It-afdelingen i Kalundborg Kommune kom på overarbejde, da kommunen i november gav en journalist adgang til en FTP-server, hvor en hel kundeservice-database lå ukrypteret.
På serveren lå der nemlig ud over det materiale, journalisten havde fået aktindsigt i, administrator konti samt passwords til adskillige systemkonti på tværs af kommunen samt tusindvis af følsomme oplysninger.
Der var tale om så mange konti, at det tog fem dage før de mange lokale admin passwords var ændret. Det viser dokumenter over sagens forløb, som Version2 har fået aktindsigt i.
»Der foreligger ikke frygt for genbrug af password, vi har dog - for at udelukke enhver tvivl som kan skabe utryghed hos borgere og virksomheder - valgt at skifte password på alle administratorkonti samt konti som har været en del af Kalundborg Kommunes sikkerhedshændelse,« skriver kommunens kommunikationschef Tea Hviid i en mail til Version2.
Menneskelige fejl gav adgang til databasen
Forløbet startede, da Kalundborg d. 27. november gav en journalist fra Børsen adgang til FTP-serveren, som kommunen brugte til at overføre store filer og datasæt internt og eksternt.
Kommunen havde tidligere forsøgt at overføre omkring 600 megabyte dokumenter, som journalisten skulle have på baggrund af en aktindsigt, via Digital Post systemet, men dokumenterne nåede aldrig frem. Derfor uploadede kommunen dem til FTP-serveren og bad journalisten kontakte dem, når filerne var kopieret, så de kunne slettes fra serveren igen.
Journalisten gik derefter på opdagelse på FTP-serveren. Her fandt vedkommende bl.a. en mappe med databasen bag et af kommunens supportsystemer, samt personfølsomme data om misbrug, anbragte børn og en række CPR-numre.
Mappen lå der, fordi FTP-serveren er blevet brugt uhensigtsmæssigt og på grund af en serie menneskelige fejl, fremgår det af et mødereferat mellem kommunen og datatilsynet. Databasen skulle overføres til en ny hosting-leverandør og var tilsyneladende blevet glemt, men den ene usikre overførsel blev skyld i de næste ugers omfattende password-skift og incident responses.
Kalundborg Kommune holder fast i, at serveren ikke var usikker, og at adskillige automatiserede forsøg på adgang til serveren er blevet stoppet før den blev lukket. Serveren var beskyttet af et 14-cifret kodeord, som journalisten fik tilsendt i en email i klartekst, som Version2 har set.
Skolesystemer også ramt
Børsen gjorde kommunen bekendt med, at det kompromitterende materiale lå tilgængeligt for dem den 12. december, og 18 minutter senere hev de stikket til FTP-serveren.
Det fremgår af en handlingsplan at kommunens it-afdeling derefter begyndte en undersøgelse af sikkerhedsbruddets omfang og at danne sig et overblik over hvilke filer, der lå på serveren samt hvem der ellers havde kigget i andre mapper end der var tiltænkt dem, når de havde fået adgang til serveren.
Problemet var bare, at FTP-serveren kun gemte adgangs-logs i 14 dage, så de begyndte at undersøge om tidligere logs kunne genskabes.
»Der har ikke været en teknisk log på mere end 14 dage da FTP-serverens oprindelige formål var til brug for udveksling af GIS-data (geografisk informationssystem data red.),« skriver Hviid.
Først tre dage efter FTP-serverens lukning begyndte kommunen at nulstille passwords og eksterne konsulenters adgang til sine systemer.
Det fremgår også af handlingsplanen, at lokaladministrator kodeord til alle kommunens skoler skulle ændres, og at det tog fem dage for it-afdelingen at ændre alle de kodeord, som de mente var kompromitteret.
Datatilsynet undersøger stadig sagen
Datatilsynet er stadig i gang med en undersøgelse af forløbet, men efter at have hørt kommunens forklaring af hændelserne på et møde d. 10 januar gjorde tilsynet det klart, at kommunen kan forvente kritik, når undersøgelsen er færdig.
Styrelsen anbefaler kommunen at overveje, hvordan de kan hjælpe deres borgere ved potentielt identitetstyveri, hvordan de vil informere nuværende og tidligere medarbejdere der kan være berørte af hændelsen.
Det fremgår også på dette møde at Børsen på tidspunktet var i besiddelse af de følsomme oplysninger selvom kommunen har bedt dem slette dem. Datatilsynet beder kommunen anmode oplysningerne slettet igen, men at tilsynet er villig til at se på den del af sagen, hvis Børsen ikke sletter oplysningerne.
For at undgå lignende sikkerhedsbrud i fremtiden, fortsætter kommunen sikkerhedskurser for ansatte i hele organisationen og kigger på tekniske løsninger og nye procedurer, der kan minimere muligheden for menneskelige fejl, skriver kommunen.
Kalundborg Kommune har bedt 17 personer, der har haft adgang til FTP-serveren, underskrive en tro- og loveerklæring om, at de kun har brugt adgangen til sig selv og kun til det aftalte formål.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
