Ups! Kalundborg Kommune har ved en fejl lagt 50.000 filer med fortrolige og personfølsomme oplysninger på en usikret server.
Der er tale om borgeres og ansattes CPR-numre, lønoplysninger og administratorkoder til kommunens it-systemer.
Det kunne ikke være mere alvorligt
Henrik Larsen er chef hos DK-CERT og arbejder med at sprede viden om informationssikkerhed, trusler og metoder til beskyttelse.
Ifølge ham er det en særdeles alvorlig sag.
Både navne, CPR-numre og økonomiske oplysninger er lækket
- Det er meget grelt. Det kunne ikke være mere alvorligt, siger Henrik Larsen til TV ØST.
Blandt de lækkede personfølsomme oplysninger er der navne og CPR-numre på modtagere af integrationsydelse, kontanthjælp og uddannelseshjælp i kommunen.
- I den her sammenhæng er det en nøgle, der knytter data og personen sammen. Med de samlede oplysninger, kan man få en sikker identifikation af, at der for eksempel er Hans Hansen med CPR-nummer 1234, der får X-antal kroner i kontanthjælp.
Kalundborg Kommune maner til ro
Kalundborg Kommune oplyser dog, at de kan gå 14 dage tilbage i deres systemer og se, at der kun er én enkelt, der i dette tidsrum har benyttet sig af adgangen til serveren.
Derudover er der yderligere 11 dage, hvor kommunen ikke kan gå tilbage og se, hvem eller hvor mange, der med brugernavn og adgangskode har logget på ftp-serveren.
Oplysninger kan havne i de forkerte hænder
Det er en menneskelig fejl, der er skyld i, at 50.000 filer ukrypteret er endt på en såkaldt ftp-server. Men det kan potentielt set få fatale konsekvenser.
En af de mere end 50.00 filer indeholder eksempelvis 42 sider med flere tusinde navne og CPR-numre på.
- Det kan bruges til afpresning mod nogle borgere, eller at udstille forhold, de ikke vil ud med.
Overtrædelse af de mest simple sikkerhedsforanstaltninger
Sikkerheden bristede i midten af november, hvor en ansat ville tage en backup af it-afdelingens kommunikation de seneste tre år med ansatte, eksterne samarbejdspartnere og kommunens store it-leverandører.
Hernik Larsen fra DKCERT forudser, at kommunen har et stort arbejde foran sig.
Det er en overtrædelse af se de mest simple sikkerhedsforanstaltninger
Han anbefaler, at de går i gang med at afdække, hvem der har fået adgang til oplysningerne og får fat i de pågældende.
Kommunen får ingen økonomisk bøde
Den ser meget alvorlig ud. Det er nok en menneskelig fejl, men det kan se ud til, at der ikke er tilstrækkeligt styr på procedurerne.
- Det er en overtrædelse af se de mest simple sikkerhedsforanstaltninger, siger eksperten i it-sikkerhed.
Kalundborg Kommune står måske nok med håret i postkassen, men de kan dog ånde lettet op over, at uheldet ikke skete i maj 2018.
For i maj træder den nye databeskyttelseslov og EU’s databeskyttelsesforordning i kræft, og kommunen ville kunne ifalde en bøde på op til 16 millioner for sådan en hændelse.