Datasjusk: Password til ministerium lå på nettet

Ringkøbing-Skjern Kommune havde fortrolige login-oplysninger til Velfærdsministeriet liggende frit fremme på deres web-server.

Ved en fejl i forbindelse med indførslen af et it-system i Ringkøbing-Skjern Kommune havnede 26 Excel-dokumenter pludseligt i Googles søgemaskine. Mindst et af regnearkene, der ikke er beregnet til offentliggørelse, havde tilmed login-oplysninger til en hjemmeside under Velfærdsministeriet liggende frit tilgængelig.

Login-oplysningerne giver adgang til likviditets-indberetningsdelen af Velfærdsministeriets kommunale selvbetjeningssystem. Og i den kontekst brugernavnet og passwordet optrådte i regnearket, var der ikke tvivl om, hvor oplysningerne skulle bruges.

»Det er en menneskelig fejl, men det er også ubevidst,« siger kommunikationskonsulent ved Ringkøbing-Skjern Kommune Esben Midtiby om, hvorfor login-oplysningerne er havnet i klartekst i et offentligt tilgængeligt Excel-dokument.

Fanen der blev glemt

Udover login-oplysningerne indeholder Excel-filen desuden en graf. Og grafen er blevet brugt som bilag til en kommunal dagsorden. Personen, der forvandlede Excel-dokumentet til dagsordensbilag, har imidlertid ikke været opmærksom på den øvrige fane, dokumentet indeholdt. Her har brugernavnet og passwordet nemlig ligget frit tilgængeligt i klartekst.

»Det er jo en klassiker. Man kan jo finde rigtigt mange informationer med Google. Også informationer, som dem, der oprindeligt lavede dem, ikke har lyst til at dele. Vores erfaringer viser, at folk ikke passer nok på datadisciplinen,« siger sikkerhedsekspert og direktør Ulf Munkedal i sikkerhedsvirksomheden FortConsult.

På spørgsmålet om, hvorvidt det er hensigtsmæssigt at opbevare loginoplysninger til det kommunale indberetningssystem i et elektronisk dokument i klartekst svarer Esben Midtiby.

»Det er ikke smart, det skal man ikke.«

Understrege fortroligheden

Kontorchef ved Velfærdsministeriet Niels Jørgen Mau understreger da også, at de login-oplysninger, kommunerne bliver tildelt til selvbetjeningssystemet, ikke er tænkt til offentliggørelse.

»Vi vil overveje, om vi vil en passende lejlighed, skal understrege overfor kommunerne, at disse oplysninger skal behandles fortroligt. Om end dette jo kun er en enkelt sag,« siger han.

På den kommunale indberetningsside har det ikke været muligt at ændre kommunens likviditetsoplysninger for 2007, da dokumenterne nu er endeligt godkendt af kommunen og derfor låst.

Login-oplysningerne har dog formentligt været frit tilgængelige, siden kommunen skiftede dagsordenssystem i sommers.

»Chancen for, at der skulle ske noget, er meget begrænset. Når kommunen indberetter, så bliver skemaet låst,« siger Niels Jørgen Mau og tilføjer:

»Det ændrer selvfølgeligt ikke på, at det er uheldigt det her. For det er selvfølgeligt ikke meningen, at de her oplysninger skal være offentligt tilgængelige.«

Kun PDF ? ikke Excel

Esben Midtiby, der p.t. også er ansvarlig for indholdet på kommunens hjemmeside, henviser til, at de personer, som udarbejder bilag, burde være klar over, hvilke oplysninger der må optræde i et bilag, og hvilke der ikke må.

Generelt har Ringkøbing-Skjern Kommune nogle interne retningslinjer om ikke at offentliggøre Excel-dokumenter og Powerpoint-præsentationer på nettet, da de kan indeholde indlejrede tabeller, der ikke er tænkt til offentliggørelse. I stedet skal sådanne dokumenter konverteres til eksempelvis PDF-filer, inden de gøres offentligt tilgængelige.

Alligevel var 32 Excel-dokumenter tilgængelige for Google via kommunens hjemmeside, da Version2 undersøgte kommunens domæne. 26 af dokumenterne ? inklusiv dokumentet med login-oplysningerne ? var ifølge kommunen et levn fra et tidligere system og var slet ikke tænkt til at skulle kunne findes via Google.

»I dag er der jo langt hen ad vejen en accept af, at når man starter op med noget ny it, så er der nogle børnesygdomme. Og det må man sige, at det her går ind under,« siger Esben Midtiby.

På nuværende tidspunkt skulle de 26 Excel-dokumenter ikke længere være tilgængelige fra kommunens webserver. Ligesom kommunens login-oplysninger til Velfærdsministeriet er blevet ændret.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Ulrik Gerdes

Det er jo menneskeligt at fejle. Og nogle fejl er sikkert også ubevidste, dvs. at nogle mennesker af en eller anden grund gerne VIL fejle, fx på grund af noget med for tidlig pottetræning etc. Den aktuelle historie lunger imidlertid langt væk af fuldvoksne it-inkompetencer, dvs. at der sidder nogle mennesker med et værktøj, som de ikke har en skid begreb om at bruge!

  • 0
  • 0
Jens Madsen

Hvis kommunen ikke har en strategi for, hvilke dokumenter der skal offentliggøres - så risikeres nemt, at det beror på en individuel gennemgang af hver enkelt dokument. Og dette er sandsynligvis gået for hurtigt. Vedkommende, der har gjort det, har måske haft kendskab til IT - men ikke til dokumenternes indhold, og om de skulle offentliggøres. Hvis de kun er blevet hurtigt gennemset, kan en "skjult tabel" i excel måske være overset.

Selvfølgeligt, burde man have søgt på tekster som "login" osv. og sorteret disse dokumenter fra. Men hvem tænker på det?

  • 0
  • 0
Log ind eller Opret konto for at kommentere