Ansat gemte filer lokalt på pc: Nu rammer datalæk 20.000 borgere i Gladsaxe Kommune

Illustration: Germans/Bigstock
En medarbejder i Gladsaxe Kommune overtrådte kommunens datasikkerhedsregler, da en fil ved endt arbejdstid blev gemt lokalt på bærbar computer. Det endte galt med et pc-tyveri.

Gladsaxe Kommune er ramt af tyveri af fire bærbare computere fra et kontor på rådhuset. På en af computerne lå et regneark med fortrolige oplysninger om ca. 20.000 borgere. Det oplyser kommunen i en pressemeddelelse.

Oplysningerne bestod blandt andet af personlige baggrundsoplysninger som eksempelvis personnummer, navn og adresse samt information om ydelser.

»Der er tale om et uheldigt sammentræf af et tyveri og en fejl begået af en enkelt medarbejder. Og jeg er rigtig ærgerlig over, at det her kunne ske. Det er vanskeligt at gardere sig helt mod tyveri og menneskelige fejl,« siger Gladsaxes kommunaldirektør, Bo Rasmussen, ifølge meddelelsen.

Han oplyser, at kommunen de seneste måneder har gjort en massiv indsats for at oplyse ledere og medarbejdere om, hvordan de håndterer fortrolige oplysninger på en sikker måde ifølge de nye datasikkerhedsregler.

»Og så sker det her alligevel. Det er ikke godt nok. Nu vil vi se på, hvordan vi kan gøre endnu mere for at sikre vores fortrolige oplysninger og vores rådhus. Og så håber vi, at der er tale om et brugstyveri, hvor harddisken er blevet slettet umiddelbart efter tyveriet med henblik på videresalg af computeren. Når vi ser på omstændighederne omkring tyveriet, er det efter alt at dømme det mest sandsynlige,« siger Bo Rasmussen.

Kommunen understreger, at regnearket ikke blev anvendt til sagsbehandling af enkelte borgere, men til rutinemæssig, halvårlig kontrol af, at den økonomiske afregning mellem Gladsaxe og andre kommuner var korrekt.

Tyveriet meldt til politiet og Datatilsynet

Kommunen oplyser også, at databruddet kunne ske, fordi en medarbejder har overtrådt kommunens datasikkerhedsregler. En medarbejderne havde nemlig ved endt arbejdstid ved en fejl gemt den nu lækkede fil lokalt på sin computer.

»Det er en overtrædelse af datasikkerhedsreglerne og Gladsaxe Kommunes interne retningslinjer for håndtering af fortrolige oplysninger, fordi det derved vil være muligt for en hacker, eller i dette tilfælde en tyv, ulovligt at skaffe sig adgang til kommunens oplysninger,« skriver kommunen i meddelelsen.

Det er ikke første gang i år, at der sker databrud som følge af tyveri af bærbare computere. I juni kunne Version2 fortælle, at en ansat ved Tønder Kommune efter et indbrud i sin bil fik stjålet dokumenter med personfølsomme oplysninger om ca. 40 borgere.

Også dengang fastslog ledelsen, at der var tale om et menneskeligt svigt, og at håndteringen af dokumenter med personfølsomme oplysninger havde været uacceptabel.

Læs også: Brød kommunens regler og så blev følsomme persondata stjålet fra bil

Gladsaxe har i den aktuelle sag meldt tyveriet til politiet og hændelsen til Datatilsynet. Derudover er der afsendt et brev til samtlige berørte borgeres e-Boks med en orientering om, hvad der er sket, og hvad de skal være opmærksomme på. Borgere, der ikke er på e-boks, modtager et brev med posten.

Sikkerhedsrisiko vurderes som lille

Gladsaxe Kommune oplyser endvidere, at man har kontaktet en cyber- og it-sikkerhedsekspert for at få vurderet risikoen for misbrug af cpr-numre i forbindelse med tyveriet.

Vurderingen er, at risikoen for misbrug af cpr-nummer er meget lille.

Misbrug af cpr-numre i Danmark er yderst sjældent, fordi det enten kræver en kode, eller at man møder personligt op og udgiver sig for at være en anden person for at få adgang til oplysninger, anfører kommunen.

I de få tilfælde, der har været, har det oftest været personer i bekendtskabskredsen, som har misbrugt cpr-nummeret.

»I denne sag er der alene tale om tyveri af en computer, og ikke om, at oplysninger har været tilgængelige for en bredere offentlighed. Derfor er harddisken og dermed oplysningerne efter al sandsynlighed blevet slettet med henblik på videresalg af computeren. Selv i de tilfælde, hvor cpr-numre har været lækket til en større kreds, har der ikke været tilfælde af misbrug af cpr-numre,« skriver kommunen.

Sikkerhed skærpes yderligere

Gladsaxe Kommune vil efter episoden sikre, at erfaringerne fra hændelsen bliver brugt til endnu en gang at indskærpe overfor medarbejderne, hvordan de håndterer borgernes oplysninger på en sikker måde. Samtidig vil han tage fat i kommunens digitaliseringsafdeling for at se på mulighederne for at kryptere kommunens computere. Derudover vil han sætte en undersøgelse i gang af, om adgangen til rådhuset kan sikres bedre.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jan Larsen

Jeg var i en offentlig virksomhed, hvor vi gjorde store krumspring for at sikre alle computere og al data.

Risikoen var sjældent medarbejderne, men i stedet ofte politikerne som gerne tog personfølsomme data med på pc eller tablet, når de skulle til møder i byen eller på f.eks. folkemødet.

Politikerne fandt i øvrigt også på at gemme sygdomsdata i Dropbox, selvom de selv havde forbudt brugen af Dropbox og andre cloudløsninger.

Hvis en ulykke kan ske, vil den ske!
- Men vil vi betale for at mindske skaden?

Cristian Ambæk

Hvor er det dog uprofessionelt af kommunen og alle virksomheder der har data liggende direkte på computere af alle typer.

Godkendelses server som er linket til en storage server med medarbejder og gruppe shares som er krypteret ved transit og på serveren.

Servere står på en sikker lokation som har sikkerhedsvagter.

Medarbejdere linkes til en gruppe og forbindes automatisk med deres share.

Alle har VPN.

Backup er krypteret, komprimeret og flyttet.

Så kom dog ind i kampen. Hver mindre der smides en elektronisk bombe og alt i en radius af dig på 1.000 kilometer ristes, hvad er undskyldningen så for at du måske ikke kan tilgå data når de ikke ligger direkte på din maskine?

Politikerne fandt i øvrigt også på at gemme sygdomsdata i Dropbox, selvom de selv havde forbudt brugen af Dropbox og andre cloudløsninger.

Som den ansvarlige andsat tager du den beslutning at Dropbox og alt lignende i orgasinationen er blokeret igennem den teknik der skal til, det er ligetil.

John Petersen

Jeg har selv været ansat flere år i RegionHovedstaden.
Her forekom det ustandsligt især hos læger, men direktionerne ville ikke gøre noget ved det, når det var læger der overtrådte reglerne. Man påstod sågar at det gjorde deres arbejdsgange besværlige.

I dette tilfælde med Gladsaxe kommune må det koste en fyring, da der åbenbart har være instruks om at det ikke er lovligt at gøre det.

Flemming Riis

I dette tilfælde med Gladsaxe kommune må det koste en fyring, da der åbenbart har være instruks om at det ikke er lovligt at gøre det.

og det vil så resultere i at ingen fremover siger hvis de laver en fejl

Hvis de ikke vælger at kryptere deres maskiner og sikre login , er de nok heller ikke der hvor de har fundet fejlen ved overvågning (1)

(1) Gæt kender ikke deres setup , men hvis man er bange for indhold på en bærbar er det nok sprunget over hvor det er nemt/billigst

Hans Nielsen

(1) Gæt kender ikke deres setup , men hvis man er bange for indhold på en bærbar er det nok sprunget over hvor det er nemt/billigst


ER det ikke et maximum på børder til det offentlige på GDPR på 16 millioner kroner.

Hvis det gives nogle gange, så kan det være at nogle procedure og arbejdsgange bliver gentænkt- Især hvis bøden bliver betalt fra bonus kassen til ledelsen.

Steen Christensen

I dette tilfælde med Gladsaxe kommune må det koste en fyring, da der åbenbart har være instruks om at det ikke er lovligt at gøre det.

En instruks er bare ikke tilstrækkeligt. Der vil altid være personer der sætter sig over instrukser.

Det er nødvendigt med låste kontrolmekanismer - som også foreslået ovenfor, diskkryptering, USB kryptering, MFA, BIOS lockdown, + you name it.

Spørgsmålet er selvfølgelig om en gennemsnitlig dansk kommune IT afdeling har viden og resourcer til at gennemføre disse kontroller.

Hvem skal skrive procedurerne? Hvem skal sikre de bliver ført ud i livet?

Jeg har arbejdet i flere mindre organisationer hvor dette ikke på nogen måde var overskueligt. Det var ført da jeg kom til min nuværende arbejdsplads at jeg oplevede at teorierne bliver udført i praksis. Men det er altså også en rigtig stor organisation. Vi har omkring 50000 laptops der styres fra centralt hold, og efter helt fastsatte regler.

Ekstern lagring er selvfølgelig bandlyst - og blokeret på netværket.

MFA var sjovt nok en af de ting det har været sværest at få gennemført - der var kæmpe modstand i mange lag af organisationen. Men nu har vi det på laptop niveau. Nu skal det "bare" føres igennem til applikations niveau også. Det går fremad, men det tager lang tid. Sjovt nok er det systemer fra de største spillere der volder mest besvær (Oracle, IBM etc). Deres applikationer er ikke bygget til at autentikere (dansk?) op imod AD og Kerberos. Det er op ad bakke.

Albert Nielsen

Citat: "En medarbejderne havde nemlig ved endt arbejdstid ved en fejl gemt den nu lækkede fil lokalt på sin computer."

og det skete lige netop den dag, hvor PCerne blev stjålet, så medarbejderen ikke kunne nå at slette den næste morgen?

Udenfor citat: "Grise kan flyve".

Povl H. Pedersen

Det er helt klart at lige netop PC'er bør køre med krypterede diske. Det tager stort set ikke noget performance, men øger sikkerheden. For tyveri af en bærbar er et meget sandsynlig scenarie.

Uden diskkryptering er der vel adgang til certifikater og VPN, der er vel cookies med logon til alverdens services. Der er måske passwords fra de seneste 9 supportere der har været logget på (cached credentials, 10 er default). Der er adgang til rigtigt meget guf på en ukrypteret windåse.

20.000 personers følsomme persondata er vel bare en lille del af det der kan hentes.

Maciej Szeliga

Det er en kendt trussel og risko at tyve stjæler PC'ere og (følsomme)data mistes fordi medarbejdere ikke gør som de burde.

Gad vide om risikoen er identificeret hos kommunen og om risikoen er blevet accepteret?

Det er den nok - IT-revisionen har i lange tider været ude med riven om det.

Den eneste måde man kan sikre sig nogenlunde er når der ikke er data på klienten ved at f.eks. køre RDP eller Citrix og ikke tillade at kopiere noget til maskinen.
Kryptering hjælper men kun hvis tyven er mere interesseret i computeren end i de data som er på den.

Log ind eller Opret konto for at kommentere