Ansatte i Forsvaret og politiet overvåget via deres mobiler: - Det er ret skidt

Udenlandske datakøbmænd indsamler og sælger oplysninger om mindst 60.000 danskere - også ansatte i Forsvaret. Foto: Christoffer Laursen Hald / TV 2 Grafik

af Jakob Hohlmann Villumsen, Kaare Gotfredsen & Lasse Kalhauge

Detaljerede oplysninger om ansatte i Forsvaret, politiet, Kriminalforsorgen og Forsvarets Efterretningstjeneste sælges af internationale datakøbmænd.

Mindst 60.673 danske mobiltelefoners præcise færden er sat til salg hos udenlandske datakøbmænd. Det kunne TV 2 fortælle i går.

Men det er ikke kun almindelige danskere, der har fået nøjagtige data om deres færden indsamlet og videresolgt af datakøbmændene.

TV 2 bad medie- og analysefirmaet Kaas & Mulvad købe og undersøge datasættet med oplysninger om 60.673 danske mobilers bevægelser - og det viser sig, at der i datasættet optræder en række danskere, hvis sikkerhed kan være udfordret i kraft af deres arbejde.

Det drejer sig om ansatte inden for Kriminalforsorgen, politiet og Forsvaret – herunder Forsvarets Efterretningstjeneste (FE).

Hos Forsvarets Efterretningstjeneste har TV 2s afsløringer skabt intern bekymring, men man ønsker ikke at stille op til interview om sikkerhedsbristen.

I et skriftlig svar til TV 2 nøjes tjenesten med at konstatere:

- Vi er bekendt med problemstillingen og arbejder løbende med sikkerhedsspørgsmål af denne karakter.

Sådan har vi gjort

TV 2 har bedt medie- og analysefirmaet Kaas & Mulvad købe et datasæt med historiske lokalitetsoplysninger om 60.673 mobiltelefoner i Danmark hos datakøbmanden Huq Industries i Storbritannien.

Kaas & Mulvad har analyseret data for TV 2 og foretaget stikprøver i materialet.

Hvert apparat har en unik id-kode, men ejerens navn og telefonnummer fremgår ikke. Det var dog i mange tilfælde helt åbenlyst, hvem mobiltelefonerne tilhørte, fordi man for eksempel blot kunne tjekke, hvor signalet var om natten.

Det har ikke været muligt at få oplyst, hvem der ellers har købt datasættet, men data af denne type sælges primært til markedsførings- og analyseformål.

Ud fra de data, som firmaet Kaas & Mulvad købte og undersøgte, var det muligt i stikprøver at identificere flere medarbejdere ved Forsvaret og den danske spiontjeneste FE.

I FE’s tilfælde behøvede man helt lavpraktisk blot at se på et kortudsnit over FE’s indhentningsstationer Sandagergård på Amager og Skibsbylejren nær Hjørring i Nordjylland.

På kortudsnittene kunne man se en rød prik, når en mobiltelefon blev registreret et sted i området, og ved at følge prikkernes videre færden stod identiteten af mobilens ejer ofte klart.

Eksempelvis kunne man ofte nøjes med at se på, hvor en bestemt mobiltelefon, som var set på en af FE's indhentningsstationer, opholdt sig om natten. Det var som hovedregel ejermandens private adresse.

Oplysningerne i datasættet stammer fra apps, som brugerne selv har installeret på deres mobiltelefoner. I forbindelse med installationen er de efter alt at dømme uforvarende kommet til at give appen lov til at spore dem og videresælge oplysningerne.

Det er derfor kun de mobiler i området omkring indhentningsstationerne, der har haft sladrende apps installeret, der er endt i datasættet.

Gennem 12 måneder er der ved FE’s indhentningsstation Skibsbylejren registreret 11 forskellige mobiler, mens 17 forskellige mobiler blev registreret ved indhentningsstationen Sandagergård.

Datakøbmand afviser kritik

Hos den engelske datakøbmand Huq Industries, der har indsamlet og solgt oplysningerne om de danske mobiltelefoner, afviser man at have brudt gældende regler. Selskabet betragter de indsamlede data som anonyme.

- Vi forbyder tydeligt vores kunder at forsøge at identificere navngivne personer ved at bruge Huq's data eller ved at kombinere Huq data med andre datasæt, skriver Alexander Fairfax, der er marketingschef hos Huq Industries til TV 2.

Han understreger desuden, at Huq's datahåndtering efter selskabets opfattelse er forenelig med både GDPR-reglerne og andre tilsvarende databeskyttelsesregler.

Hos det danske Datatilsyn er man dog i tvivl om lovligheden af dataindsamlingen og salget.

- Det er i hvert fald ikke anonyme data, som selskabet sælger. Og jeg kan godt stille mig tvivlende overfor, om de har de nødvendige samtykker fra alle 60.000 danske mobilejere til at indsamle og sælge deres data, siger cand. jur. Allan Frank, der er IT-sikkerhedsspecialist hos Datatilsynet.

Tidligere FE-ansatte advarer

Forsvarsministeriet har ikke ønsket at kommentere indsamlingen og salget af deres medarbejderes færden. Man henviser blot til udtalelsen fra Forsvarets Efterretningstjeneste, om at man er bekendt med problemstillingen.

Hvor kommer data fra?

Oplysningerne i datasættet stammer fra apps, som brugerne selv har installeret. Præcis hvilke apps, der er tale om, har det ikke været muligt at få oplyst.

Der er data fra 576 forskellige apps i datasættet – men én enkelt app (en kørselsapp) står for 23 procent af samtlige signaler. Samtidig står de 10 mest aktive apps tilsammen for 82 procent af samtlige signaler.

Der er hovedsagelig tale om data fra Android-telefoner. Apple-apparater fylder kun 1,75 procent i datasættet.

Nogle mobiltelefoner er blevet registreret mere end andre. De 10 apparater, der har sendt flest signaler til databasen, fylder tilsammen 1,5 procent af datasættet.

Flere tidligere ansatte ved Forsvarets Efterretningstjeneste peger dog overfor TV 2 på, at det er uheldigt, at ansatte i Forsvaret er blevet sporet og har fået deres færden videresolgt til tredjemand på denne måde.

- Det er lidt uhyggeligt for at sige det mildt, siger John Foley, der tidligere har været ansat i Center for Cybersikkerhed under Forsvarets Efterretningstjeneste (FE). I dag er han direktør i cybersikkerhedsfirmaet Copits.

En del ansatte i FE, politiet og Forsvaret ville få lidt kuldegysninger over det her
John Foley, tidligere analytiker i Forsvarets Efterretningstjeneste (FE)

Han er overbevist om, at de fleste ansatte ikke vil bryde sig om at blive sporet.

- En del ansatte i FE, politiet og Forsvaret ville få lidt kuldegysninger over det her. De mennesker, der gerne vil leve lidt i det skjulte og har nogle opgaver for staten af national interesse, vil ikke blive glade for at blive kigget over skulderen, siger han.

Tidligere IT-analytiker ved Forsvarets Efterretningstjeneste frygter, at mobiloplysningerne kan bruges til chikane eller pression. Foto: TV 2 / TV 2

John Foley pointerer, at oplysningerne om medarbejdernes færden kan udnyttes af fremmede magter – for eksempel til pression.

- Der bliver jo spioneret på spionerne i denne sammenhæng, siger John Foley.

Han mener, at Forsvarets ansatte burde være mere forsigtige.

- Alene det, at I har kunnet gøre det her, viser jo, at selv de, der skulle være gode til det, ikke er tilstrækkeligt opmærksomme på problematikken.

Misbrug i ond tro

Også Andreas Koch, der i ti år var ansat som datamedarbejder i Forsvarets Efterretningstjeneste, vurderer, at det kan have sikkerhedsmæssige konsekvenser, at man kan holde øje med folk på dette niveau.

- Det er et sikkerhedsmæssigt problem, at man kan købe data og lede i specifikke områder. Man kan lede efter specifikke arbejdspladser og finde medarbejdere de steder, siger Andreas Koch.

Jeg er overrasket over, at det er så nemt at købe så detaljerede data
Andreas Koch, tidligere datamedarbejder hos FE.

Han er især bekymret over, at det er muligt via datasættet at finde ud af, hvor medarbejdere bor.

- Jeg er overrasket over, at det er så nemt at købe så detaljerede data om så mange mennesker. Hvis man har en interesse i at chikanere de her mennesker, så kan man det via disse data, advarer Andreas Koch.

Der er mange muligheder for at misbruge lokationsdata, hvis man er i ond tro, mener tidligere FE-medarbejder Andreas Koch. Foto: TV 2

Det er mange scenarier, hvor et datasæt som dette kan misbruges, slår den tidligere FE-medarbejder fast.

- Hvis man er i ond tro og vil bruge dette datasæt, så kan man jo finde ud af alle mulige ting, om hvem der arbejder hvor. Hvornår der er soldater, der bliver udsendt. Hvornår der foregår fangetransporter og så videre, siger Andreas Koch.

Formanden for Forsvarsudvalget i Folketinget, Niels Flemming Hansen (K), vil have stoppet sporingen af statsansatte i udsatte jobs. Foto: TV 2

På Christiansborg tager formanden for Folketingets Forsvarsudvalg sagen meget alvorligt.

- Det er meget voldsomt, at man kan spore danskere på denne måde. Og det vækker naturligvis bekymring, siger Niels Flemming Hansen (K).

Han vil nu stille en række spørgsmål til forsvarsminister Trine Bramsen (S) om sagen.

- Jeg synes som udgangspunkt, at det er ret skidt, konstaterer Niels Flemming Hansen.

Følge fængselsbetjente hjem

Kaas & Mulvad foretog også stikprøver ved nogle af landets fængsler – og også her var det muligt at identificere ansatte ved at se på deres færden efter endt arbejde.

For eksempel som her ved Herstedvester Fængsel, hvor datasættet indeholder signaler fra ti forskellige mobiler.

I Kriminalforsorgen ønsker man ikke at stille op til interview om sikkerhedsproblemet. I en skriftlig erklæring til TV 2 oplyser Kriminalforsorgen, at de er bekendt med mulighederne for at positionere mobiltelefoner.

- Kriminalforsorgen er fokuseret på at sikre personalets sikkerhed i tjenesten og i fritiden og har et velfungerende samarbejde med politiet herom, hedder det videre i erklæringen.

Dette samarbejde med politiet forhindrede dog ikke indsamlingen og videresalget af data via apps om en række fængselsansatte.

TV 2 kunne i stikprøver ved forskellige danske fængsler identificere tre medarbejdere.

Det er da noget bekymrende. Det må jeg sige
Bo Yde Sørensen, formand for Fængselsforbundet

I Fængselsforbundet, der repræsenterer de ansatte, ser man med stor alvor på salget af de ansattes færden.

- Det her er oplysninger, som rigtig mange af mine kolleger som udgangspunkt rigtig gerne vil holde for sig selv. Derfor er det da noget bekymrende. Det må jeg sige, siger Bo Yde Sørensen, der er forbundsformand for Fængselsforbundet.

Han peger på, at hovedparten af de ansatte i Kriminalforsorgen gerne vil holde lav profil omkring deres privatliv.

- Vi har historisk haft nogle rigtige grimme episoder uden for murene, siger Bo Yde Sørensen.

Han frygter, at oplysningerne om de ansattes færden, der er til salg, kan misbruges til chikane eller flugtforsøg.

Pengestærke indsatte ville godt kunne finde pengene til at købe lokationsdata, siger formanden for Fængselsforbundet. Foto: TV 2

- Nu skal jeg jo passe på, at jeg ikke giver nogen gode ideer. Men når I som TV 2 kan skaffe disse oplysninger, så er der selvfølgelig også rigtig mange andre mennesker, der kan. Vi har også pengestærke indsatte, siger Bo Yde Sørensen.

Han mener, at der er behov for handling fra Kriminalforsorgens side og vil tage kontakt til dem for at få dæmmet op for sporingen af de ansatte.

Politiet: Vær opmærksom

Hos Rigspolitiet erkender man, at der er en risiko for, at lokationsdata kan blive misbrugt.

- Mange er givetvis ikke opmærksomme på, at det er muligt at købe lokationsdata på nettet. Ej heller at man kan skabe et overblik over mobile enheders færden. Den enkelte borger opfordres til at være bevidst om, at muligheden findes, skriver Rigspolitiet i en mail til TV 2.

Mange er givetvis ikke opmærksomme på, at det er muligt at købe lokationsdata på nettet
Rigspolitiet

Rigspolitiet peger på, at problemet også gælder deres egne ansatte. Kaas & Mulvad kunne da også i stikprøver finde ansatte ved politiet, som her på Albertslund Politigård, hvor der var signaler fra 24 forskellige mobiler.

- Data vil forventeligt også kunne findes for mobiltelefoner udleveret til politiets ansatte samt ansatte i andre myndigheder og organisationer, medmindre tracking på enheden specifikt er slået fra, skriver Rigspolitiet.

Der har dog ikke været nogle konkrete sager med misbrug af lokationsdata.

- Rigspolitiets Nationale Efterforskningscenter har ikke kendskab til, at kriminelle har brugt lokaliseringsdata på den beskrevne måde til deres kriminelle aktiviteter, oplyser Rigspolitiet.