Stor debat om KMD's politianmeldelse af Esben Warming Pedersen
DIKUs sikkerhedsekspert Ken Friis Larsen om politianmeldelsen af Esben: - Med hensyn til om det er hacking, så er det et juridisk spørgsmål mere end et teknisk spørgsmål. Men efter min tekniske mening, så er det ikke hacking. Det eneste det kræver er en almindelig browser.
En sag om angivelig hacking har de seneste dage skabt blæst om tidligere DIKU-kandidat og -PhD Esben Warming Pedersen.
Historien lyder i kort uddrag fra DR.dk 15.06.17: Gjorde opmærksom på cpr-hul: Nu bliver han politianmeldt for hacking
Esben Warming Pedersen med specialeprojektet MixiTUI.COM
Esben Warming Pedersen opdagede cpr-hullet på Frederiksbergs Kommunes hjemmeside i maj 2017, da han skulle finde en institutionsplads til sin søn på Frederiksberg. Han kontaktede Frederiksberg Kommune for at gøre opmærksom på problemet, og Frederiksberg Kommune rettede efterfølgende kontakt til systemleverandøren KMD.
Samtidig henvendte Esben Warming Pedersen sig til DR Nyheder, fortalte om it-hullet og sendte en video, der dokumenterede problemet i it-systemet Digital Pladsanvisning, som KMD står for. DR Nyheder kontaktede KMD og viste dem videoen, der nu har ført til, at Esben Warming Pedersen er blevet politianmeldt af KMD.
Selv er Esben Warming Pedersen overrasket over, at han er blevet politianmeldt. - Jeg synes ikke på nogen måde, at det, jeg har gjort, kan betegnes som hacking, så det blev jeg noget chokeret over, siger han. I stedet mener Esben Warming Pedersen, at det var nødvendigt for ham at "lirke lidt" i it-systemet for at se, hvad der var galt, før han tog kontakt til nogen.
Hvornår er der tale om hacking?
Siden DR's omtale af sagen, er den blevet kommenteret flittigt i pressen og sociale medier. Især spørgsmålet om, hvorvidt der er tale om hacking, når der gøres opmærksom på sårbarheder og ikke tilsigtet tilgængelighed til beskyttede data, har optaget eksperterne.
Til Version2 udtaler Datatilsynet 16. juni, at Hul i KMD-system udgør klart brud på persondataloven:
KMD’s pladsanvisningssystem har været utæt i tolv år og har derfor udgjort en potentiel CPR-kilde for svindlere og kriminelle. Derfor udgør KMD’s system ifølge Datatilsynet et klart brud på persondatalovens §41 stk. 3, oplyser Datatilsynet til finans.dk.
KMD ville være i yderligere juridiske problemer, hvis den nye persondataforordning var trådt i kraft. For mens selskabet længe kendte til hullet i deres system gik der mere end tre uger, før Datatilsynet fik nys om miseren. Ifølge den nye persondataforordning, som træder i kraft til maj 2018, må der maksimalt gå 72 timer fra man bliver klar over hullet til Datatilsynet skal have besked. Hvis bristet først var blevet indrapporteret i 2018 kunne det altså have resulteret i et økonomisk rap over fingrene til KMD på 75 millioner kroner.
Datatilsynet ønsker ikke som sådan at udtale sig om den igangværende strid mellem KMD og Esben Warming Pedersen, der anmeldte dem. Men af de to er der kun én, der har forbrudt sig mod persondataloven, fremhæver Datatilsynet. Og det er KMD.
I TV2 Nyheder 16. juni udtaler Advokat Morten Bjerregaard, at Esben Warming Pedersen ikke kan have begået noget kriminelt:
- KMD agerer håbløst, når de politianmelder en mand for hacking, efter han har fundet et hul i et af deres it-systemer. Det mener partner Morten Bjerregaard fra Bjerregaard Advokatfirma, der dagligt beskæftiger sig med sager om it-kriminalitet.
- Den her politianmeldelse er på et tåbeligt niveau. Der er ikke noget strafferetligt problem i det, han har gjort, siger Morten Bjerregaard til TV 2. - Vi nærmer os, at KMD ved at politianmelde misbruger deres position. For der er ikke grundlag for det. Politiet bør ikke lade sig vildlede af, at anmeldelsen kommer fra et i øvrigt seriøst foretagende som KMD, fortsætter advokaten.
IT-sikkerhedsekspert Lektor Ken Friis Larsen, DIKU
Esben Warming afviser pure at have hacket, og han møder opbakning fra flere sider. Blandt andre fra lektor i datalogi Ken Friis Larsen fra Københavns Universitet. - Med hensyn til om det er hacking, så er det et juridisk spørgsmål mere end et teknisk spørgsmål. Men efter min tekniske mening, så er det ikke hacking. Det eneste det kræver er en almindelig browser, skriver han i en SMS til TV 2.
Med hensyn til det juridiske er der dog ingen tvivl hos advokat Morten Bjerregaard, hvis kontor efter eget udsagn løbende beskæftiger sig med omkring 50 større og mindre sager om it-kriminalitet. Ifølge advokaten er det afgørende i forhold til hackingbestemmelsen, at der er tale om misbrug, og det afviser han i forhold til sagen mellem KMD og Esben Warming.
- Efter min opfattelse er politianmeldelsen grundløs. Der skal være tale om misbrug. Man kan sige, at det er en fortolkning, hvad der er misbrug. Men han har blot sikret sig, at han ikke forstyrrer kommunen med noget, der ikke er et problem. Han har på ingen måde udnyttet informationerne. Tværtimod har han indberettet det, siger advokaten.
Relaterede artikler
15.06.17 Version2: Politianmeldt af KMD for hacking: »Jeg er totalt uskyldig«
16.06.17 Version2: Datatilsynet: Hul i KMD-system udgør klart brud på persondataloven
16.06.17 TV2 Nyheder: Advokat om KMD's politianmeldelse: - Tåbeligt og grundløst
16.06.17 Version2: KMD's håndtering af sikkerhedshul: »Det skriger til himlen«