KMD anmeldt til Datatilsynet efter landsdækkende server-hack

14. maj 2019 kl. 11:4714
KMD anmeldt til Datatilsynet efter landsdækkende server-hack
Illustration: KMD.
Datatilsynet har journaliseret 46 anmeldelser om brud på persondatasikkerheden i forbindelse med en sikkerhedshændelse vedrørende KMD Nexus.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

KMD har via sit Nexus-system været udsat for et hack, der har medført brud på persondatasikkerheden ved at lække cpr-numre. Ifølge KMD er der tale om en udviklingsserver og ikke et produktionssystem.

Datatilsynet oplyser til Version2, at tilsynet d. 9. maj 2019 har journaliseret 46 anmeldelser om brud på persondatasikkerheden i forbindelse med en sikkerhedshændelse vedrørende KMD Nexus. Flere anmeldelser kan komme til senere.

KMD Nexus er en platform til kommunerne, som giver mulighed for samle borgerforløb ét sted. Med platformen kan kommunen etablere samarbejder om forløb, der omfatter fx sundhed, omsorg og socialområdet, på tværs af forvaltninger og fagligheder.

Målet er at spare dobbelt indtastninger og opslag i andre systemer. Data er automatisk ført ajour med serviceplatformen og kan udveksles med for eksempel Sundhedsplatformen, Servicebussen og støttesystemerne.

Data fra 3.-partsløsninger kan integreres, fx lige fra medicindosering til telemedicinske målinger og elektroniske nøglesystemer.

Kilde: KMD

Ifølge aktindsigt, som Version2 har fået i en anmeldelse fra Egedal Kommune til Datatilsynet, skønner KMD, at den konkrete hacking ikke havde til formål at kompromittere persondata, men alene at udnytte test-serverens datakraft.

Artiklen fortsætter efter annoncen

Det fremgår af anmeldelsen, at KMD har fået hacket en testserver, hvor der lå en række cpr-numre på borgere i Egedal Kommune. Der er tale om ældre data fra 2011 og 2012.

KMD har oplyst til kommunen, at serveren og data blev sikret d. 17. april i år.

Egedal Kommune blev først orienteret om hændelsen den 1. maj 2019, hvor Egedal kontaktede KMD, da kommunen ad omveje havde hørt om hackingen.

Kommunikationschef i KMD, Christoffer Hellmann, har sendt følgende kommentar på email:

»Jeg kan bekræfte, at vi har haft en sikkerhedshændelse på en intern udviklingsserver hos KMD. Vores analyser viser, at uvedkommende ved hjælp af et sikkerhedshul i det anvendte samarbejdssoftware havde skaffet sig adgang til den pågældende server og uretmæssigt anvendt serverkapaciteten til bitcoin mining,« skriver han.

KMD fik ifølge Christoffer Hellmann straks sikret serveren og har i samarbejde med tekniske rådgivere og sikkerhedseksperter undersøgt sikkerhedshændelsen, herunder iværksat tiltag, der kan være med til at tilsikre, at en lignende situation ikke opstår igen.

»KMD har været i løbende dialog med de kommuner, der har været berørt af sikkerhedshændelsen. KMD beklager sikkerhedshændelsen, og det ligger os på sinde at understrege, at KMD tager den pågældende sag alvorligt, og sikkerhed har en høj prioritet for os.«

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
20. maj 2019 kl. 10:26

Medcom stiller en liste med test data til rådighed, som man kan benytte.</p>
<p><a href="https://www.medcom.dk/opslag/koder-tabeller-ydere/tabeller/nationale-te…;.

Nice one!

Samme finds for kreditkort hvis man skulle have brug for det:https://tech.dibspayment.com/D2/Toolbox/Test_information/Cards

Og ja vaskning/sanatize af proddata inden men ruller dem ned igennem systemererne er børnelærdom i IT branchen, men ikke det sto mindre bliver det ofte glemt.

Egentlig har prod data ikke noget at gøre på et testsystem, det burde normalt ikke komme videre end til præprod/staging, og der kun i sanatized form.

En vigtig "side gevinst" ved at sanatize data, er at man ikke ved en fejl kommer til at sende mails til en masse rigtige email adresser.

11
20. maj 2019 kl. 07:41

Forklar mig lige hvordan i vil udvikle og teste et system der skal behandle CPR numre uden at der vil komme til at ligge en eller anden form for valide CPR numre på serveren?

Der er forskel på at have valide CPR numre (mod 11 checksum, efter det gamle format), og at disse henviser til den korrekte person, fx. Test Testersen, Testevej 12, 1234 Testerup (som er en fiktiv person, hvis du skulle være i tvivl - han flyttede nemlig sidste år).

Så man kan generere valide CPR numre uden, at de passer til deres "ejermand".

10
16. maj 2019 kl. 16:14

Nu er systemet ikke nyt men selvfølgelig beklageligt at borgere eksponeres

Men at pege fingre uden at kende oprindelsen er ikke sobert.

Så hvor gammelt er systemet og hvem var sikkerhedsansvarlig på det tidspunkt, Rasmus?

9
16. maj 2019 kl. 15:21

Det er klart at man ikke bare kan bruge 1111111111 som CPR-nummer til udviklingsformål, men du kan i hvert fald sørge for at de numre du bruger, og som evt. måtte eksistere i virkeligheden, ikke er koblet med de rigtige navne, adresser etc.

8
15. maj 2019 kl. 13:43

Forklar mig lige hvordan i vil udvikle og teste et system der skal behandle CPR numre uden at der vil komme til at ligge en eller anden form for valide CPR numre på serveren?

Selv hvis man genererer valide CPR numre, så er det vel svært at undgå nogen som rent faktisk er i brug (men selvfølgelig med andre persondata i testbasen)

7
15. maj 2019 kl. 09:00

Jeg har hørt det samme fra en ansat hos en større privat jydsk IT udviklingsvirksomhed som leverer en lang række systemer til staten.

6
15. maj 2019 kl. 08:51

havde de en STOR sikkerheds kampagne, hvor man blandt andet kunne melde sig til at få mails om sikkerhed? hele den side kørte ikke https (og svarede ikke på https), så når de bad om email, navn og ansættelses forhold for at få information og opdateringer om sikkerhed, sååå var det også på grænsen til at være et brud på reglerne, på en side hvor de reklamere for hvor sikre de er.

5
15. maj 2019 kl. 08:21

I har alle ret. Jeg har oplevet begge dele, både den hårrejsende mangel på forståelse for, at det i det hele taget kunne være problematisk, og at det blev taget meget alvorligt, også i produktion

Jeg nævner ingen navne.

4
15. maj 2019 kl. 07:13

Det er da så langt fra et velkendt fænomen!

Jeg garanterer dig for, at FLERE firmaer ligger inde med produktionsdata (ukrypterede og uvaskede) på udviklingsmaskiner. Du får som konsulent udleveret "sikkerhedskopier" af sygejournaler uden at skulle kvittere for dem blot ved at spørge.

Datasikkerhed i staten og dets underleverandører er en joke.

Som en ven engang sagde: "Jeg frygter ikke russiske hackere. Jeg frygter inkompetencen i den danske stat".. og han arbejdede som konsulent for staten.

1
14. maj 2019 kl. 12:25

"Ifølge KMD er der tale om en udviklingsserver og ikke et produktionssystem."

Næppe en formildende omstændighed at der ligger CPR numre på udviklingsservere, men desværre et velkendt fænomen.