Kommune: Leverandør advarede ikke om usikkert login til digital sundhedsplejerske

Illustration: leowolfert/Bigstock
Frederiksberg Kommune er nu skiftet til NemID-login for tjenesten Sundhedsvejen.dk, efter Version2 skrev om den usikre standard-login. Leverandøren har ikke advaret os, lyder forklaringen.

Nybagte mødre på Frederiksberg skal fremover ikke have sundhedsoplysninger om deres barn beskyttet af en login-side, som ifølge en sikkerhedsekspert har graverende sikkerhedsfejl.

Læs også: Offentlig sundhedsside har haft 'graverende sikkerhedsfejl' i årevis

Kort tid efter, at Version2 skrev om sagen og henvendte sig til Frederiksberg Kommune, valgte kommunen nemlig den mere sikre NemID-løsning, som leverandøren Novax også tilbyder, mod en merpris.

»Vi gjorde noget ved problemet med det samme, så nu logger alle ind på Sundhedsvejen.dk med NemID. Leverandøren har ikke fortalt os, at den normale løsning ikke var sikker, for ellers havde vi jo aldrig valgt den. Vi har slet ikke været bevidste om, at der kunne være et problem,« siger Susanne Dahl, ledende sundhedsplejerske hos Frederiksberg Kommune.

Leverandøren af login-løsningen, Novax, har fortalt til Version2, at sikkerheden tidligere har været oppe i Datatilsynet, som anbefalede at bruge NemID. Sikkerheden lever ikke op til Datatilsynets anbefalinger, lød det både i 2008 og i 2010 fra Datatilsynet.

Den kritik blev kommunikeret videre til kommunerne, har Novax sagt til Version2. Samtidigt anbefalede Novax den nye NemID-løsning, der var blevet udviklet som et supplement, som en reaktion på kritikken.

Men på Frederiksberg har man dengang ikke modtaget et brev fra Novax, som firmaet hævder.

»Så vidt jeg erindrer, har vi ikke fået brev fra Novax med en anbefaling af at skifte til NemID-løsningen. Jeg har heller ikke hørt om det i mit ledernetværk med alle de andre kommuner. Men nu vil jeg da fortælle dem om det,« siger Susanne Dahl, som har været ansat job siden 2004.

Overvejede aldrig NemID-løsningen

Til gengæld sendte Novax et brev ud til de kommunale kunder for få dage siden, kort tid efter Version2’s artikel om sikkerhedsproblemerne. Heri stod der, at løsningen ikke var ulovlig, men at NemID-løsningen var bedre.

Frederiksberg Kommune kendte godt til muligheden for at skifte til NemID-login for Sundhedsvejen.dk, men det var aldrig oppe at vende.

»Vi vidste godt, at man kunne bruge NemID, men vi anså ikke den anden mulighed for at være usikker. Vi regnede med, at Novax leverede en sikker løsning, så vi havde det ikke forbi it-afdelingen,« siger Susanne Dahl, som ellers har været godt tilfreds med leverandøren.

Der har ikke været meldt om problemer med uønskede gæster på Sundhedsvejen.dk, men selvom det er sundhedsoplysninger, der skal behandles fortroligt, har baby-oplysningerne nok ikke været et mål for nogen hackertyper, vurderer hun.

»Jeg tror ikke, det er interessant for hackere. Det er ikke et system, der er bevågenhed om,« siger hun.

Problemerne med standardløsningen, som en sikkerhedsekspert fra Neupart har gjort Novax opmærksom på allerede for et år siden, omfatter manglende krav til et sikkert password. Sundhedsplejerskerne vælger selv passwords til forældrene, for eksempel en firecifret PIN-kode, mens brugernavnet er låst fast på CPR-nummer. Der er ikke loft over, hvor mange gange en eventuel hacker kan forsøge at logge ind med brute force-angreb.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#6 Morten Winther

»Vi regnede med, at Novax leverede en sikker løsning, så vi havde det ikke forbi it-afdelingen,« siger Susanne Dahl, som ellers har været godt tilfreds med leverandøren.

Kongecitat. Hvorfor også spørge nogen der ved noget om emnet. IT-arkitekter er også kun til besvær.

  • 6
  • 0
Log ind eller Opret konto for at kommentere