Sådan røg Energinet.dk's adgang til kritisk Datahub ud til alverden

Illustration: leowolfert/Bigstock
Det var en fejl i opsætningen af Natur-Energis supportsystem, som blotlagde en medarbejders adgangskode til Energinet.dks datahub.

Elselskabet Natur-Energi gjorde det muligt for principielt alle og enhver at få adgang til at se oplysningerne om alle danske husstande og virksomheders elforbrug og potentielt sætte gang i skift af elselskab. Foreløbig tyder alt dog på, at sikkerhedsbristen ikke er blevet misbrugt.

»Vi er i gang med en udredning sammen med Natur-Energi. Vi skal være helt sikre på, at der ikke er sket misbrug. Vi har tjekket vores logfiler, og adgangen er udelukkende blevet brugt til at kigge. Der er intet, der tyder på misbrug, heller ikke af adgangen til at se oplysninger« siger markedsdirektør Søren Dupont Kristensen fra Energinet.dk's eldivision til Version2.

Læs også: Systemansvarlig om password-brøler: »Helt utilgiveligt«

Energinet.dk administrerer den såkaldte Datahub, hvor oplysninger om samtlige danske elkunder er samlet. Her kan man blandt andet se forbrug, og det er også muligt at skifte elselskab. Adgangen er begrænset til medarbejdere hos energiselskaberne.

Udredningen er endnu ikke afsluttet, men indtil videre ser det ud til, at det kun har været en medarbejder fra Natur-Energi, som har benyttet systemet, og der er ikke blevet igangsat nogen forretningsprocesser, som eksempelvis at skifte elselskab eller kontraktform.

Problemet opstod i forbindelse med en systemopdatering hos Natur-Energi. En fejl i opsætningen betød, at selskabets e-mailsupportsystem kunne tilgås via dybe links. Det indebar blandt andet, at cirka 1.000 kunders supportsager var blotlagt i tre uger. Det er en sag, som Natur-Energi nu er i dialog med Datatilsynet om.

En medarbejder hos Natur-Energi havde i ét af de dokumenter, som blev blotlagt, nedskrevet sit personlige login til Energinet.dk's datahub, hvor adgangskoden var Naturenergi2013.

»Det er ikke god skik at nedskrive et kodeord. Det har vi også kommunikeret til hele branchen,« siger Søren Dupont Kristensen fra Energinet.dk.

Til trods for det generisk lydende kodeord, så har hver medarbejder i et elselskab et personligt login til datahubben. Medarbejderne må således ikke dele deres kodeord med andre.

Samtidig er systemet sat sådan op, at man kun kan logge ind på datahubben fra en IP-adresse, der optræder på en liste over IP-adresser, der tilhører de tilmeldte elselskaber.

I den konkrete sag var det imidlertid ifølge MX.dk muligt at få en IP-adresse, som optrådte på listen over godkendte adresser, blot ved at logge på Natur-Energis trådløse gæstenetværk med en adgangskode, som selskabet oplyste til avisen.

Natur-Energi har ifølge Energinet.dk efterfølgende skiftet adgangskoderne og lukket for adgangen til supportdokumenterne. Men der følger fortsat et udredningsarbejde i kølvandet på sikkerhedsbristen.

Blandt andet skal logfilerne gennemgås grundigt for at være helt sikre på, at det kun har været den konkrete medarbejder, som har brugt login-oplysningerne til at se dokumenter hos Energinet.dk, og ikke eksterne personer, som har fået adgang via de lækkede oplysninger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere