It-chef i skandaleramte Randers Kommune: Jeg må være blevet informeret om datalæk

Illustration: Version2
I første omgang lød det ellers, at han ikke var blevet informeret om hændelsen. Men efter henvendelse fra en tidligere medarbejder i Randers har it-chefen ændret forklaring.

Gennem flere år er adskillige mails, der ellers skulle være endt hos xxx@randers.dk endt hos xxx@anders.dk på grund af simple slåfejl. Alt fra opsigelser til psykologregninger og informationer om løsladelse af fængselsfanger er endt hos en tilfældig borger ved navn Anders Lorensen.

Nogle data er sendt direkte fra Randers Kommunes medarbejdere, andre som følge af fejlsendte emails fra scannere/kopimaskiner på kommunen. Alt sammen dybt personfølsomt.

Da sagen rullede på Version2 i sommer, undrede det mange læsere, at Randers Kommune ikke havde handlet bedre for at stoppe lækket, nu hvor indehaveren af @anders.dk i flere omgange havde advaret kommunen om, at dybt følsomme mails endte i den forkerte indbakke.

Læs også: Indehaver af @anders.dk bombarderet med yderst følsomme hovsa-mails

Læs også: Randers Kommune sender CPR-numre i snesevis til tilfældig mand: Blev advaret om mail-problemer flere gange

Og da Version2 i sommer ringede til Randers Kommunes it-chef, Bent Højlund, fastholdt han, at han ikke var blevet informeret.

Hverken af Direktør for Social og Arbejdsmarked, Steinar Kristensen, som dengang blev advaret af Anders Lorensen om, at noget var galt, men heller ikke af hans daværende it-sikkerhedsansvarlige, Bent Rohde.

»Jeg er jo godt nok it-chef så jeg burde vide, det her var sket, men jeg har ikke hørt, det her skulle være et problem,« sagde den noget undrende it-chef, da Version2 ringede ham op i første omgang.

End ikke én de tre mails, ejeren af anders.dk havde sendt til Randers Kommune var nået helt hen til Bent Højlund som it-chef.

Det var ikke bare virkelig mærkeligt, men også forkert.

Nye informationer

Randers Kommune ønskede ikke, at Version2 tog kontakt til den nu pensionerede it-sikkerhedsansvarlige, Bent Rohde. Det skulle vi have gjort alligevel, men ikke desto mindre har Bent Rohde selv kontaktet Version2.

»Jeg er virkelig skuffet over den udtalelse, Bent Højlund gav til Version2. For som det også fremgår af vores databehandlingssystem, skrev jeg det ind i loggen dengang, og jeg informerede også både Datatilsynet og Bent Højlund,« siger Bent Rohde.

Det bekræfter Bent Højlund både i en mail til Bent Rohde, men også i et opfølgende interview med Version2:

»Jeg har haft lejlighed til at kigge i sagen, og den er kørt lige efter bogen, både med kontakt til Datatilsynet, da den opstod og så videre. Så Bent Rohde har gjort det bedste, han kunne,« siger Bent Højlund til Version2.

»Jeg kan stadig ikke huske noget med nogen sag, men det vil undre mig, hvis Bent Rohde ikke har sagt det til mig, for generelt fortalte han mig det, når der var noget. Og i sidste ende er det mit ansvar, så når han siger, han har sagt det her til mig er det nok sådan, det var,« fortsætter Bent Højlund.

»Det er ærgerligt og beklageligt.«

Læs også: ‘Naivt’ Datatilsyn kontaktede Randers Kommune om problemer med hovsa-mails allerede i 2013

Under skarp kritik

Spørgsmålet er, om den procedure, Bent Rohde fulgte så var god nok, siden han fulgte den, men problemet med vildfarne mails alligevel bestod. Ikke desto mindre er og var det Bent Højlunds ansvar.

»Jeg vil ikke løbe fra mit ansvar. Set i bakspejlet blev jeg nok informeret tilbage i 2014 og det ærgrer mig, at vi ikke finder en løsning allerede der,« siger Bent Højlund.

I forbindelse med Version2’s artikler blev der også udtrykt skarp kritik af kommunens sløvhed i forhold til at stoppe det drypvise persondatalæk.

»Randers Kommune er en stor virksomhed. De har ressourcerne til at gøre noget ved det her, de har egen it-afdeling og burde på flere måder have mulighed for at undgå læk som dette. Modsat eksempelvis en lille tomandsvirksomhed,« siger advokatpartner og specialist i it-ret i DLA Piper, Jon Lauritzen, der mener, det er juridisk skærpende, at der er tale om en større kommune.

Læs også: Kommuners ukrypterede mail-svipsere er ‘dybt ulovlige og tegn på umodenhed’

Selv sår Bent Højlund tvivl om, hvorvidt man kunne have gjort noget mere, dengang han blev informeret.

»Jeg ved ikke, om man dengang kunne have lave nogle af de tekniske løsninger, vi laver nu, men det ærgrer mig vi ikke undersøgte det til bunds,« lyder det fra Bent Højlund.

Har forsøgt at lappe hullet

Efter Version2’s artikelserie, som der er linket til ned gennem denne artikel, har Randers Kommune forsøgt at stoppe datalækket. Blandt andet har man blokeret mails fra Randers Kommune til alle @anders.dk-adresser.

Derudover kan man ikke sende mails til eksterne adresser fra kommunens printere længere.

Problemet er dog ikke løst helt. Borgere kan stadig fejlsende til @anders.dk, ligesom alle de andre domæner, der ligner @randers.dk stadig er åbne for kommunen medarbejdere.

»Uden at kende alle detaljerne i den aktuelle sag vil jeg mene, at det nytter meget lidt kun at blackliste anders.dk. Det er symptombehandling, og løser ikke hovedårsagen,« lød det det fra COO og sikkerhedskonsulent hos Improsec, Claus Vesthammer.

Sagen nåede da også op i Randers Kommunes økonomiråd, hvor Bent Højlund måtte redegøre for sagen og de forbedringer, han har forsøgt at gøre. Referatet af det møde kan læses her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (17)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jens Jönsson

"Problemet er dog ikke løst helt. Borgere kan stadig fejlsende til @anders.dk, ligesom alle de andre domæner, der ligner @randers.dk stadig er åbne for kommunen medarbejdere."

Når ret skal være ret, så er det jo ikke kommunens skyld, hvis Hr. eller Fru Hansen skriver forkert.

Hans Nielsen

Når ret skal være ret, så er det jo ikke kommunens skyld, hvis Hr. eller Fru Hansen skriver forkert.


Mulighed for krypteret mail ?

Opsigelse, psykologregninger og fængselophold skal ikke sende i klar tekst.

Du sender vel heller ikke din ansøgning om hjælp til bleskifte på et åbenbent postkort til Kommunen ?

Online formulare og nøgle til kryptering er det minste og nemmeste at lave. At det ikke er sket kan mpske betro på dovenskab eller manglende evner Eller er det begynden alzheimer ved den ansvarlige chef og leder.

At man ikke synes at v2 skulle kontakte Bent Rohde og prøver at sende aben videre, viser det nok er tilfælde her.En manglende eller forkert procedure, som ikke virker eller han ikke selv har fuldt, er jo også Bent Højlund ansvar.

-

Som kommunal betyrels ville jeg kun se 2 muligheder. Enten er man selv fedtet så meget ind i skidtet, fordi man ikke har bevilig penge og resurser til området Og man har vist helt hvordan det stod til. Eller så har man en edb chef, som jeg ikke vil lade beholde den stilling. Ikke fordi han måske ikke har passet sit job til fulde, men fordi han ikke har reporteret loyalt til ledelsen.

Ditlev Petersen

Det vil altså også være svært at gøre noget ved. Altså bortset fra at forbyde Anders at hedde anders.dk.

Måske ligger meget af problemet i hele e-bureaukratiet og e-mail i stedet for breve. Jeg har flere gange oplevet (ikke i Randers - af gode grunde), at jeg ikke kan besvare en besked, der ligger i e-boks. Muligheden er der vist nok, den kan bare ikke bruges, hvis man har behov for den. Så jeg skal skrive en e-mail til forhåbentlig syddjurs.dk, ukrypteret og med kopi til NSA og Se og Hør.

Der er vist mulighed for at sende en sikker e-mail, men det orkede jeg ikke at rode med, da jeg kom hjem fra sygehuset, og det skulle gå hurtigt.

Lasse Mølgaard

Jeg har heldigvis ikke modtaget mails, som var beregnet på mig, men hvis vi derimod snakker fejlopkald....

Jeg opsagde mit fastnet nummer, fordi der var ikke særligt mange der ringede på det nummer, som faktisk skulle have fat i mig.

Til gengæld fik jeg rigeligt med fejlopkald, fordi folk troede jeg var, bageren, tandlægen, bedemande, Borgerservice og meget andet.

Men hvad: Når ens telefonnummer endte på 211222, så må det give et fejlopkald eller to. :-)

Mogens Lysemose

Mange virksomheder har en integreret kopimaskine/printer/scanner.

Jeg bruger ofte funktionen "Scan & send to myself"; det er nemt når man logger ind med RFID i ID-kortet.

Men hvis man ikke logger ind nemt og derimod skal stave hele sin mail-adresse hver gang på et lille touch-display er det jo et oplagt sted det kan gå galt.

Lasse Mølgaard

Jeg har heldigvis ikke modtaget mails, som var beregnet på mig

Måske skulle du bare lukke kontoen?

D'oh! Man skal passe på med negationer, når man poster... :-)

Hvis jeg udelukke fik mails, der var ikke henvendt til mig, så vil jeg nok videresende det hele til et spamfilter ... eller noget. :-)

Jeg lukkede til gengæld min telefon - netop på grund af fejlopkald, og nåh ja lidt rigeligt med opkald fra "fake-Microsoft".

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder