Forsvaret har lækket 46.000 værnepligtiges sundhedsdata: Lå på usikker webserver

Illustration: Forsvaret
Der er mange ubesvarede spørgsmål efter Forsvarets Personaletjenestes korte pressemeddelelse.

Ved en sikkerhedskontrol den 29. juni 2020 opdagede Forsvarets Personalestyrelse, at 45.952 helbredsskemaer har været tilgængelige via et sikkerhedshul på leverandørens webserver. Det skriver Forsvarets Personalestyrelse i en kort pressemeddelelse.

Forsvarets Personalestyrelse har underrettet de berørte danskere via e-Boks. Illustration: Screenshot fra e-Boks

»Der er tale om en meget beklagelig fejl, som vi opdagede ved en sikkerhedskontrol, da vi skulle flytte data til et nyt datacenter. Det har krævet særlig viden at opnå adgang til helbredsskemaerne, og vi har ingen indikationer på, at misbrug har fundet sted, men da vi heller ikke kan udelukke det, har vi valgt at orientere de berørte sessionssøgende om databruddet via e-Boks,« siger direktør for Personalestyrelsen, Laila Reenberg ifølge pressemeddelelsen.

Databruddet blev anmeldt til Datatilsynet, så snart personaletjenesten opdagede fejlen, ligesom adgangen til helbredsskemaerne blev fjernet, oplyses det.

Personalestyrelsen starter samtidig, med støtte fra Center for Cybersikkerhed (CFCS), en nærmere undersøgelse af databruddet, for at finde ud af om sikkerhedshullet i webserveren er blevet udnyttet og for at forebygge lignende situationer ved leverandøren af systemet i fremtiden.

»Personalestyrelsen er i dialog med leverandøren om tiltag, der kan forhindre lignende fejl i fremtiden,« skriver styrelsen endeligt.

CPR-nummer som filnavn

Forsvarets Personalestyrelse har underrettet de 46.000 berørte danskere via E-boks, og i den besked, som Version2 er i besiddelse af, kan man blandt andet læse, at der er tale om både helbredsoplysninger og CPR-nummer.

»I helbredsskemaet kan man se dine besvarelser vedr. dit helbred, mens dit navn, adresse eller CPR-nummer ikke fremgår af helbredsskemaet. Helbredsskemaet har dog dit CPR-nummer som filnavn,« skriver Forsvarets Personalestyrelse, der også nævner, at man opdagede fejlen i forbindelse med et skift af datacenter.

I underretningen beskriver Forsvaret også fejlen i lidt flere detaljer.

»En nærmere undersøgelse viste, at leverandøren fejlagtigt manglede at indføre en kode i systemet, som efter din udskrift af helbredsskemaet, skulle give en instruktion om at slette helbredsskemaet på Webserveren. Det har således aldrig været hensigten, at oplysningerne skulle opbevares på webserveren«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (18)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Anne-Marie Krogsbøll

Mon ikke et par hundreder til Datatilsynets kaffekasse er passende? Der er trods alt (sandsynligvis) ikke sket noget misbrug... det har vi ikke nogen indikationer på, skulle være sket... (og vi har selvfølgelig en log over det...)

(Sarkasme kan forekomme - undskyld).

  • 7
  • 1
#5 Mogens Lysemose

Hvad mon bødens størrelse bliver?

Tjah når den statstøttede virksomhed Danske Bank uden sanktioner kan bryde lov om finansiel virksomhed - f.eks. ved i 41 år ved at opkræve gæld de ikke har ret til, og ved at hvidvaske 1500 mia kroner fra våbensmuglere og narkohandlere, så ser det skidt ud med sandsynligheden for at nogen bekymrer sig om retstilstanden i Danmark...

  • 13
  • 2
#6 Louise Klint

Helbredskemaet ser angiveligt således ud (7 sider):

https://karriere.forsvaret.dk/globalassets/pdf/helbredssporgsskema-pdf-j...

(^^ På denne pdf skal navn, adresse og cpr tilføjes. Måske gælder det ikke onlineformularen?)

Herfra: https://karriere.forsvaret.dk/varnepligt/forsvaretsdag/helbredsskema/

https://karriere.forsvaret.dk/varnepligt/forsvaretsdag/

Skemaet skal udfyldes online her (eller via borger.dk): https://www.hss-fd.dk/

  • 1
  • 0
#15 Kristian Libo

Der nævnes at disse data var tilgængelige grundet en flytning til et nyt datacenter hos en ekstern leverandør. Dog er det lige værd at huske på at denne flytning i så fald må have taget over 1 år eftersom der behandles ca. 40.000 personer på session hvert år (ifølge Forsvaret selv) og ca. 46.000 var påvirket.

Derudover er der formentligt ikke blevet behandlet det samme antal på session i år (grundet covid-19) hvilket altså åbner op for muligheden mellem alt fra 1,5 år til lidt over 2 år (hvilket også kan bevises til nogen grad i henhold til nogle af de ramtes sessionsdatoer). I denne tid er systemet så åbenbart ikke er blevet grundigt overvåget af en intern da det virker som en relativt åbenlys ting at se (+- 46.000 pdf'er for meget i ens webserver) hvis blot man har en anelse styr på ens serverstruktur.

Undrer mig kraftigt at en flytning kan tage så lang tid medmindre fejlen eksisterede før eller at nogen håndterede personlige data så dårligt at de tilfældigvis fik dem smidt på en webserver. Begge dele vil selvfølgelig ikke undre nogen når man overvejer hvad der ellers sker af fejl og læk fra det offentlige.

Måske burde der overvejes om der ikke skulle gives bedre straf eller bøder for potentielle læk af lovpligtige data (alle unge mænd skal indlevere disse data - ligeså med andre statslige data) fremfor bøder til unge der ikke møder op til session - eller hvad vi ellers har af sjove påfund nu.

  • 4
  • 0
#17 Jarnis Bertelsen

Forsvaret, rigspolitiet og efterretningstjenesterne viser gang på gang, at de ikke formår at sikre deres data, så de ikke ender hos hackere eller fremede statsmagter. Det er mig ubegribeligt at man fortsat opretter offentlige registre med ekstremt følsomme data (fx DNA registret) med en blind tiltro til, at de ansvarlige for sikkerheden er opgaven voksen.

Har privacy-by-design tankegangen ikke løsninger, så man kan minimere skaden, hvis de forkerte får fingre i data? (ikke et retorisk, men et oprigtigt spørgsmål til dem, der ved mere om det)

  • 3
  • 0
Log ind eller Opret konto for at kommentere