Ekspert: CSC brød loven med dele-login og papirlog

De ansatte fik besked på at dele fyrede medarbejderes login til blandt andet Forsvarets it-systemer. En håndskrevet liste fungerede som log over, hvem der optrådte som hvem, fortæller medarbejdere.

Da CSC fyrede og bortviste en gruppe medarbejdere, som strejkede i strid med overenskomsten, var der ikke styr på brugerlogins til de vikarer, som så skulle overtage arbejdet.

Derfor begyndte de bortviste medarbejdere at 'spøge' i systemerne og optræde som aktive brugere, selvom de var blevet smidt på porten. CSC-cheferne beordrede nemlig vikarerne til at dele de bortvistes bruger-identiteter.

Læs også: CSC erkender genbrug af fyredes bruger-id

Den praksis fik i sidste uge fagforeningen Prosa til at melde CSC til politiet, og nu har P1's Orientering nye oplysninger om sagen, gennem interviews med de ansatte, der skulle overtage og dele andre personers brugerkonti.

»Vi fik at vide, at situationen var sådan, og at de var nødt til at køre en nødprocedure, og så var der kun nogle ganske få bruger-ID'er til rådighed, og dem skulle vi deles om. Hvis der er fem mand og kun én, som kan være på ad gangen, så må de andre vente,« forklarer en af de nye ansatte til P1 Orientering.

Da CSC arbejder med nogle af landets mest kritiske og fortrolige it-systemer, er der krav om, at man kan spore eventuelt misbrug af data til en bestemt person. Men medarbejderne, som blev sat til at dele de bortvistes bruger-identitet, stod selv for at notere, hvem der havde hvilken identitet hvornår.

Det skete på et stykke papir, hvor man skulle huske at skrive ned, hvornår man havde brugt hvilke brugerkonti, fortæller en medarbejder til Orientering.

Metoden er i strid med loven, vurderer lektor i datasikkerhed ved Aalborg Universitet, Charlotte Bagger Tranberg. Registreringen af, hvem der har adgang til hvilke systemer, skal ske maskinelt og ikke med noter på et stykke papir, fortæller hun. Ellers kan en, der vil misbruge data fra for eksempel Politiets og Forsvarets databaser, blot skrive forkerte oplysninger på sedlen.

»Det er meget alvorligt for både myndighederne og for CSC,« siger lektoren til Orientering.

Hos Forsvaret vil man nu sætte en undersøgelse i gang om omgangen med brugerlogin hos CSC for at komme til bunds i sagen.

Selv har CSC forklaret, at der var tale om en nødprocedure, men vil ellers ikke udtale sig om forløbet, da virksomheden nu er politianmeldt og er underlagt politiets efterforskning.

Læs også: Genbrugte bortvistes bruger-login: Her er spørgsmålene CSC ikke vil svare på

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (16)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Heden

Men i første omgang kunne forsvaret jo ringe til Prosa eller CSC og spørge om hvilke personer som er lock-outet. Og så lukke deres adgang. Det er vel forhe..... ikke raketvidenskab det her.

Og så kan de jo tænke lidt over hvilke oplysninger en amerikansk virksomhed skal have over det danske samfund...

  • 0
  • 0
Jesper H. V. Lauritsen

Der er et meget vigtige spørgsmål. For normalt så kan/skal man cleares på forskellige niveauer få at få adgang til f.eks TTJ, fortroligt, etc. materiale.

Så...

  • Har vikarer der ikke er blevet clearet haft adgang til materiale de ikke måtte se?

INGEN nødprocedure kan retfærdiggøre det. Måske vi taler om at "rigets sikkerhed" er blevet kompromiteret af CSC? Potentielt meget meget alvorligt.

Spændende...

Håber I følger historien helt tæt!!

  • 0
  • 0
Maxx Frøstrup

Følges denne sag tæt?
Som flere nævner er der jo netop tale om sikkerhedsbrud på højeste plan. Vi snakker jo iikke bare kommercielle interresser her men nationens sikkerhed og tilliden til at denne forvaltes efter de idealogiske principper man forbinder den danske stat med.

Og så vil jeg egentlig skide hul i CSC vs. Prosa konflikten, da denne grundlæggende ikke har noget med denne sag at gøre.

Kunne man få en tilkendegivelse fra redaktionen på om sagens alvor forståes og tages alvorligt?

  • 0
  • 0
Baldur Norddahl

Hvordan lader det sig gøre? De bortviste medarbejdere har vel ikke skulle afgive deres kodeord på vejen ud?

Og hvorfor er sådanne systemer ikke beskyttet af moderne tre-faktor (biometrisk) adgangskontrol?

  • 0
  • 0
Kenn Nielsen

Lige nu ønsker hverken Politiet og CSC at udtale sig, men det ændrer sig forhåbentligt på et tidspunkt, og så skal vi nok grave dybt.

Måske er linieafstanden for stor, men jeg læser:
"Hverken Politiet eller CSC har udsendt en pressemeddelelse vi kan videregive med kommentarer"

'nuff said.

K

  • 0
  • 1
per hansen

det sker jo stadig,,,utroligt. Hvordan opdaterer man det papir når man logger på hjemmefra?
Og hvor bliver sikkerheden af når der skal sidde udlændinge i overvågningen og passe systemerne med FUNKTIONSUSERE???
Det er da helt ude i hampen det her.
Har man onde hensigter mod de kørende systemer, både de private og de offentlige kan man nu kvit og frit lægge hele møjet ned, uden at det kan påvises hvem der har gjort det

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize