Finanstilsynet politianmelder Topdanmark efter URL-hacking

Da nyhedsbureauet Reuters med URL-hacking fandt et regnskab på Topdanmarks servere, før det var offentliggjort, brød Topdanmark loven, mener Finanstilsynet. Topdanmark er helt uenig.

Var det et ulovligt hackerangreb, da journalister fra nyhedsbureauet Reuters gættede en webadresse og dermed kunne finde et regnskab på forsikringsselskabet Topdanmarks servere før tid?

Eller skal Topdanmark straffes for at bryde reglerne ved at sløse med sikkerheden?

Finanstilsynet hælder til det sidste.

I hvert fald er Topdanmark nu meldt til politiet for brud på loven om værdipapirhandel, og det er Topdanmark ganske uforstående over for. Firmaet ser Reuters som skurken og mener ikke, at man har overtrådt de regler, som Finanstilsynet har hevet frem i behandlingen af sagen.

»Vi har lavet en fejl, men vi har ikke forbrudt os mod reglerne,« siger Topdanmarks administrerende direktør, Christian Sagild, til Version2.

Offentliggørelsen af de fortrolige oplysninger skete 20. maj i år, kort før regnskabet for første kvartal 2010 officielt skulle fremlægges. Topdanmark havde aftalt med fondsbørsen at offentliggøre klokken 12.00, men da filen med regnskabet blev flyttet til en webserver klokken 11.43, fik Reuters' journalist minuttet efter fat i filen ved at gætte webadressen.

»Vi har et sikkert miljø, som vi bruger til disse regnskabsmeddelelser. Men ved en menneskelig fejl blev filen uploadet til en anden intern server, som ikke er lige så sikret, fordi man ville rette en teknisk fejl ved filen. Det var i strid med vores interne retningslinjer,« forklarer Christian Sagild.

Læs også: Pinligt: Topdanmarks regnskab blev URL-hacket af Reuters

Nu har Finanstilsynet så politianmeldt Topdanmark, efter også at have vendt sagen med Fondsrådet.

Ifølge en pressemeddelelse fra tilsynet har Topdanmark brudt loven ved at have videregivet oplysningerne, offentliggjort oplysningerne og ikke haft gode nok interne regler til at undgå at det skete.

»Vi mener ikke, at vi har hverken videregivet oplysninger eller offentliggjort dem. Og vores interne retningslinjer er gode nok, men de blev ikke fulgt i dette tilfælde på grund af en menneskelig fejl. Det er nogle andre, som aktivt med URL-hacking har fundet frem til filerne og mod vores protester offentliggjort dem,« siger Christian Sagild.

Han erkender, at filerne ikke var godt nok beskyttet i situationen, men mener ikke, at det rent juridisk ændrer noget.

»Man kan diskutere hængelåsens størrelse, men det ændrer ikke på, at nogen ved en aktiv handling har hentet oplysningerne. Hvor svær adressen var at gætte, er en teknikalitet, så længe at man har skullet udøve noget gætværk for at finde den,« siger Christian Sagild.

I har tidligere brugt billedet med en ulåst dør om denne situation. Så selvom man ikke skilter med, at den er ulåst, er det vel stadig jeres fejl, at der var adgang? Som forsikringsselskab ville I vel ikke give erstatning for et indbrud, hvis døren var ulåst?

»Det kan ikke sammenlignes. Vi beder ikke om erstatning, men vi siger, at vi ikke vil kriminaliseres. Det er den, der bryder ind, der bryder loven, også selvom døren ikke er låst,« siger direktøren.

Også Danisco er nu blevet politianmeldt af Finanstilsynet for en tilsvarende hændelse. Her skete den ufrivillige offentliggørelse i december 2009 i forbindelse med regnskabet for 2. kvartal 2009.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Lars Lundin

En URL er en opfordring til at hente web-serverens materiale.

At man ikke kan følge et link for at finde en given URL er ligegyldigt.

Så jeg giver hverken noget for Topdanmarks sammenligning med en hængelås, eller for deres implicitte sammenligning med at gætte for eksempel et password, som tydeligvis eksisterer for at forhindre uvedkommendes adgang.

  • 0
  • 0
#2 Knud Larsen

Det er en ommer for Topdanmark. Vi andre bliver straks mitænkelig gjort, og hvis der ikke er lås på, ja så er der ingen erstatning.

Hvis der havde været tale om, at nogen havde 'brudt ind' var sagen en anden. Så korrekt at anmelde TopDanmark de har godt af at opleve dette på egen krop!

  • 0
  • 0
#4 Anders Mikkelsen

» [...] Det er den, der bryder ind, der bryder loven, også selvom døren ikke er låst,« siger direktøren.

Det gælder måske for en dør, men det er jo faktisk ulovligt at efterlade fx en cykel ulåst.

  • 0
  • 0
#5 Anders Sørensen

De har interne regler som ikke blev fuldt, så det næste trin er vel at de indføre mere kontrol for at de bliver overholdt. Og få fyret dem som ikke kan finde ud af reglerne. At en ekstern kilde kan få fat i tingene ved at ændre url ser jeg ikke som "hacking" og det kan kun være Top Danmark og ham/dem som ikke har overholdt deres interne (og sikkerheder loven) regler som bør bøde. Jeg håber at de/dem ansvarlig(e) bliver fyret, således at virksomhederne ikke bliver tvunget til mer' kontrol for at undgå sagsanlæg.

  • 0
  • 0
#6 Rasmus Rask

Enig.

At der er sket en fejl, er en ringe undskyldning.

Hvis Finanstilsynet så igennem fingre med det her, ville der jo være carte blanche for alle virksomheder til at videregive insider-information:

Læg det blot op på firmaets hjemmeside for tidligt på en obskur URL og læk denne.

Påstå herefter at alle som har hentet filerne (som det ikke var tiltænkt skulle kende URL'en), må være 'hackere'.

  • 0
  • 0
#7 Philip Grove

Der er dømt ommer til Version2, giv os hele historien eller slet ikke noget. Og få så styr på de tekniske begreber, I er et teknisk nyhedsmedie så undskyldningen er ikke eksisterende. Der er ikke tale om nogen form for hacking, der er tale om en person der har gættet sig frem til det korrekte link ud fra et tidligere link.

Den del historien hvor en juraprofessor erklærer sig uenig med Finanstilsynets vurdering mangler. Det vigtige punkt er at flytte oplysninger fra en intern server til en mindre beskyttet server ikke kan sidestilles med videregivelse eller offentliggørelse,

Vi mangler også den del af historien hvor Topdanmark kontakter Nasdaq OMX og de mener at Topdanmark har håndteret situationen korrekt.

  • 0
  • 0
Log ind eller Opret konto for at kommentere