20.09.14 | SAP's Forretningsudvalg
Sagen mod den svensker, der er anklaget for at have hacket CSC og demonstreret, at dybt fortrolige offentlige registre ikke er under sikker forvaring, ligner en absurd fortsættelse af H.C. Andersens eventyr ”Kejserens nye klæder”. Fortsættelsen går ud på, at hele det kejserlige politi jager den lille dreng (ham der råber: "Men han har jo ikke noget tøj på!"), så han kan blive idømt lovens strengeste straf for at have smugkigget på kejserens ædlere dele…
Den såkaldte CSC-hackersag er blot den seneste i en lang kæde af skandaler, der har hærget den multinationale it-koncern gennem en årrække. Grundlæggende handler sagen dog langt fra kun om forholdene i en enkelt privat virksomhed eller for så vidt om de personlige forhold omkring den hovedmistænkte hacker. Derimod handler den om dybt politiske spørgsmål som privatisering og datasikkerhed – og med afledte konsekvenser i forhold til retssikkerheden.
I den aktuelle sag er en svensk hacker – Gottfrid Svartholm Warg, der også er kendt som it-aktivist og stifter af fildelingssitet Pirate Bay – anklaget for at over 4 måneder have kopieret og downloadet filer fra blandt andet kriminalregistret og kørekortregistret, herunder CPR-numre, data om efterlyste personer i Schengen-registre samt e-mailadresser og kodeord for 10.000 tjenestemænd. Med andre ord danmarkshistoriens absolut største hackersag.
Skrædderfirmaet
CSC er en af verdens største it-virksomheder, der i 1996 købte og overtog det nyprivatiserede selskab Datacentralen (DC) fra den danske stat. På det tidspunkt havde DC gennem knap 40 år udviklet og drevet administrative it-systemer for stat, amter og kommuner, herunder bl.a. CPR- og CVR-registeret for henholdsvis personer og virksomheder samt en række andre centrale funktioner for den offentlige sektor. Salget af Datacentralen til CSC var kontroversielt; bl.a. advarede Forsvarets Efterretningstjeneste (FE) – i Nato-landet Danmark – imod at tophemmelige oplysninger om dansk forsvar blev overladt til det amerikanskejede CSC, fordi USA derved ville kunne spionere imod og få adgang til de hemmelige danske oplysninger. Den danske regering gennemførte dog salget alligevel.
I dag kan vi se, at DC-ansatte, kritiske it-professionelle og FE langt hen ad vejen har gjort ret i at være bekymrede. Både i lyset af afsløringerne omkring NSA’s overvågning og gennem de seneste få år, hvor CSC har været hærget af økonomiske skandaler, bristende sikkerhed samt ledelsens opgør med it-forbundet PROSA specielt og med de ansattes løn- og arbejdsvilkår generelt.
Døm drengen?
For mange er Gottfrid Svartholm Warg nu lidt af en helt, fordi han (måske) er den, der har afsløret CSC’s mangel på sikkerhed. For andre er han en forbryder, bl.a. fordi han tidligere er blevet dømt for dataindbrud og mistænkt for motiver om personlig økonomisk vinding – selv om han hårdnakket hævder, at hans ønske kun er at afsløre usikre it-systemer. I forvejen har han desuden i årevis som Pirate Bay-aktivist været en torn i øjet på store musik- og filmproducenter, der ser deres indtjening truet af piratkopiering over nettet.
Under alle omstændigheder har den seneste retssag imidlertid vist, at der er grundlæggende problemer omkring retssikkerheden i it-sager som denne. Én ting er, at politiet (som er kunde hos CSC) har overladt til CSC selv at undersøge og udlevere antaget bevismateriale frem for selv at indhente det. En anden ting er, at anklageren til stor moro – men også bekymring – for tilhørerne i retssagen helt åbenbart mangler it-indsigt og f.eks. ikke anerkender konceptet med flere brugere på en pc… Dette er ellers et ganske centralt spørgsmål, idet den hovedmistænkte netop hævder, at hans pc er blevet brugt af helt andre personer til at begå dataindbruddet.
Men det helt store retsmæssige problem er, at når tingene går galt – hvad der ikke manglede advarsler imod – er det den kritiske håndværker og provokatør, der (måske) afslørede det, man kaster sig over. Ikke det tvivlsomme firma, der har forvaltet opgaven så usselt. Og slet ikke de privatiseringsliderlige beslutningstagere, der i sin tid overlod den følsomme datahåndtering til et privat firma – koste hvad det ville. Skrædderne går fri – og kejseren prøver at dække over katastrofen.
For så vidt helt i eventyrets ånd:
"Hvad for noget!" tænkte kejseren, "jeg ser ingen ting! det er jo forfærdeligt! er jeg dum? dur jeg ikke til at være kejser? det var det skrækkeligste, som kunne arrivere mig!"
- "Oh det er meget smukt!" sagde kejseren, "det har mit allerhøjeste bifald!"
(Af H.C.Andersen: Kejserens nye klæder)
SAP's forretningsudvalg, den 20. september 2014