Forsvaret har lækket 46.000 værnepligtiges sundhedsdata: Lå på usikker webserver

Hvad mon bødens størrelse bliver?

Hvad mon bødens størrelse bliver?

Bøder virker ikke. Gråt papir.

Mon ikke et par hundreder til Datatilsynets kaffekasse er passende? Der er trods alt (sandsynligvis) ikke sket noget misbrug... det har vi ikke nogen indikationer på, skulle være sket... (og vi har selvfølgelig en log over det...)

(Sarkasme kan forekomme - undskyld).

Men det er da lidt usædvanligt, at man underretter de berørte, og forresten indrømmer, at man ikke VED, om der faktisk er sket en læk, og derfor heller ikke kan udelukke det.

Hvad mon bødens størrelse bliver?

Tjah når den statstøttede virksomhed Danske Bank uden sanktioner kan bryde lov om finansiel virksomhed - f.eks. ved i 41 år ved at opkræve gæld de ikke har ret til, og ved at hvidvaske 1500 mia kroner fra våbensmuglere og narkohandlere, så ser det skidt ud med sandsynligheden for at nogen bekymrer sig om retstilstanden i Danmark...

Helbredskemaet ser angiveligt således ud (7 sider):

https://karriere.forsvaret.dk/globalassets/pdf/helbredssporgsskema-pdf-j...

(^^ På denne pdf skal navn, adresse og cpr tilføjes. Måske gælder det ikke onlineformularen?)

Herfra: https://karriere.forsvaret.dk/varnepligt/forsvaretsdag/helbredsskema/

https://karriere.forsvaret.dk/varnepligt/forsvaretsdag/

Skemaet skal udfyldes online her (eller via borger.dk): https://www.hss-fd.dk/

»"En nærmere undersøgelse viste, at leverandøren fejlagtigt manglede at indføre en kode i systemet, som efter din udskrift af helbredsskemaet, skulle give en instruktion om at slette helbredsskemaet på Webserveren " Er det ikke en funktionalitet som er relativt let at teste? Men man tester måske ikke mere?

»"En nærmere undersøgelse viste, at leverandøren fejlagtigt manglede at indføre en kode i systemet, som efter din udskrift af helbredsskemaet, skulle give en instruktion om at slette helbredsskemaet på Webserveren " Er det ikke en funktionalitet som er relativt let at teste? Men man tester måske ikke mere?

»"En nærmere undersøgelse viste, at leverandøren fejlagtigt manglede at indføre en kode i systemet, som efter din udskrift af helbredsskemaet, skulle give en instruktion om at slette helbredsskemaet på Webserveren " Er det ikke en funktionalitet som er relativt let at teste? Men man tester måske ikke mere?

»"En nærmere undersøgelse viste, at leverandøren fejlagtigt manglede at indføre en kode i systemet, som efter din udskrift af helbredsskemaet, skulle give en instruktion om at slette helbredsskemaet på Webserveren " Er det ikke en funktionalitet som er relativt let at teste? Men man tester måske ikke mere?

»"En nærmere undersøgelse viste, at leverandøren fejlagtigt manglede at indføre en kode i systemet, som efter din udskrift af helbredsskemaet, skulle give en instruktion om at slette helbredsskemaet på Webserveren " Er det ikke en funktionalitet som er relativt let at teste? Men man tester måske ikke mere?

Jeg tror også, at Version2 mangler en test på multipost. ;-)

--- kræver det vel normalt et login for at kunne tilgå data - eller har jeg misforstået noget?

Hvis login kræves må det vel være en ret begrænset kreds der har haft adgang.

idet der jo blot er tale om en delmængde af det Forsvarets Efterretningstjeneste syntes amerikanerne skolle have fat i.

:)

Der nævnes at disse data var tilgængelige grundet en flytning til et nyt datacenter hos en ekstern leverandør. Dog er det lige værd at huske på at denne flytning i så fald må have taget over 1 år eftersom der behandles ca. 40.000 personer på session hvert år (ifølge Forsvaret selv) og ca. 46.000 var påvirket.

Derudover er der formentligt ikke blevet behandlet det samme antal på session i år (grundet covid-19) hvilket altså åbner op for muligheden mellem alt fra 1,5 år til lidt over 2 år (hvilket også kan bevises til nogen grad i henhold til nogle af de ramtes sessionsdatoer). I denne tid er systemet så åbenbart ikke er blevet grundigt overvåget af en intern da det virker som en relativt åbenlys ting at se (+- 46.000 pdf'er for meget i ens webserver) hvis blot man har en anelse styr på ens serverstruktur.

Undrer mig kraftigt at en flytning kan tage så lang tid medmindre fejlen eksisterede før eller at nogen håndterede personlige data så dårligt at de tilfældigvis fik dem smidt på en webserver. Begge dele vil selvfølgelig ikke undre nogen når man overvejer hvad der ellers sker af fejl og læk fra det offentlige.

Måske burde der overvejes om der ikke skulle gives bedre straf eller bøder for potentielle læk af lovpligtige data (alle unge mænd skal indlevere disse data - ligeså med andre statslige data) fremfor bøder til unge der ikke møder op til session - eller hvad vi ellers har af sjove påfund nu.

Har hurtigt indset at flytningen blot var årsagen til at man opdagede denne fejl. Dette ændrer dog ikke meget på tidsberegningen som fortsat må gælde hvorfor fejlen har været der i 1,5 til 2 år.

Forsvaret, rigspolitiet og efterretningstjenesterne viser gang på gang, at de ikke formår at sikre deres data, så de ikke ender hos hackere eller fremede statsmagter. Det er mig ubegribeligt at man fortsat opretter offentlige registre med ekstremt følsomme data (fx DNA registret) med en blind tiltro til, at de ansvarlige for sikkerheden er opgaven voksen.

Har privacy-by-design tankegangen ikke løsninger, så man kan minimere skaden, hvis de forkerte får fingre i data? (ikke et retorisk, men et oprigtigt spørgsmål til dem, der ved mere om det)

Onlineformularen hentede selv data fra en database. Man skulle blot bekræfte man var den person, der stod på siden.

Jeg udfyldte den selv for 2 år siden, og er blandt dem, hvis sundhedsdata er vulnerable.