Forlig slår fast: Kommune brød loven, da den sendte it-konsulent ind på skole med skjult kamera

hvor det så ikke gik udover testeren

Jeg synes at det er uheldigt at kommunen ”bare lægger sig fladt ned” og siger undskyld. Kommunen har vel bare gjort sin pligt og undersøgt om ”tingene er i orden”.

Vi er nødt til at ”se osten og ikke hullerne i osten”. Faktum er at Nyborg kommunes IT-afdeling bad it-konsulentfirmaet om at teste sikkerheden og at få forløbet optaget via skjult kamera. Og it-konsulentfirmaet har jo ikke gjort noget som en hacker ikke ville have gjort – her har de bare fået lov på forhånd.

Problemets kerne er at Nyborg kommune ville undersøge om skolen passede ordentligt på de fortrolige oplysninger som skolen er betroet. Som jeg forstår det, så ”bestod” skolen testen.

Men lige pludselig drejer det sig om, om den optagelse er OK eller ikke - og ikke om der kan udføres identitetstyveri imod optil 2000 forældre til børn på skolen! Det er da en større nyhed at skolen rent faktisk ikke faldt igennem testen.

Det er vel på grænsen til det man ellers på engelsk kalder Entrapment? Hvilket i bund og grund er ulovligt her i landet.

Det er vel på grænsen til det man ellers på engelsk kalder Entrapment?

Jeg synes ikke at artiklen angiver at der har været tilskyndelser til at begå ulovligheder. Så det er nok at stramme skruen, at kalde dette for entrapment.

Det er meget godt og vigtigt, at I skriver om det, V2.
For mig kom det som en slags Breaking News, da jeg så det sent fredag:
https://www.dr.dk/nyheder/regionale/fyn/kommune-ville-teste-skoleleder-p...

Fordi her er en afgørelse, som klart fastslår, at man er gået for vidt.

Og fordi sagen også er et billede på, hvad der sker,
når man (i den offentlige sektor) foretager it-sikkerhedsundersøgelser,
uden at medarbejderne ved det eller er varslet.
Som er en parallel til, hvad efterretningstjenesten netop har fået lov til at gøre.

Denne sag kom frem i begyndelsen af året, netop som forsvarsministeren havde fremlagt lovforslaget, L 215, der, med § 6a, giver Forsvarets Efterretningstjeneste/ CFCS lov til at gøre noget tilsvarende over for intetanende medarbejdere.
05.02.19: https://www.dr.dk/nyheder/indland/kommune-ville-fuppe-folkeskole-gik-und...
03.02.19: https://politiken.dk/indland/art7015860/Tillid-til-din-kollega-kan-koste...
https://politiken.dk/indland/art7015869/Cyberf%C3%A6lder-for-ansatte-vir...
04.02.19: https://www.version2.dk/artikel/cfcs-vil-simulere-phishing-angreb-bruge-...
L 215, vedtaget: https://www.ft.dk/samling/20181/lovforslag/L215/index.htm

På den vis fungerer denne sag som en case på, hvad der sker,
når man bærer sig ad på denne facon.
Hvad sker der?
Der sker det, at:
1) Man går for vidt. (Det må man bagefter erkende).
2) Man må betale bod.
3) Man smadrer tilliden.

^^ I sagen her, fra Nyborg, foregik det analogt, så at sige; man mødte personligt op, uanmeldt og med falske identitetskort, en falsk dækhistorie samt skjult kamera.
Det var en privat virksomhed, som var hyret af kommunen og agerede på deres instruks og aftale.

Skolelederen gik ikke i fælden.
Han gjorde alting rigtigt og kompromitterede ikke it-sikkerheden på sin arbejdsplads. Men efterfølgende var han rystet.
Det var et stort tillidsbrud fra hans arbejdsgiver, kommunen, at de var gået bag hans ryg på denne måde, og han var sygemeldt i 5 uger. Og i dag, et år efter, er de stadig mærket af det i organisationen.

Hvordan forestiller man sig så, at det vil blive modtaget,
når det er en efterretningstjeneste, som må gøre akkurat det samme?

Som Forsvarets Efterretningstjeneste/Center For Cybersikkerhed må gøre det,
med L 215, § 6a – bare digitalt.
På samme måde gå bag medarbejdernes ryg, uden at de ved besked, for at teste dem og prøve at lokke dem i en fælde. Bruge falsk identitet og social engineering, udgive sig for at være en kollega, mv.
Gæt engang...

Sagen her resulterede i et forlig på 70.000 kroner mellem en lang række parter:
De to berørte ansatte samt Nyborg Kommune, KL, Lærernes Centralorganisation, Skolelederforeningen, HK Kommunal og de faglige organisationers Forhandlingsfællesskabet.

Derfor synes jeg, at det er en vigtig sag og afgørelse, som man skulle
tage ad notam inde i Forsvarsministeriet.
Lære af andres fejl.
Før Staten selv skal til at føre sager, som i dette ^^ tilfælde.
Betale bod og efterfølgende erkende, at man er gået for vidt.
Samt smadre tilliden.
Som det er sket i Nyborg.

Her er potentielt også en lang række organisationer – og egne medarbejdere – som Staten kan komme til at lægge sig ud med, skulle føre sager med eller smadre tilliden overfor.
Ud over KL og HK kunne det, realistisk set, være DJØF? Lægeforeningen? Dansk Sygepleje Råd? (Fortsæt selv).

Er det det, Staten ønsker?
Det kan jeg ikke forestille mig.
Derfor kan man endnu nå at omgøre loven.
Slette § 6a (stk. 2, nr. 2 og 3), således efterretningstjenesten ikke skal udføre sikkerhedstekniske undersøgelser imod civilbefolkningen. På arbejdspladserne, bag medarbejdernes ryg.

Jeg synes, man skulle tænke sig grundigt om.
Være fornuftig og handle rationelt, nu, mens tid er.

Der er for mange amatører.

Det hedder audit og er standardiseret. Der er ganske faste regler for hvordan man går frem og udfører et audit og Dansk kvalitet og DIEU har i årevis uddannet sådanne personer - jeg er en af dem.
man kommer ikke uanmeldt. (Man har tavshedspligt.)

Det betyder bare at næste gang skjules optagelserne bedre og resultatet deles ikke.

Hvad er meningen så med en kontrol hvis den er varslet?
Det nytter jo ikke noget at teste procedurer osv. når folk ved at de bliver kontrolleret, så giver det ikke et retvisende billede, da folk i sådan et tilfælde i langt størstedelen af tilfældende vil oppe sin indsats og gøre det bedre end hvis det var uanmeldt..

Det er vel det samme som når Fødevarestyrelsen tager på uanmeldt besøg hos en virksomhed.. Der får man det rette billede af hvordan tingene er, det havde man ikke gjort hvis virksomheden var bekendt med besøget, da de i så fald havde haft tid til at få bragt tingene i orden.

Hvad er meningen så med en kontrol hvis den er varslet?
Det nytter jo ikke noget at teste procedurer osv. når folk ved at de bliver kontrolleret, så giver det ikke et retvisende billede, da folk i sådan et tilfælde i langt størstedelen af tilfældende vil oppe sin indsats og gøre det bedre end hvis det var uanmeldt..

Det er jo netop det, det handler om: At gøre det bedre.
Dette er ikke kontrol.
Meningen er: At lære.
(En test for at lære. Det er en undersøgelse, ikke kontrol).
Det handler om at blive bedre.
Således medarbejderne har fokus på it-sikkerhed, kender faldgruberne og gør deres bedste for at opretholde sikkerheden, nu og fremadrettet.

Ikke at hænge nogen ud.

Det var også konklusionen i Nyborg:

Kommunaldirektøren bedyrer, at man i den mellemliggende periode har lært af sagen, og at noget lignende ikke kan ske igen.
De har lavet tydelige retningslinjer, som ikke skulle kunne misforstås.
- Hvis man skal lave kontrolbesøg, skal de være varslede.
Det skal ikke handle om at lave angreb på hinanden,
det skal handle om at lære af hinanden, fortæller han.

Han tror også, at medarbejderne kommer til at genoprette tilliden til kommunes it-afdeling igen.
- Hvis man kommer på en institution, så skal de vide det i forvejen,
og det vil alle medarbejdere vide, så det er noget, der skal foregå i et samarbejde fremover,
siger kommunaldirektør Lars Svenningsen.

08.11.19: https://www.dr.dk/nyheder/regionale/fyn/kommune-ville-teste-skoleleder-p...

Du kommer, for mig at se, til at blande ting sammen:
A) ^^ Sagen fra Nyborg handler om at teste og forbedre
it-sikkerheden på kommunens faciliteter.
Dette er en intern, forebyggende indsats.

B) Fødevarestyrelsen skal kontrollere om virksomhederne efterlever lovgivningen.
(Statslig myndighed, med eksternt, landsdækkende ansvar for kontrol af sikkerheden).
Det er to forskellige funktioner.