KMD anmeldt til Datatilsynet efter landsdækkende server-hack

Illustration: KMD
Datatilsynet har journaliseret 46 anmeldelser om brud på persondatasikkerheden i forbindelse med en sikkerhedshændelse vedrørende KMD Nexus.

KMD har via sit Nexus-system været udsat for et hack, der har medført brud på persondatasikkerheden ved at lække cpr-numre. Ifølge KMD er der tale om en udviklingsserver og ikke et produktionssystem.

Datatilsynet oplyser til Version2, at tilsynet d. 9. maj 2019 har journaliseret 46 anmeldelser om brud på persondatasikkerheden i forbindelse med en sikkerhedshændelse vedrørende KMD Nexus. Flere anmeldelser kan komme til senere.

Ifølge aktindsigt, som Version2 har fået i en anmeldelse fra Egedal Kommune til Datatilsynet, skønner KMD, at den konkrete hacking ikke havde til formål at kompromittere persondata, men alene at udnytte test-serverens datakraft.

Det fremgår af anmeldelsen, at KMD har fået hacket en testserver, hvor der lå en række cpr-numre på borgere i Egedal Kommune. Der er tale om ældre data fra 2011 og 2012.

KMD har oplyst til kommunen, at serveren og data blev sikret d. 17. april i år.

Egedal Kommune blev først orienteret om hændelsen den 1. maj 2019, hvor Egedal kontaktede KMD, da kommunen ad omveje havde hørt om hackingen.

Kommunikationschef i KMD, Christoffer Hellmann, har sendt følgende kommentar på email:

»Jeg kan bekræfte, at vi har haft en sikkerhedshændelse på en intern udviklingsserver hos KMD. Vores analyser viser, at uvedkommende ved hjælp af et sikkerhedshul i det anvendte samarbejdssoftware havde skaffet sig adgang til den pågældende server og uretmæssigt anvendt serverkapaciteten til bitcoin mining,« skriver han.

KMD fik ifølge Christoffer Hellmann straks sikret serveren og har i samarbejde med tekniske rådgivere og sikkerhedseksperter undersøgt sikkerhedshændelsen, herunder iværksat tiltag, der kan være med til at tilsikre, at en lignende situation ikke opstår igen.

»KMD har været i løbende dialog med de kommuner, der har været berørt af sikkerhedshændelsen. KMD beklager sikkerhedshændelsen, og det ligger os på sinde at understrege, at KMD tager den pågældende sag alvorligt, og sikkerhed har en høj prioritet for os.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (14)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Heino Svendsen

Det er da så langt fra et velkendt fænomen!

Jeg garanterer dig for, at FLERE firmaer ligger inde med produktionsdata (ukrypterede og uvaskede) på udviklingsmaskiner. Du får som konsulent udleveret "sikkerhedskopier" af sygejournaler uden at skulle kvittere for dem blot ved at spørge.

Datasikkerhed i staten og dets underleverandører er en joke.

Som en ven engang sagde: "Jeg frygter ikke russiske hackere. Jeg frygter inkompetencen i den danske stat".. og han arbejdede som konsulent for staten.

  • 11
  • 0
Mads Nielsen

havde de en STOR sikkerheds kampagne, hvor man blandt andet kunne melde sig til at få mails om sikkerhed? hele den side kørte ikke https (og svarede ikke på https), så når de bad om email, navn og ansættelses forhold for at få information og opdateringer om sikkerhed, sååå var det også på grænsen til at være et brud på reglerne, på en side hvor de reklamere for hvor sikre de er.

  • 3
  • 0
Michael Deichmann

Forklar mig lige hvordan i vil udvikle og teste et system der skal behandle CPR numre uden at der vil komme til at ligge en eller anden form for valide CPR numre på serveren?

Selv hvis man genererer valide CPR numre, så er det vel svært at undgå nogen som rent faktisk er i brug (men selvfølgelig med andre persondata i testbasen)

  • 3
  • 3
Heino Svendsen

Forklar mig lige hvordan i vil udvikle og teste et system der skal behandle CPR numre uden at der vil komme til at ligge en eller anden form for valide CPR numre på serveren?

Der er forskel på at have valide CPR numre (mod 11 checksum, efter det gamle format), og at disse henviser til den korrekte person, fx. Test Testersen, Testevej 12, 1234 Testerup (som er en fiktiv person, hvis du skulle være i tvivl - han flyttede nemlig sidste år).

Så man kan generere valide CPR numre uden, at de passer til deres "ejermand".

  • 1
  • 0
Morten Vinding

Medcom stiller en liste med test data til rådighed, som man kan benytte.

https://www.medcom.dk/opslag/koder-tabeller-ydere/tabeller/nationale-tes...


Nice one!

Samme finds for kreditkort hvis man skulle have brug for det:
https://tech.dibspayment.com/D2/Toolbox/Test_information/Cards

Og ja vaskning/sanatize af proddata inden men ruller dem ned igennem systemererne er børnelærdom i IT branchen, men ikke det sto mindre bliver det ofte glemt.

Egentlig har prod data ikke noget at gøre på et testsystem, det burde normalt ikke komme videre end til præprod/staging, og der kun i sanatized form.

En vigtig "side gevinst" ved at sanatize data, er at man ikke ved en fejl kommer til at sende mails til en masse rigtige email adresser.

  • 1
  • 0
martin nielsen

Og ja vaskning/sanatize af proddata inden men ruller dem ned igennem systemererne er børnelærdom i IT branchen, men ikke det sto mindre bliver det ofte glemt.

Såfremt du har en operationsafdeling ja, men nu skal det hele jo hedde DevOps og så har du en helt ny generation af børn der ikke engang har fået lagt et fundament for drift af it systemer, men som så forventes at tage ansvar for sikkerheden og oppetiden.

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize