Forlig slår fast: Kommune brød loven, da den sendte it-konsulent ind på skole med skjult kamera

Det er ikke unormalt, at virksomheder tester deres sikkerhed med såkaldt red-teaming. Men lige i det her tilfælde var det ulovligt.

Fuld tilståelse og en bøde på 70.000 kroner. Sådan lyder afslutningen på en årelang strid mellem Nyborg Kommune og en af kommunens skoler, skriver Fyens Amts Avis.

Kommunen ønskede at teste sikkerheden på en af de lokale skoler, 4Kløverskolen, med et uanmeldt besøg af en it-konsulent, der med skjult kamera i hånden afprøvede skolens it-procedurer.

Læs også: Offer for ransomware tog hævn: Hackede hackerne og offentliggjorde krypteringsnøglerne

Uheldigt forløb

Blandt andre blev der spioneret på skoleleder Palle Graae Nielsen og skolesekretær Lone Nellemann Ølgaard, men nu erkender Nyborg Kommune altså, at »datasikkerhedsundersøgelsen har haft et ekstraordinært og uheldigt forløb«.

»Vi anerkender, at de skjulte videooptagelser, der blev foretaget uden at varsle medarbejderne, var et brud på aftalen om kontrolforanstaltninger. Det var den forkerte måde at gøre det på,« siger Lars Svenningsen, der er kommunaldirektør i Nyborg Kommune.

Læs også: Jeg vil nu iføre mig sørgebind: L215 om Center for Cybersikkerhed, CFCS, blev vedtaget i denne uge

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
René Nielsen

Jeg synes at det er uheldigt at kommunen ”bare lægger sig fladt ned” og siger undskyld. Kommunen har vel bare gjort sin pligt og undersøgt om ”tingene er i orden”.

Vi er nødt til at ”se osten og ikke hullerne i osten”. Faktum er at Nyborg kommunes IT-afdeling bad it-konsulentfirmaet om at teste sikkerheden og at få forløbet optaget via skjult kamera. Og it-konsulentfirmaet har jo ikke gjort noget som en hacker ikke ville have gjort – her har de bare fået lov på forhånd.

Problemets kerne er at Nyborg kommune ville undersøge om skolen passede ordentligt på de fortrolige oplysninger som skolen er betroet. Som jeg forstår det, så ”bestod” skolen testen.

Men lige pludselig drejer det sig om, om den optagelse er OK eller ikke - og ikke om der kan udføres identitetstyveri imod optil 2000 forældre til børn på skolen! Det er da en større nyhed at skolen rent faktisk ikke faldt igennem testen.

  • 3
  • 2
Louise Klint

Det er meget godt og vigtigt, at I skriver om det, V2.
For mig kom det som en slags Breaking News, da jeg så det sent fredag:
https://www.dr.dk/nyheder/regionale/fyn/kommune-ville-teste-skoleleder-p...

Fordi her er en afgørelse, som klart fastslår, at man er gået for vidt.

Og fordi sagen også er et billede på, hvad der sker,
når man (i den offentlige sektor) foretager it-sikkerhedsundersøgelser,
uden at medarbejderne ved det eller er varslet.
Som er en parallel til, hvad efterretningstjenesten netop har fået lov til at gøre.

Denne sag kom frem i begyndelsen af året, netop som forsvarsministeren havde fremlagt lovforslaget, L 215, der, med § 6a, giver Forsvarets Efterretningstjeneste/ CFCS lov til at gøre noget tilsvarende over for intetanende medarbejdere.
05.02.19: https://www.dr.dk/nyheder/indland/kommune-ville-fuppe-folkeskole-gik-und...
03.02.19: https://politiken.dk/indland/art7015860/Tillid-til-din-kollega-kan-koste...
https://politiken.dk/indland/art7015869/Cyberf%C3%A6lder-for-ansatte-vir...
04.02.19: https://www.version2.dk/artikel/cfcs-vil-simulere-phishing-angreb-bruge-...
L 215, vedtaget: https://www.ft.dk/samling/20181/lovforslag/L215/index.htm

På den vis fungerer denne sag som en case på, hvad der sker,
når man bærer sig ad på denne facon.

Hvad sker der?
Der sker det, at:
1) Man går for vidt. (Det må man bagefter erkende).
2) Man må betale bod.
3) Man smadrer tilliden.

^^ I sagen her, fra Nyborg, foregik det analogt, så at sige; man mødte personligt op, uanmeldt og med falske identitetskort, en falsk dækhistorie samt skjult kamera.
Det var en privat virksomhed, som var hyret af kommunen og agerede på deres instruks og aftale.

Skolelederen gik ikke i fælden.
Han gjorde alting rigtigt og kompromitterede ikke it-sikkerheden på sin arbejdsplads. Men efterfølgende var han rystet.
Det var et stort tillidsbrud fra hans arbejdsgiver, kommunen, at de var gået bag hans ryg på denne måde, og han var sygemeldt i 5 uger. Og i dag, et år efter, er de stadig mærket af det i organisationen.

Hvordan forestiller man sig så, at det vil blive modtaget,
når det er en efterretningstjeneste, som må gøre akkurat det samme?

Som Forsvarets Efterretningstjeneste/Center For Cybersikkerhed må gøre det,
med L 215, § 6a – bare digitalt.
På samme måde gå bag medarbejdernes ryg, uden at de ved besked, for at teste dem og prøve at lokke dem i en fælde. Bruge falsk identitet og social engineering, udgive sig for at være en kollega, mv.
Gæt engang...

Sagen her resulterede i et forlig på 70.000 kroner mellem en lang række parter:
De to berørte ansatte samt Nyborg Kommune, KL, Lærernes Centralorganisation, Skolelederforeningen, HK Kommunal og de faglige organisationers Forhandlingsfællesskabet.

Derfor synes jeg, at det er en vigtig sag og afgørelse, som man skulle
tage ad notam inde i Forsvarsministeriet.

Lære af andres fejl.
Før Staten selv skal til at føre sager, som i dette ^^ tilfælde.
Betale bod og efterfølgende erkende, at man er gået for vidt.
Samt smadre tilliden.

Som det er sket i Nyborg.

Her er potentielt også en lang række organisationer – og egne medarbejdere – som Staten kan komme til at lægge sig ud med, skulle føre sager med eller smadre tilliden overfor.
Ud over KL og HK kunne det, realistisk set, være DJØF? Lægeforeningen? Dansk Sygepleje Råd? (Fortsæt selv).

Er det det, Staten ønsker?
Det kan jeg ikke forestille mig.
Derfor kan man endnu nå at omgøre loven.
Slette § 6a (stk. 2, nr. 2 og 3), således efterretningstjenesten ikke skal udføre sikkerhedstekniske undersøgelser imod civilbefolkningen. På arbejdspladserne, bag medarbejdernes ryg.

Jeg synes, man skulle tænke sig grundigt om.
Være fornuftig og handle rationelt, nu, mens tid er.

  • 1
  • 0
Knud Larsen

Der er for mange amatører.

Det hedder audit og er standardiseret. Der er ganske faste regler for hvordan man går frem og udfører et audit og Dansk kvalitet og DIEU har i årevis uddannet sådanne personer - jeg er en af dem.
man kommer ikke uanmeldt. (Man har tavshedspligt.)

  • 2
  • 1
Tajs Phillip Nielsen

Hvad er meningen så med en kontrol hvis den er varslet?
Det nytter jo ikke noget at teste procedurer osv. når folk ved at de bliver kontrolleret, så giver det ikke et retvisende billede, da folk i sådan et tilfælde i langt størstedelen af tilfældende vil oppe sin indsats og gøre det bedre end hvis det var uanmeldt..

Det er vel det samme som når Fødevarestyrelsen tager på uanmeldt besøg hos en virksomhed.. Der får man det rette billede af hvordan tingene er, det havde man ikke gjort hvis virksomheden var bekendt med besøget, da de i så fald havde haft tid til at få bragt tingene i orden.

  • 6
  • 0
Louise Klint

Hvad er meningen så med en kontrol hvis den er varslet?
Det nytter jo ikke noget at teste procedurer osv. når folk ved at de bliver kontrolleret, så giver det ikke et retvisende billede, da folk i sådan et tilfælde i langt størstedelen af tilfældende vil oppe sin indsats og gøre det bedre end hvis det var uanmeldt..

Det er jo netop det, det handler om: At gøre det bedre.
Dette er ikke kontrol.
Meningen er: At lære.
(En test for at lære. Det er en undersøgelse, ikke kontrol).
Det handler om at blive bedre.
Således medarbejderne har fokus på it-sikkerhed, kender faldgruberne og gør deres bedste for at opretholde sikkerheden, nu og fremadrettet.

Ikke at hænge nogen ud.

Det var også konklusionen i Nyborg:

Kommunaldirektøren bedyrer, at man i den mellemliggende periode har lært af sagen, og at noget lignende ikke kan ske igen.
De har lavet tydelige retningslinjer, som ikke skulle kunne misforstås.
- Hvis man skal lave kontrolbesøg, skal de være varslede.
Det skal ikke handle om at lave angreb på hinanden,
det skal handle om at lære af hinanden, fortæller han.

Han tror også, at medarbejderne kommer til at genoprette tilliden til kommunes it-afdeling igen.
- Hvis man kommer på en institution, så skal de vide det i forvejen,
og det vil alle medarbejdere vide, så det er noget, der skal foregå i et samarbejde fremover,
siger kommunaldirektør Lars Svenningsen.

08.11.19: https://www.dr.dk/nyheder/regionale/fyn/kommune-ville-teste-skoleleder-p...

Du kommer, for mig at se, til at blande ting sammen:
A) ^^ Sagen fra Nyborg handler om at teste og forbedre
it-sikkerheden på kommunens faciliteter.
Dette er en intern, forebyggende indsats.

B) Fødevarestyrelsen skal kontrollere om virksomhederne efterlever lovgivningen.
(Statslig myndighed, med eksternt, landsdækkende ansvar for kontrol af sikkerheden).
Det er to forskellige funktioner.

  • 1
  • 1
Log ind eller Opret konto for at kommentere