Reportage

KMD anmeldt til Datatilsynet efter landsdækkende server-hack

Datalæk14. maj 2019 kl. 11:4714

Illustration: KMD.

Datatilsynet har journaliseret 46 anmeldelser om brud på persondatasikkerheden i forbindelse med en sikkerhedshændelse vedrørende KMD Nexus.

Henning Mølsted

Redaktionschef

Tania Andersen

Journalist

Artiklen er ældre end 30 dage

Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Henning Mølsted

Redaktionschef

Tania Andersen

Journalist

KMD har via sit Nexus-system været udsat for et hack, der har medført brud på persondatasikkerheden ved at lække cpr-numre. Ifølge KMD er der tale om en udviklingsserver og ikke et produktionssystem.

Datatilsynet oplyser til Version2, at tilsynet d. 9. maj 2019 har journaliseret 46 anmeldelser om brud på persondatasikkerheden i forbindelse med en sikkerhedshændelse vedrørende KMD Nexus. Flere anmeldelser kan komme til senere.

KMD Nexus er en platform til kommunerne, som giver mulighed for samle borgerforløb ét sted. Med platformen kan kommunen etablere samarbejder om forløb, der omfatter fx sundhed, omsorg og socialområdet, på tværs af forvaltninger og fagligheder.

Målet er at spare dobbelt indtastninger og opslag i andre systemer. Data er automatisk ført ajour med serviceplatformen og kan udveksles med for eksempel Sundhedsplatformen, Servicebussen og støttesystemerne.

Data fra 3.-partsløsninger kan integreres, fx lige fra medicindosering til telemedicinske målinger og elektroniske nøglesystemer.

Kilde: KMD

Ifølge aktindsigt, som Version2 har fået i en anmeldelse fra Egedal Kommune til Datatilsynet, skønner KMD, at den konkrete hacking ikke havde til formål at kompromittere persondata, men alene at udnytte test-serverens datakraft.

Det fremgår af anmeldelsen, at KMD har fået hacket en testserver, hvor der lå en række cpr-numre på borgere i Egedal Kommune. Der er tale om ældre data fra 2011 og 2012.

Artiklen fortsætter efter annoncen

KMD har oplyst til kommunen, at serveren og data blev sikret d. 17. april i år.

Egedal Kommune blev først orienteret om hændelsen den 1. maj 2019, hvor Egedal kontaktede KMD, da kommunen ad omveje havde hørt om hackingen.

Kommunikationschef i KMD, Christoffer Hellmann, har sendt følgende kommentar på email:

»Jeg kan bekræfte, at vi har haft en sikkerhedshændelse på en intern udviklingsserver hos KMD. Vores analyser viser, at uvedkommende ved hjælp af et sikkerhedshul i det anvendte samarbejdssoftware havde skaffet sig adgang til den pågældende server og uretmæssigt anvendt serverkapaciteten til bitcoin mining,« skriver han.

Artiklen fortsætter efter annoncen

Jobs

Dine job

Vis alle

KMD fik ifølge Christoffer Hellmann straks sikret serveren og har i samarbejde med tekniske rådgivere og sikkerhedseksperter undersøgt sikkerhedshændelsen, herunder iværksat tiltag, der kan være med til at tilsikre, at en lignende situation ikke opstår igen.

»KMD har været i løbende dialog med de kommuner, der har været berørt af sikkerhedshændelsen. KMD beklager sikkerhedshændelsen, og det ligger os på sinde at understrege, at KMD tager den pågældende sag alvorligt, og sikkerhed har en høj prioritet for os.«

Fokus

Schrems II: Den globale cloud-hovedpine

Emner

DatalækPersondataSikkerhedshullerSikkerhed

Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Køb abonnement Få prøveabonnement

Jobs

Dine job

Vis alle

Debatten

Log ind eller opret en bruger for at deltage i debatten.

settingsDebatindstillinger

Følg denne debat

martin nielsen

14. oktober 2019 kl. 13:10

Og ja vaskning/sanatize af proddata inden men ruller dem ned igennem systemererne er børnelærdom i IT branchen, men ikke det sto mindre bliver det ofte glemt.

Såfremt du har en operationsafdeling ja, men nu skal det hele jo hedde DevOps og så har du en helt ny generation af børn der ikke engang har fået lagt et fundament for drift af it systemer, men som så forventes at tage ansvar for sikkerheden og oppetiden.

more_vert
- insert_linkKopier link

Morten Vinding

20. maj 2019 kl. 10:26

Medcom stiller en liste med test data til rådighed, som man kan benytte.</p>
<p><a href="https://www.medcom.dk/opslag/koder-tabeller-ydere/tabeller/nationale-te…;.

Nice one!

Samme finds for kreditkort hvis man skulle have brug for det:https://tech.dibspayment.com/D2/Toolbox/Test_information/Cards

Og ja vaskning/sanatize af proddata inden men ruller dem ned igennem systemererne er børnelærdom i IT branchen, men ikke det sto mindre bliver det ofte glemt.

Egentlig har prod data ikke noget at gøre på et testsystem, det burde normalt ikke komme videre end til præprod/staging, og der kun i sanatized form.

En vigtig "side gevinst" ved at sanatize data, er at man ikke ved en fejl kommer til at sende mails til en masse rigtige email adresser.

more_vert
- insert_linkKopier link

Lasse Høyer

20. maj 2019 kl. 08:12

Medcom stiller en liste med test data til rådighed, som man kan benytte.

https://www.medcom.dk/opslag/koder-tabeller-ydere/tabeller/nationale-test-cpr-numre

Listen indeholder selvfølgelig ikke 10.000 fiktive personer, men det er trods alt en godkendt liste med "valide" CPR numre.

more_vert
- insert_linkKopier link

Heino Svendsen

20. maj 2019 kl. 07:41

Forklar mig lige hvordan i vil udvikle og teste et system der skal behandle CPR numre uden at der vil komme til at ligge en eller anden form for valide CPR numre på serveren?

Der er forskel på at have valide CPR numre (mod 11 checksum, efter det gamle format), og at disse henviser til den korrekte person, fx. Test Testersen, Testevej 12, 1234 Testerup (som er en fiktiv person, hvis du skulle være i tvivl - han flyttede nemlig sidste år).

Så man kan generere valide CPR numre uden, at de passer til deres "ejermand".

more_vert
- insert_linkKopier link

Carsten Andersen

16. maj 2019 kl. 16:14

Nu er systemet ikke nyt men selvfølgelig beklageligt at borgere eksponeres

Men at pege fingre uden at kende oprindelsen er ikke sobert.

Så hvor gammelt er systemet og hvem var sikkerhedsansvarlig på det tidspunkt, Rasmus?

more_vert
- insert_linkKopier link

Julian Hollingbery

16. maj 2019 kl. 15:21

Det er klart at man ikke bare kan bruge 1111111111 som CPR-nummer til udviklingsformål, men du kan i hvert fald sørge for at de numre du bruger, og som evt. måtte eksistere i virkeligheden, ikke er koblet med de rigtige navne, adresser etc.

more_vert
- insert_linkKopier link

Michael Deichmann

15. maj 2019 kl. 13:43

Forklar mig lige hvordan i vil udvikle og teste et system der skal behandle CPR numre uden at der vil komme til at ligge en eller anden form for valide CPR numre på serveren?

Selv hvis man genererer valide CPR numre, så er det vel svært at undgå nogen som rent faktisk er i brug (men selvfølgelig med andre persondata i testbasen)

more_vert
- insert_linkKopier link

Niels Madsen

15. maj 2019 kl. 09:00

Jeg har hørt det samme fra en ansat hos en større privat jydsk IT udviklingsvirksomhed som leverer en lang række systemer til staten.

more_vert
- insert_linkKopier link

Mads Nielsen

15. maj 2019 kl. 08:51

havde de en STOR sikkerheds kampagne, hvor man blandt andet kunne melde sig til at få mails om sikkerhed? hele den side kørte ikke https (og svarede ikke på https), så når de bad om email, navn og ansættelses forhold for at få information og opdateringer om sikkerhed, sååå var det også på grænsen til at være et brud på reglerne, på en side hvor de reklamere for hvor sikre de er.

more_vert
- insert_linkKopier link

Bjarne Nielsen

15. maj 2019 kl. 08:21

I har alle ret. Jeg har oplevet begge dele, både den hårrejsende mangel på forståelse for, at det i det hele taget kunne være problematisk, og at det blev taget meget alvorligt, også i produktion

Jeg nævner ingen navne.

more_vert
- insert_linkKopier link

Heino Svendsen

15. maj 2019 kl. 07:13

Det er da så langt fra et velkendt fænomen!

Jeg garanterer dig for, at FLERE firmaer ligger inde med produktionsdata (ukrypterede og uvaskede) på udviklingsmaskiner. Du får som konsulent udleveret "sikkerhedskopier" af sygejournaler uden at skulle kvittere for dem blot ved at spørge.

Datasikkerhed i staten og dets underleverandører er en joke.

Som en ven engang sagde: "Jeg frygter ikke russiske hackere. Jeg frygter inkompetencen i den danske stat".. og han arbejdede som konsulent for staten.

more_vert
- insert_linkKopier link

Thomas Toft

14. maj 2019 kl. 23:17

Det er da så langt fra et velkendt fænomen!

Du arbejder tydligvis ikke for en af de firmaer som sidder på næsten alt offentligt IT i DK...

more_vert
- insert_linkKopier link

Rune Larsen

14. maj 2019 kl. 19:52

CPR numre på udviklingsservere, men desværre et velkendt fænomen

Det er da så langt fra et velkendt fænomen! Vi andre går meget langt for at holde testsystemerne rene for følsomme data. CPR-numre på et testsystem er under al kritik og et soleklart brud på GDPR.

more_vert
- insert_linkKopier link

Rasmus Theede

14. maj 2019 kl. 12:25

"Ifølge KMD er der tale om en udviklingsserver og ikke et produktionssystem."

Næppe en formildende omstændighed at der ligger CPR numre på udviklingsservere, men desværre et velkendt fænomen.

more_vert
- insert_linkKopier link

KMD anmeldt til Datatilsynet efter landsdækkende server-hack

Jobs

Jobs

Fortsæt din læsning

Western Digital ramt af hackerangreb: Seks cloud-tjenester taget offline

ChatGPT-nedbrud: Brugeres søgehistorik og betalingsoplysninger lækket

Hent Profilanalysen og årets ranglister

17.000 borgere ramt af datalæk i Region Syddanmark: Helbredsoplysninger lå frit tilgængelige

Ruslands søgemaskine lækker kildekode: »Der er også en masse nyttig information til Google SEO«

Kode-fejl på dansk bitcoin-børs lækker kundernes navne, adresser, cpr-numre og indtægter