Ansat gemte filer lokalt på pc: Nu rammer datalæk 20.000 borgere i Gladsaxe Kommune

11. december 2018 kl. 10:3814
Ansat gemte filer lokalt på pc: Nu rammer datalæk 20.000 borgere i Gladsaxe Kommune
Illustration: Germans/Bigstock.
En medarbejder i Gladsaxe Kommune overtrådte kommunens datasikkerhedsregler, da en fil ved endt arbejdstid blev gemt lokalt på bærbar computer. Det endte galt med et pc-tyveri.
Henning Mølsted
Henning Mølsted
Redaktionschef
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.
Henning Mølsted
Henning Mølsted
Redaktionschef

Gladsaxe Kommune er ramt af tyveri af fire bærbare computere fra et kontor på rådhuset. På en af computerne lå et regneark med fortrolige oplysninger om ca. 20.000 borgere. Det oplyser kommunen i en pressemeddelelse.

Oplysningerne bestod blandt andet af personlige baggrundsoplysninger som eksempelvis personnummer, navn og adresse samt information om ydelser.

»Der er tale om et uheldigt sammentræf af et tyveri og en fejl begået af en enkelt medarbejder. Og jeg er rigtig ærgerlig over, at det her kunne ske. Det er vanskeligt at gardere sig helt mod tyveri og menneskelige fejl,« siger Gladsaxes kommunaldirektør, Bo Rasmussen, ifølge meddelelsen.

Han oplyser, at kommunen de seneste måneder har gjort en massiv indsats for at oplyse ledere og medarbejdere om, hvordan de håndterer fortrolige oplysninger på en sikker måde ifølge de nye datasikkerhedsregler.

Artiklen fortsætter efter annoncen

»Og så sker det her alligevel. Det er ikke godt nok. Nu vil vi se på, hvordan vi kan gøre endnu mere for at sikre vores fortrolige oplysninger og vores rådhus. Og så håber vi, at der er tale om et brugstyveri, hvor harddisken er blevet slettet umiddelbart efter tyveriet med henblik på videresalg af computeren. Når vi ser på omstændighederne omkring tyveriet, er det efter alt at dømme det mest sandsynlige,« siger Bo Rasmussen.

Kommunen understreger, at regnearket ikke blev anvendt til sagsbehandling af enkelte borgere, men til rutinemæssig, halvårlig kontrol af, at den økonomiske afregning mellem Gladsaxe og andre kommuner var korrekt.

Tyveriet meldt til politiet og Datatilsynet

Kommunen oplyser også, at databruddet kunne ske, fordi en medarbejder har overtrådt kommunens datasikkerhedsregler. En medarbejderne havde nemlig ved endt arbejdstid ved en fejl gemt den nu lækkede fil lokalt på sin computer.

»Det er en overtrædelse af datasikkerhedsreglerne og Gladsaxe Kommunes interne retningslinjer for håndtering af fortrolige oplysninger, fordi det derved vil være muligt for en hacker, eller i dette tilfælde en tyv, ulovligt at skaffe sig adgang til kommunens oplysninger,« skriver kommunen i meddelelsen.

Artiklen fortsætter efter annoncen

Jobs

Dine job
Vis alle

Det er ikke første gang i år, at der sker databrud som følge af tyveri af bærbare computere. I juni kunne Version2 fortælle, at en ansat ved Tønder Kommune efter et indbrud i sin bil fik stjålet dokumenter med personfølsomme oplysninger om ca. 40 borgere.

Også dengang fastslog ledelsen, at der var tale om et menneskeligt svigt, og at håndteringen af dokumenter med personfølsomme oplysninger havde været uacceptabel.

Gladsaxe har i den aktuelle sag meldt tyveriet til politiet og hændelsen til Datatilsynet. Derudover er der afsendt et brev til samtlige berørte borgeres e-Boks med en orientering om, hvad der er sket, og hvad de skal være opmærksomme på. Borgere, der ikke er på e-boks, modtager et brev med posten.

Sikkerhedsrisiko vurderes som lille

Gladsaxe Kommune oplyser endvidere, at man har kontaktet en cyber- og it-sikkerhedsekspert for at få vurderet risikoen for misbrug af cpr-numre i forbindelse med tyveriet.

Vurderingen er, at risikoen for misbrug af cpr-nummer er meget lille.

Misbrug af cpr-numre i Danmark er yderst sjældent, fordi det enten kræver en kode, eller at man møder personligt op og udgiver sig for at være en anden person for at få adgang til oplysninger, anfører kommunen.

I de få tilfælde, der har været, har det oftest været personer i bekendtskabskredsen, som har misbrugt cpr-nummeret.

»I denne sag er der alene tale om tyveri af en computer, og ikke om, at oplysninger har været tilgængelige for en bredere offentlighed. Derfor er harddisken og dermed oplysningerne efter al sandsynlighed blevet slettet med henblik på videresalg af computeren. Selv i de tilfælde, hvor cpr-numre har været lækket til en større kreds, har der ikke været tilfælde af misbrug af cpr-numre,« skriver kommunen.

Sikkerhed skærpes yderligere

Gladsaxe Kommune vil efter episoden sikre, at erfaringerne fra hændelsen bliver brugt til endnu en gang at indskærpe overfor medarbejderne, hvordan de håndterer borgernes oplysninger på en sikker måde. Samtidig vil han tage fat i kommunens digitaliseringsafdeling for at se på mulighederne for at kryptere kommunens computere. Derudover vil han sætte en undersøgelse i gang af, om adgangen til rådhuset kan sikres bedre.

Fokus
Emner
14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnementFå prøveabonnement

Jobs

Dine job
Vis alle

Fortsæt din læsning

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
Maciej Szeliga
12. december 2018 kl. 12:13

Det er en kendt trussel og risko at tyve stjæler PC'ere og (følsomme)data mistes fordi medarbejdere ikke gør som de burde.</p>
<p>Gad vide om risikoen er identificeret hos kommunen og om risikoen er blevet accepteret?

Det er den nok - IT-revisionen har i lange tider været ude med riven om det.

Den eneste måde man kan sikre sig nogenlunde er når der ikke er data på klienten ved at f.eks. køre RDP eller Citrix og ikke tillade at kopiere noget til maskinen. Kryptering hjælper men kun hvis tyven er mere interesseret i computeren end i de data som er på den.

  • more_vert
    • insert_linkKopier link
13
Povl H. Pedersen
12. december 2018 kl. 10:39

Det er helt klart at lige netop PC'er bør køre med krypterede diske. Det tager stort set ikke noget performance, men øger sikkerheden. For tyveri af en bærbar er et meget sandsynlig scenarie.

Uden diskkryptering er der vel adgang til certifikater og VPN, der er vel cookies med logon til alverdens services. Der er måske passwords fra de seneste 9 supportere der har været logget på (cached credentials, 10 er default). Der er adgang til rigtigt meget guf på en ukrypteret windåse.

20.000 personers følsomme persondata er vel bare en lille del af det der kan hentes.

  • more_vert
    • insert_linkKopier link
12
Albert Nielsen
12. december 2018 kl. 01:39

Citat: "En medarbejderne havde nemlig ved endt arbejdstid ved en fejl gemt den nu lækkede fil lokalt på sin computer."

og det skete lige netop den dag, hvor PCerne blev stjålet, så medarbejderen ikke kunne nå at slette den næste morgen?

Udenfor citat: "Grise kan flyve".

  • more_vert
    • insert_linkKopier link
11
Steen Christensen
11. december 2018 kl. 22:41

I dette tilfælde med Gladsaxe kommune må det koste en fyring, da der åbenbart har være instruks om at det ikke er lovligt at gøre det.

En instruks er bare ikke tilstrækkeligt. Der vil altid være personer der sætter sig over instrukser.

Det er nødvendigt med låste kontrolmekanismer - som også foreslået ovenfor, diskkryptering, USB kryptering, MFA, BIOS lockdown, + you name it.

Spørgsmålet er selvfølgelig om en gennemsnitlig dansk kommune IT afdeling har viden og resourcer til at gennemføre disse kontroller.

Hvem skal skrive procedurerne? Hvem skal sikre de bliver ført ud i livet?

Jeg har arbejdet i flere mindre organisationer hvor dette ikke på nogen måde var overskueligt. Det var ført da jeg kom til min nuværende arbejdsplads at jeg oplevede at teorierne bliver udført i praksis. Men det er altså også en rigtig stor organisation. Vi har omkring 50000 laptops der styres fra centralt hold, og efter helt fastsatte regler.

Ekstern lagring er selvfølgelig bandlyst - og blokeret på netværket.

MFA var sjovt nok en af de ting det har været sværest at få gennemført - der var kæmpe modstand i mange lag af organisationen. Men nu har vi det på laptop niveau. Nu skal det "bare" føres igennem til applikations niveau også. Det går fremad, men det tager lang tid. Sjovt nok er det systemer fra de største spillere der volder mest besvær (Oracle, IBM etc). Deres applikationer er ikke bygget til at autentikere (dansk?) op imod AD og Kerberos. Det er op ad bakke.

  • more_vert
    • insert_linkKopier link
9
Flemming Riis
11. december 2018 kl. 16:51

I dette tilfælde med Gladsaxe kommune må det koste en fyring, da der åbenbart har være instruks om at det ikke er lovligt at gøre det.

og det vil så resultere i at ingen fremover siger hvis de laver en fejl

Hvis de ikke vælger at kryptere deres maskiner og sikre login , er de nok heller ikke der hvor de har fundet fejlen ved overvågning (1)

(1) Gæt kender ikke deres setup , men hvis man er bange for indhold på en bærbar er det nok sprunget over hvor det er nemt/billigst

  • more_vert
    • insert_linkKopier link
8
John Petersen
11. december 2018 kl. 16:38

Jeg har selv været ansat flere år i RegionHovedstaden. Her forekom det ustandsligt især hos læger, men direktionerne ville ikke gøre noget ved det, når det var læger der overtrådte reglerne. Man påstod sågar at det gjorde deres arbejdsgange besværlige.

I dette tilfælde med Gladsaxe kommune må det koste en fyring, da der åbenbart har være instruks om at det ikke er lovligt at gøre det.

  • more_vert
    • insert_linkKopier link
7
Cristian Ambæk
11. december 2018 kl. 12:51

Hvor er det dog uprofessionelt af kommunen og alle virksomheder der har data liggende direkte på computere af alle typer.

Godkendelses server som er linket til en storage server med medarbejder og gruppe shares som er krypteret ved transit og på serveren.

Servere står på en sikker lokation som har sikkerhedsvagter.

Medarbejdere linkes til en gruppe og forbindes automatisk med deres share.

Alle har VPN.

Backup er krypteret, komprimeret og flyttet.

Så kom dog ind i kampen. Hver mindre der smides en elektronisk bombe og alt i en radius af dig på 1.000 kilometer ristes, hvad er undskyldningen så for at du måske ikke kan tilgå data når de ikke ligger direkte på din maskine?

Politikerne fandt i øvrigt også på at gemme sygdomsdata i Dropbox, selvom de selv havde forbudt brugen af Dropbox og andre cloudløsninger.

Som den ansvarlige andsat tager du den beslutning at Dropbox og alt lignende i orgasinationen er blokeret igennem den teknik der skal til, det er ligetil.

  • more_vert
    • insert_linkKopier link
6
Jan Larsen
11. december 2018 kl. 12:50

Jeg var i en offentlig virksomhed, hvor vi gjorde store krumspring for at sikre alle computere og al data.

Risikoen var sjældent medarbejderne, men i stedet ofte politikerne som gerne tog personfølsomme data med på pc eller tablet, når de skulle til møder i byen eller på f.eks. folkemødet.

Politikerne fandt i øvrigt også på at gemme sygdomsdata i Dropbox, selvom de selv havde forbudt brugen af Dropbox og andre cloudløsninger.

Hvis en ulykke kan ske, vil den ske!

  • Men vil vi betale for at mindske skaden?
  • more_vert
    • insert_linkKopier link
4
Claus Bobjerg Juul
11. december 2018 kl. 11:40

Det er en kendt trussel og risko at tyve stjæler PC'ere og (følsomme)data mistes fordi medarbejdere ikke gør som de burde.

Gad vide om risikoen er identificeret hos kommunen og om risikoen er blevet accepteret?

  • more_vert
    • insert_linkKopier link
2
Ditlev Petersen
11. december 2018 kl. 11:12

Jep. Vi kan I øvrigt heller ikke skrive data til en usb-stick, uden at hele sticken skal krypteres. Ingen kryptering - jamen, så kan vi heller ikke skrive på stick'en. Det er heller ikke skudsikkert, men temmelig godt.

  • more_vert
    • insert_linkKopier link
1
Morten Fordsmand
11. december 2018 kl. 10:47

Ved tyveri af PC'er og laptops:

Størstedelen af de laptops jeg har brugt har været med krypterede diske

Det koster selvfølgeligt noget administrativt overhead og det er ikke 100% vandtæt over for et beslutsomt angreb, men det nedsætter risikoen for kompromitering af data gevaldigt.

  • more_vert
    • insert_linkKopier link