27-årig fængslet for CPR-databreach: Kommune skærper sikkerhed efter skandale

Den 18. marts blev Frederik Nielsen, 27 år, dømt for at have solgt CPR-data fra sin arbejdsplads til kriminelle netværk. Sagen rejser kritiske spørgsmål om, hvordan danske offentlige institutioner håndterer borgernes mest følsomme personoplysninger – og hvad der sker, når interne sikkerhedssystemer kollaberer.

Ifølge Version2 var sagen også kompleks juridisk. Retten skulle afgøre, om Nielsen kunne holdes ansvarlig for medvirken til drab, da hans databreach potentielt var forbundet til kriminelle aktiviteter ud over simpelt databortførsel. Det var en påmindelse om, hvor alvorlige konsekvenserne kan blive, når CPR-numre hamstres af organiseret kriminalitet.

Kommune indfører nye sikkerhedsstyring

Kommunen bag sagen har nu iværksat en omfattende digitalsikkerhedsoprustning. Interne kilder indikerer, at institutionen ikke havde tilstrækkelig logging og kontrol over, hvem der havde adgang til hvilke databaser – en klassisk svaghed i større offentlige systemer.

Og det er netop her problemet ligger. Når en enkelt medarbejder kan eksfiltrere massive mængder CPR-data uden at blive opdaget, taler vi ikke blot om en individuel forbrydelse. Vi taler om systemsvigt i grundlæggende informationssikkerhed.

Større indsats er påkrævet

Sagen understreger et vedvarende dansk datasikkerhedsproblem: mange offentlige institutioner har ressourcemangler, der gør det svært at implementere moderne sikkerhedsarchitektur. Role-based access control, multifaktor-autentificering og konstant overvågning koster penge – penge, som ofte prioriteres væk.

Ifølge Version2 jobber den involverede kommune nu på at etablere bedre kontrolmekanismer. Men spørgsmålet bliver: hvor mange andre danske institutioner opererer stadig med samme sårbare infrastruktur?