Brandslukning på KU: 600 medarbejdere havde ulovlig adgang til 13.600 CPR-numre

Illustration: Christoffer Regild / www.regild.dk
En lang række forskellige følsomme data, bl.a. om løn, har ligget og flydt rundt omkring på Københavns Universitets servere. Præcis hvor mange og hvor længe ved universitetet ikke.

Københavns Universitet står midt i en alvorlig persondatasag, hvor hundredevis af medarbejdere uberettiget haft haft adgang til privatadresser, eksamenskarakterer, løndata og CPR-numre. Det viser en omfattende datascanning, som universitetet netop har afsluttet efter to måneders arbejde.

For eksempel fik 625 medarbejdere i KU’s administration pludselig adgang til lønstatistik på 13.600 medarbejdere, og statistikkerne var ikke renset for CPR-numre og emailadresser.

Årsagen til det omfattende persondatalæk er, at data har flydt rundt på universitetets mange drev.

Hovedparten af de 625 medarbejdere havde intet at gøre med lønstatistikken og burde derfor ikke have adgang til de mange data om deres kolleger. Siden der ikke var nogen form for logning, der hvor lønstatistikken blev dumpet, er det umuligt at vurdere, om de mange data er blevet misbrugt og i så fald af hvem, oplyser universitetet til Version2.

Brud på persondatasikkerheden er i strid med persondataloven fra 2001, men også i særdeleshed med GDPR, der træder i kraft fredag. Datatilsynet er endnu ikke blevet underrettet.

»Det er en brandslukning, der går i gang, så snart vi finder ud af det, og det er ikke pæne ord, der går gennem hovedet på en. Men skaden er sket, og så må man i gang med at rydde op,« fortæller Poul Nielsen, der er informationsikkerhedschef på Københavns Universitet.

Der er ingen eksempler på persondata, der har ligget ude på internettet, fastslår universitetsdirektør Jesper Olesen.

KU reklamerer i skrivende stund for en konference, de afholder om GDPR, der netop slår hårdt ned på den form for omgang med data, KU har praktiseret indtil nu. Illustration: Screendump, www.ku.dk

Mistanke om problemer

Det hele starter med en mistanke om, at der ligger personhenførbare data rundt omkring på universitetets interne servere som, blandt andet på grund af GDPR, skal beskyttes bedre.

Derfor begynder it-afdelingen på KU at køre en scanning på alt, der kunne CPR-numre, telefonnumre og adresser, i universitetets databaser, og da de første hits begynder at tikke ind, igangsættes en større undersøgelse.

»Vi begynder at scanne om natten for ikke at forstyrre den daglige drift, og det viser sig, at vi har flere og større drev og databaser, end vi havde troet,« siger Jesper Olesen.

Og der er adskillige hits.

Private adresser, studerendes eksamenskarakterer og de førnævnte CPR-numre dukker op, men præcis hvor mange alarmer der var sande, og hvor mange der var falske, kan Jesper Olesen og Poul Nielsen ikke oplyse. Men eksemplet med lønstatistikken er ikke den eneste svipser.

»Der er mange eksempler, men fælles for dem er, at de har ligget på interne systemer, som det kun er vores medarbejdere, der har haft adgang til,« siger Jesper Olesen, der samtidig fortæller, at mange af dem har tavshedspligt.

Præcis hvor længe de mange CPR-numre i lønstatistikken har ligget og flydt på det interne drev, ved man ikke. Men lønstatistikken omhandlede medarbejdere på KU mellem februar 2017 og januar 2018.

For alle de andre svipsere er det umuligt på nuværende tidspunkt at sige, hvor længe de har været malplacerede. Blandt andet fordi de nu er fjernet eller flyttet til fora og drev, hvor de hører hjemme, oplyser Poul Nielsen.

I de fleste af tilfældene er der tale om data, der er blevet delt skødesløst mellem medarbejdere. For eksempel var det nødvendigt at dele lønstatistikken, men ikke med alle 625 kolleger.

På den måde er det lykkedes den store mængde data at forlade ellers sikre, isolerede drev. De delte data var dog stadig gemt bag firewalls og andre sikkerhedsforanstaltninger.

Udover det lå en stor del af data-sjuskeriet i data, der blev glemt og lå på usikre drev, alt for længe efter de blev brugt, siger Jesper Olesen.

Han vurderer desuden, at risikoen for, at de medarbejdere, der eksempelvis ikke havde brug for lønstatistikken, har set den, er meget lille.

Ledelsesopgave at sikre data

Københavns Universitet har nu lavet nye processer, der skal styre de mange data, der farer rundt i universitetets store og alsidige medarbejdergruppe.

Blandt andet er der oprettet nye dedikerede drev med logning, så man kan se, hvem der tilgår hvilke data og hvordan. Derudover er der lavet barrierer for udefrakommende som passwords og forskellige brugerniveauer.

»Vi havde vænnet os til, at data og opbevaring af data var gratis. Men nu har alle data en pris, og det er en ny tankegang, man skal ind i. Til andre, der måske kunne stå med de samme udfordringer som os, vil jeg sige, at det er et ledelsesansvar at sikre data. Man kan lige så godt snakke om det før som siden,« siger Poul Nielsen.

Han mener dog ikke, Københavns Universitet har været for langsomme til at opdage data-usikkerheden.

»Vi har arbejdet med at sikre data i mange år og har haft det på dagsordenen længe.«

Kræver kulturændring

Jesper Olesen anerkender, at der skal en helt ny datakultur til på Københavns Universitet.

Professorer er nødt til at holde op med at lægge karakterer ud til offentligt skue, og forskere skal sørge for, at de data, de deler, enten kun deles med dem, der skal bruge dem, eller er anonymiserede.

»Eksempelvis får hver studerende nu et nummer, der er individuelt for dem selv, men ikke er deres CPR-nummer, og på den måde bliver deres data nemmere at sende rundt i systemet,« siger Jesper Olesen.

Samtidig fastholder han, at Københavns Universitet ikke er den eneste institution, der har disse udfordringer og har begået denne type fejl.

»Jeg tror, mange har de samme udfordringer, og jeg håber, at de kan lære af vores fejl,« siger Jesper Olesen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
Anders Reinhardt Hansen

»Eksempelvis får hver studerende nu et nummer, der er individuelt for dem selv, men ikke er deres CPR-nummer og på den måde bliver deres data nemmere at sende rundt i systemet,« siger Jesper Olesen.«

På dtu har de haft et individuelt nummer i hvert fald siden 90'erne. CPR nummer må aldrig være primærnøgle på data, det er simpelthen for omstændigt at anonymisere data.
I praksis bliver e-mails med cpr numre jo så også sendt rundt i organisationen efter forgodt befindende når man har den slags setup.

Hans Nielsen

Så har GDPR da været gældende i et helt år ?

Men de har selvfølge også, lige så snart de opdage data bruddet. Sendt besked til samtlige personer som er ramt, ud over datatilsynet ?

Pr. 26. maj 2018 ændrer reglerne sig, således at der fremover bliver pligt til at orientere Datatilsynet om
sikkerhedsbrud, fx læk, inden 72 timer fra den dataansvarlige er blevet bekendt med (eller burde være blevet bekendt
med) sikkerhedsbruddet. Samtidig skal de berørte personer orienteres.

Mogens Lysemose

"Professorer er nødt til at holde op med at lægge karakterer ud til offentligt skue, og forskere skal sørge for, at de data, de deler, enten kun deles med dem, der skal bruge dem, eller er anonymiserede."

Jeg studser over at det er de samme forskere som politikerne prioriterer over befolkningens privatliv - og har tilsyneladende har blind tillid til - f.eks. mht. genomcentret, trivselsmålinger osv.

Forskere, i stil med dem der fra Statens Seruminstitut leverede alle danskeres helbredsoplysninger til den kinesiske ambasade på en ukrypteret CD-ROM.

Når man har travlt - eller fokuserer 100% på at løse et problem - bliver al den slags sikkerhedsbøvl jo tit nedprioriteret. Hvem her "kender slet ingen" der har prøvet om noget kun virkede med priviligerede rettigheder (eks. administrator/root) ? Og så er det jo fristende at lade det fortsætte når det virker...

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017