Kalundborg Kommune: Tusindvis af fortrolige filer lagt op usikret på server
Kalundborg Kommune har ved en fejl lagt 50.000 filer med blandt cpr-numre, administratorkoder og lønoplysninger op usikret på en ftp-server.
Serveren er blandt andet blevet brugt af kommunens jurister til at kommunikere med borgere, der har søgt aktindsigt, og virksomheder, der har skullet aflevere store mængder data til kommunen.
Kommunaldirektør Jan Lysgaard Thomsen understreger, at ftp-serveren har været sikret.
»De automatiserede forsøg på adgang som alle kommuner og virksomheder dagligt oplever mod deres it-systemer er også mod denne server blevet stoppet,« siger han ifølge en meddelelse.
»Databristen består i, at en database ved en menneskelig fejl bliver placeret ikke-krypteret på ftp-serveren. Altså en sikret server, men med ikke-krypterede data. Der er en væsentlig forskel, fordi vi taler om en menneskelig fejl - ikke om en system-fejl eller mangel på procedurer,« tilføjer han.
Ukendt hvor mange der har haft adgang
Borgere og virksomheder har længe fået tildelt samme brugernavn og adgangskode til serveren, men kommunen kan endnu ikke sige, hvor mange der har haft adgang til den.
I alt blev omkring 10.000 mapper med 50.000 filer lagt op på serveren. Ud over flere tusindes ansatte og borgeres personnumre så rummer filer på serveren også oversigter over kommunens it-infrastruktur med servernavne, ip-adresser, dokumenter og administratorkoder.
»Vi er dybt kede af det her og skal selvfølgelig beklage mange gange. Straks vi blev opmærksomme på problemet, har vi trukket stikket på den berørte server,« siger kommunaldirektør i Kalundborg Kommune Jan Lysgaard Thomsen til Børsen.
Kommunen har spærret adgangen til serveren, efter at Børsen i tirsdags gjorde dem opmærksomme på sikkerhedsbristen. De arbejder nu på at få et overblik over, hvor mange der har haft adgang til serveren.
En ansat, der tog backup af it-afdelingens kommunikation med blandt andet ansatte og eksterne samarbejdspartnere de seneste tre år, er efter sigende skyld i lækagen.
Børsen opdagede lækagen, fordi avisen fik et password til ftp-serveren, hvor en række offentlige filer blev placeret til brug for aktindsigt.
»I de 14 dage, hvor Børsen havde adgang til serveren, var der pga. en menneskelig fejl også en mulighed for adgang til bl.a. personfølsomme datafiler. Vi kan se i vores it-systemers logfiler, at det i den pågældende periode alene var Børsen, som åbnede og downloadede filer med personfølsomt indhold,« siger Jan Lysgaard Thomsen.
