I et indlæg på Facebook tirsdag prøver KMD at besvare den svære kritik af firmaet, der er opstået i kølvandet på politianmeldelsen af en borger, som ville gøre Frederiksberg Kommune opmærksom på et sikkerhedshul i kommunens pladsanvisningssystem.
KMD ringede også til direktøren for Netcompany - den virksomhed, som borgeren var ansat i.
I indlægget fastholder KMD, at borgeren har overtrådt loven:
»Han trækker flere persondata ud end nødvendigt for at påvise hullet. Helt præcis 168 danskeres navne og CPR-numre. Og han søger efter konkrete navne. Det havde været nok at demonstrere fejlen ved simple manuelle opslag – i stedet for i programkoden at indsætte en række forprogrammerede scripts, der fremskaffer adgang til en større mængde CPR-numre og navne. Dette er efter vores vurdering ikke acceptabelt,« skriver KMD på Facebook.
Borgeren, hvis navn er Esben Warming Pedersen, har tidligere over for Version2 nægtet at have ‘indsat scripts i koden’, og han mener i øvrigt, at han er 'totalt uskyldig'.
Den mening deles af advokat og ekspert i strafferet Morten Bjerregaard, som ikke mener, at KMD’s nye oplysninger ændrer noget:
»Han tester, om der er en fejl. Der er ikke noget misbrug. Jeg tror, der er mediestrategi i det fra KMD’s side – det er for at sløre billedet. Det, der er kernen i denne her sag, er, at de selv har lavet en fejl, og politianmeldelsen kommer først efter, han er gået til medierne. Der er ikke noget strafbart i dette her.«
Fandt nyt hul i skoleopskrivning
Version2 har stillet følgende spørgsmål til KMD, som kommunikationschef Christoffer Hellmann svarer på i en mail til Version2:
Kan KMD afvise, at andre systemer har tilsvarende sikkerhedshuller?
»På baggrund af lukningen af sårbarhederne i Digital Pladsanvisning meldte vi den 13. juni ud til vores kunder, at vi har i gangsat yderligere sikkerhedsvurderinger af KMD’s systemlandskab. Målet var selvsagt at undersøge, om den type opslag, der blev anvendt i Digital Pladsanvisning, også er blevet anvendt i andre systemer. I forbindelse med gennemgangen har vi identificeret, at metodikken blev brugt i vores system til skoleopskrivning. Vi har ikke viden eller mistanke om, at løsningen har været udsat for misbrug, men vi har valgt at lukke for forældres mulighed for at indtaste kontaktpersoners personnummer i KMD Skoleindskrivning.«
Hvilken fremgangsmåde skal en borger, som finder et sikkerhedshul, følge for at rapportere det?
»Den sædvanlige procedure for indmelding af fejl i KMD’s systemer, herunder sikkerhedshuller, er gennem vores kunder. Hvis en borger opdager en fejl i et KMD-system, er det ikke altid, at man kan se, at der er tale om et KMD-system. Derfor er det oplagt f.eks. at tage fat i den kommune, der benytter systemet i sin borgerservice eller lignende,« skriver han og fortsætter:
»Processen er så, at kommunen tager fat i vores supportlinje. Hvis problemet ikke umiddelbart kan løses der, så går henvendelsen videre til vores udviklingsorganisation. Hvis sagen kræver mere information, eller der er behov for en dialog om løsningen på problemet, vil der typisk være en proces frem og tilbage mellem KMD og kommunen og sandsynligvis også mellem kommunen og den pågældende borger. Man er som borger eller bruger af et KMD-system også velkommen til at tage direkte kontakt til os. Det kan man gøre ved at skrive på vores hovedmail eller benytte vores whistleblower-ordning.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
