikke er ansat hos it-leverandøren.

Onsdag 28. februar sender Datatilsynet en række spørgsmål om sagen til Netcompany. Det sker for at afklare, om der er personoplysninger i det materiale, der er blevet lækket fra it-virksomheden.

Kodeordene til de første tre mapper nåede at blive offentliggjort, inden politiet i slutningen af februar anholdt den 34-årige mand i sagen. Han sidder i øjeblikket varetægtsfænglset frem til 23. april.

Efter anholdelsen er der ikke blevet offentliggjort nye data fra lækket, men flere fagfolk har i forbindelse med sagen peget på, at de data, der på nuværende tidspunkt er blevet lagt ud fra tyveriet, kan bruges til at give et indblik i Netcompanys infrastruktur.

»Kunne skyde dansk infrastruktur ned«

Politiets mørklægning af detaljerne fra redegørelsen står i kontrast til det seneste retsmøde om fristforlængelsen af varetægtsfængslingen af den 34-årige mand. Her blev der nemlig ikke nedlagt referatforbud. I den forbindelse læste anklageren op fra politiets afhøring af den sigtede, som pegede på, at der lå sårbar kildekode fra staten i de endnu ikke offentliggjorte krypterede filer.  

»Alt det kildekode, ville man kunne bruge til at lave et massivt one point hackerangreb på forskellige systemer i staten, fordi der er sløset med kildekoden og lagt credentials i det, så du ville kunne skyde dansk infrastruktur ned. Selv i min vildeste fucking mani lækkede jeg det ikke, og det her er første gang, jeg har lavet noget ala et angreb på Danmark,« står der i referatet af politiafhøringen, som anklageren læste op.

Version2 har spurgt Netcompany, om de vil udlevere eller uddybe redegørelsen. Det afviser presseafdelingen med henvisning til, at it-leverandøren respekterer politiets vurdering og efterforskning.