Kritik af danske Dantherm: Medarbejder-data endte på det mørke net
Sidste år var virksomheden Dantherm udsat for et ransomwareangreb, der ledte til, at medarbejderes følsomme personoplysninger endte i en afkrog på det mørke net.
Dantherm er en indeklima-virksomhed, der leverer produkter til opvarmning, køling, affugtning, ventilation. Firmaet har hovedkvarter i Skive og har også forretning i Norge, Sverige, England, Tyskland, Frankrig, Schweiz, Italien, Spanien, Polen, Rusland, Kina og De Forenede Arabiske Emirater.Om virksomheden
Det skriver Datatilsynet i sagens afgørelse, hvor man udtaler kritik af virksomheden for ikke at have ordentlig styr på it-sikkerheden.
Hackerne har hentet oplysninger på medarbejdere fra flere lande. Konkret er der tale om:
- Kontooplysninger på mellem 100 og 450 ansatte i Tyskland, Polen og England,
- Omkring 50 tyske medarbejderes religiøse forhold,
- Helbredsoplysninger – blandt andet referat af 87 sundhedssamtaler med danske borgere og sundhedsdata på polske og engelske borgere, der har betydning for ansættelsesforholdet,
- Og omkring 1525 danskeres cpr-nummer.
Ifølge DAHL advokatpartnerskab, der har udtalt sig på vegne af Dantherm i sagen, er oplysningerne fjernet fra det mørke net igen.
Ondsindet aktivitet
Angrebet fandt sted den 26. august sidste år. Om aftenen registrerede Dantherm, mærkelig aktivitet på en backupserver. Man undersøger sagen nærmere og finder, at der har været ondsindet aktivitet på netværket fem dage forinden.
Sikkerhedsvirksomheden Dubex lavede de tekniske undersøgelser og kom frem til, at hackerne havde undersøgt netværksstrukturen og ødelagt en kørende backup. Men der var ingen tegn på, at de kriminelle har hentet personoplysninger, og derfor anmeldte Dantherm først bruddet til Datatilsynet den 25. september 2020.
Dubex fortsatte med at undersøge hackernes aktivitet på netværket, og den 22. september opdagede man, at de kriminelle havde hentet persondata fra virksomheden og lagt den ud på det mørke net. Data blev fjernet igen dagen efter klokken 14.45.
Ifølge DAHL kan man ikke vide, om andre har fået fat på data, imens den lå online. Men advokaterne understreger, at Dantherm på intet tidspunkt var afskåret fra data, og at hackerne ikke har fremsat krav for at undlade at offentliggøre oplysningerne.
Fik adgang via konsulent-konto
I en rapport skriver Dubex, at hackerne kom ind på serveren via en bruger kaldet ‘AV’, der havde administrative rettigheder. Den har tidligere været brugt af en ekstern konsulent i foråret 2020.
»Dubex har oplyst, at ‘AV’ ikke længere var hos det eksterne konsulentfirma, og der var derfor ikke nogen grund til at denne konto skulle logge ind på nogle af Dantherms systemer. Kontoen var medlem af domæneadministrator-gruppen og havde derfor fuld adgang til alle maskiner i AD’et. Angriberne har ifølge Dubex måske opnået adgang til kontoen ved gæt af password,« skriver Datatilsynet i afgørelsen.
Dog understreger DAHL overfor tilsynet, at det kun er et gæt fra Dubex. Hackerne kan lige så godt have brudt ind i systemet først via en anden konto og så efterfølgende brugt AV-kontoen.
Da hackerne kom ind i systemet, slettede de de fleste logfiler, og derfor er det uvist, hvorfor man stadig kunne bruge kontoen til at logge ind hos Dantherm.
»Det eneste, der kan konstateres, er, at brugerkontoen ‘AV’ ikke var slettet. Hvorvidt kontoen var aktiv eller deaktiveret, kan ikke konstateres af Dantherm,« skriver Datatilsynet i afgørelsen.
For mange administrative rettigheder
Ifølge GDPR, skal dataansvarlige sørge for, at der er en solid sikkerhed omkring de personoplysninger, man opbevarer, og det har Dantherm ikke levet op til i forbindelse med hackerangrebet.
Derfor giver Datatilsynet kritik og påpeger, at man burde have begrænset antallet af brugere med administrative rettigheder:
»Det vil derfor normalt være et udtryk for passende sikkerhed, at administratorrettigheden alene gives til de relevante begrænsede ressourcer og i et begrænset tidsrum. Dette kunne udføres ved, at der ikke bruges brede administrative privilegier og adgange, samt at disse ikke gives permanent, men alene ved at elevere rettighederne ad hoc,« skriver man.
Tilsynet uddyber, at man skal sørge for at logge så meget som muligt, og at det ikke er hensigtsmæssigt, når administratorer kan slette eller ændre i logfilerne.
Dantherm underrettede medarbejderne den 29. og 30. september sidste år om, at deres data var lækket.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
