Nyborg Kommune udførte hemmelig kontrol af it-sikkerhed: Ville narre skoleleder til at udlevere persondata

Illustration: iStockphoto.com
Med falsk id-kort fra Nyborg Kommune, skjult kamera og påstand om et opdaget datalæk udførte mand ansat af kommunen hemmelig test af 4kløverskolen.

Nyborg Kommune hyrede en mand til at gå undercover på 4kløverskolen i Ørbæk på Fyn. Manden mødte op på skolen under dække af at være udsendt på vegne af kommunen, der havde opdaget et datalæk på skolen.

Udstyret med falsk id-kort og skjult kamera forsøgte han at narre skolens ansatte til at udlevere personfølsomme oplysninger, hvilket ville være en overtrædelse af EU's nye persondataforordning.

Det skriver DR Nyheder.

Nyborg Kommune planlagde i samarbejde med it-sikkerhedsfirmaet Prueba Cybersecurity denne test af 4kløverskolen, en tilfældigt udvalgt skole, der ellers ingen problemer havde med udlevering af personfølsomme oplysninger.

For skolelederen på 4kløverskolen var den uanmeldte test så voldsom en demonstration af tillidsbrud, at han har været sygemeldt i en periode. Hos Skolelederforeningen, der repræsenterer landets skoleledere, er man heller ikke tilfredse med metoden.

»Det er en sag, der ryster mig meget. Det er så uetisk og umoralsk, som det overhovedet kan være. Man sætter noget i gang med skæg og blå briller ude på en skole, hvor der ikke har været nogen problemer,« siger Claus Hjortdal, skoleledernes formand.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (42)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Niels Ull Harremoës

Hvis man vil teste IT sikkerhed mod social engineering, er det vel den en rimelig metode? Jeg har hørt om mange private virksomheder, der har gjort det samme.

Man kan diskutere om brugen af skjult kamera er i orden - specielt mht hvme der har adgang til optagelserne efterfølgende - , men ellers kan jeg ikke se problemet. Som jeg forstår det, "bestod" skolelederen fint testen?

Jeg har selvfølgelig ingen viden om, hvordan kommunen internt håndterede resultaterne af undersøgelsen. og hvordan de kommunikerede til medarbejderne. Det kan selvfølgelig godt være at det har været problematisk.

Skoler ligger jo inde med en del meget personfølsomme oplysninger - fx indrapporteringer om mistanker om vanrøgt osv. Så det er da fint, at man teste IT sikkerheden?

Anne-Marie Krogsbøll

... om, hvad det digitale helvede, vi er ved at have skabt:
"For skolelederen på 4kløverskolen var den uanmeldte test så voldsom en demonstration af tillidsbrud, at han har været sygemeldt i en periode"

Der meldes ikke noget om, om han bestod testen? I givet fald er det så det eneste glædelige ved historien - men jeg har forståelse for, hvis det ikke skal ud lige nu.

Jeg ved ikke, hvad løsningen er på disse datasikkerhedsproblemer. De skal tages meget alvorligt, men de skal ikke medføre et totalt overvågningssamfund. Hvad gør vi?

Er den bedste og mest humane måde at skabe datasikkerhed på efterhånden ikke simpelthen at begynde at rulle en udvikling tilbage, som vi tydeligvis ikke kan styre? Der var engang, hvor computere faktisk gav fremskridt - nu ser digitaliseringen ud til at løbe løbsk i en grad, så det rent menneskerettighedsmæssigt og demokratisk medfører tilbageskridt. Digitaliseringen er blevet det, der styrer/tyranniserer vores samfund - det er blevet vor herre i stedet for vores tjener. Vi skal tilbage til det punkt, hvor vi faktisk kan følge med - allesammen - ikke kun magtens mænd og IT-eliten.

Johan Johansen

Ser egentlig heller ikke det store problem i den slags test. Sidder selv i forsyningsbranchen og tænker nærmest, at det er en nødvendighed at teste os af, da vi har adgang til samfundskritisk infrastruktur og det samme må vel også gælde for alle med adgang til personfølsomme oplysninger ? Men kunne da virkelig godt tænke mig at høre lidt mere om selve resultatet af denne test ?

René Nielsen

Spørgsmålet er vel om manden er egnet til et lederjob?

Det er jo ikke raketfysik at skolelederen beder manden om noget ID og derpå ringer hans overordnede op i kommunen og bede dem bekræfte hans historie og ærinde.

Det mest ekstreme jeg har prøvet, er at blive ringet op fra Hq og blive bedt om, var at skulle hacke en lønkørsel inden kl 12.00 samme dag midt i sommerferien da ca. 2.000 ansatte ikke kun få løn til tiden fordi en direktør var bortrejst og uden hans accept – ville pengene ikke blive betalt, skat beregnet osv. osv.

Jeg ringede til CFO som jeg kendte qua de opgaver jeg udførte for ham og forklarede ham situationen. At jeg ville have en officiel e-mail fra ham med CxO som CC som gav mig lov til dette.

20 minutter senere var e-mailen der og 2 vidner bekræftede at jeg ændrede autorisationer direkte i databasen (uden om systemet), hvor jeg loggede på som den bortrejste direktør, bekræftede lønkørslen og tilbageførte autorisationer. Det viste sig bagefter at den bortrejste direktør var uopmærksomhed på tidsfristen, fordi hans søn var kommet til skade og var indlagt (i udlandet).

Men essensen af min historie er jo at man ikke kan gardere sig imod alt og man skal tænke sig om.

I øvrigt kommer man ganske langt med produkter som HoxHunt, når vi snakker træning af alm. brugere.

Jesper Frimann

Nu handler sådan noget jo meget om, hvordan man udfører sådan noget.
De folk jeg kender i branchen, der laver sådan noget, er meget OBS på, hvordan man udfører sine 'test' og hvorledes man så præsenterer resultaterne således, at de faktisk skaber værdi og så man faktisk flytter medarbejderne i positiv retning.
Og det man normalt fokuserer på er processer, metoder etc. ikke på individuelle medarbejdere.

Ud fra beskrivelsen der blev givet på DR, lyder det lidt om om, at man måske ikke har haft så meget fokus på netop den del af hele øvelsen, som egentlig er det det hele drejer sig om.

Så ja...

// Jesper

Ditlev Petersen

der ringede rundt for at hente følsomme data (efter aftale med den person, de udgav sig for at være). De fleste steder blev oplysningerne bare udleveret, selv om det da var underligt, at "personen" ikke vidste, hvor han havde aftjent værnepligt. Ét sted nægtede at udlevere oplysninger. Hvilket fik kommunen til at ringe institutionen op (det var vist en børnehave) og give lederen der et møgfald for ikke at være serviceminded. Det var ganske sjovt, da kommunen kom i avisen.

Men ja, skjult kamera er nok at overdrive.

Mikkel Mikjær

Artiklen er basicly bare et link til Danmarks Radio, der kommer intet nyt, der kommer ingen IT Vinkel, DR's negative tilgang til noget der er helt normalt i branchen påtales ikke, man kunne også have valgt at tage op til debat hvorvidt det bør forblive sådan.

Generelt er der rigtig mange muligheder for hvordan den her artikel kunne have bidraget til debatten, i modsætning som nu, blot at henvise til den.

Så med mindre din pointe er at der findes endnu dårligere "artikler" på Version2, så holder jeg fast i mit udsagn.

Jeg vil derimod give dig ret i at debatten kan være interesant, inklusiv samfundets forståelse heraf, mén artiklen bidrager som nævnt, på ingen måde hertil.

Frithiof Jensen

Skoler ligger jo inde med en del meget personfølsomme oplysninger - fx indrapporteringer om mistanker om vanrøgt osv. Så det er da fint, at man teste IT sikkerheden?


Tester man IT sikkerheden eller leder man efter "noget" på de ansatte?

Normalt, i en virksomhed, er der en gennemgang af sikkerhedsrutiner, "hvem der kan hvad", hvad man skal väre opmärksom på, hvilke former for auditering og kontrol man vil gennemföre og sådan nogle ting - FÖR man begynder at sende "Inquisitionen" rundt.

Normalt, det man önsker, er at de ansatte fölger processerne og retter ind efter dem, så naturligvis skal de vide hvad processerne går ud på, på forhånd, så man kan vurdere hvordan det går med implementeringen.

Det unormale er en dysfuntionel organisation der bare leder efter fejl uden at forsöge at läre deres ansatte hvordan man önsker at de skal göre deres arbejde.

M.A.O, der mangler noget baggrundsinformation.

Anders Friis

Selve udførelsen af den sag lyder da som en sag for både Fyns Politi og Datatilsynet.

Fremstillelse af falsk legitimation med det klare foresæt, at udgive sig for at være ansat fra Nyborg Kommune lyder som noget der kunne være på kant med straffeloven.

Jeg vil nu også tillade mig at stille et stort spørgsmålstegn ved om det er inden for Persondataforordningens rammer, at optage en medarbejder uden dennes viden og samtykke.

Med andre ord, så tænker jeg det her er et klassisk eksempel på at målet ikke helliger midlet.

Louise Klint

@Mikkel Mikjær,

Den her "artikel" er simpelthen et nyt lavmål for Version2.

Jeg mener, at artiklen her, og på dr.dk, er uhyre relevant, fordi den fungerer som
case – som eksempel – på hvad, der kan ske, hvis forsvarsministerens aktuelle
lovforslag bliver gennemført.
https://www.version2.dk/artikel/cfcs-vil-simulere-phishing-angreb-bruge-...

Hvad kan der ske?
Der kan ske det, at man underminerer tilliden på arbejdsmarkedet.

Hvorfor er det problematisk?
(Tænk efter engang. Jeg venter med at give svaret).

Erik Gotfredsen

Efter min bedste overbevisning bør kommunaldirektøren og skolelederen fyres, da begge har vist sig ikke at leve op til deres arbejde.
Selvfølgelig bør nogen (i det her tilfælde IT-afdelingen) kontrollere om reglerne overholdes, og selvfølgelig skal det kunne dokumenteres, hvad der er foregået.
Skolelederen føler, at han har været udsat for et overgreb, såvidt jeg kan forstå, har han handlet korrekt, og forsøger at kontakte kommunen far at verificere. Hans fejl er at han efterfølgende langtidssygemeldes. Tænk hvis det havde været et virkeligt datalæk.
Kommunaldirektøren kan tilsyneladende ikke se vigtigheden af at teste om reglerne overholdes, så der bør nok en ny på banen.

Hvad nu hvis skolelederen havde udleveret følsomme data, og det bagefter ikke kunne dokumenteres?

Martin Storgaard Dieu

Nu kender jeg ikke så meget til test af IT sikkerhed i praksis. Men jeg synes at have hørt til et arrengement om selv samme, at man informerer medarbejderne virksomheden, at der over en (længere) periode vil blive udført IT sikkerhedscheck. I samme forbindelse vil der måske også blive oplyst en dato for en opfølgning af dette sikkerhedscheck. Eller er det ikke god kutyme?

Jeg er godt klar over, at nogle medarbejdere er mere årvågen i perioden - men det gør vel heller ikke noget?

Ditlev Petersen

phishing mails. Som ganske ofte er phishing phshing mails, altså prober, der tester årvågenheden. Det er naturligvis pinligt at falde for en af dem, men vi bliver ikke hængt offentligt ud. Det er nok forkellen.

En gammel kollega fortalte om en edb-central, hvor dem der sad der, midt om natten blev kontaktet af en "fisker" med en spand med fisk og sydvest etc. Den grinede de af, og bad ham gå hjem. Godt forsøgt. Man kan godt håndtere den slags med en slags humor. Det er bedre at falde for en fælde, som er "for sjov" (og så grine ad det og lære) end at falde for en, der ikke var for sjov.

Claus Juul

Er den test der er foretaget overhoved realistisk?
98% af alle forsøg på kompromittering sker via mail eller web, ikke via face 2 face konfrontation, de sidste 2% dækker over alt andet fx. fremmede medier, wi-fi, telefonopkald og face 2 face konfrontation.

Det er vist ikke realistisk at en basiliansk/iransk/russisk/kinesisk/osv hacker vil opsøge en skoleleder for at få udleveret persondata.

Det skulle vist have været en anden type af test der skulle have været gennemført.

René Nielsen

Det er vist ikke realistisk at en basiliansk/iransk/russisk/kinesisk/osv hacker vil opsøge en skoleleder for at få udleveret persondata.


At opsøge skolelederen er bestemt realistisk, men ikke for at få persondata. Derimod at få indsat en USB som kan inficere kommunens netværk med noget Ransomware.

For et par år siden sad jeg i Tyskland og der skete det nogle gange om året at min kunde blev udsat for den slags i forskellige varianter. Alt fra opringninger fra f.eks. Microsoft til fysiske ”kontrolbesøg fra Myndigheder” som skulle teste ”sikkerheden”. Der var en procedure for den slags og det er vel det som Nyborg kommune forsøger at etablerer?

Jeg mener at DR har vinklet historien forkert og ser hullerne, men ikke osten .....

I det private ville skolelederen regnes for en direktør pga. chefstllingen og der havde der faldet "en paragraf 45 i numsen af ham" for sådan en fejl.

Ditlev Petersen

At opsøge skolelederen er bestemt realistisk, men ikke for at få persondata. Derimod at få indsat en USB som kan inficere kommunens netværk med noget Ransomware.


Den tænkte jeg også på. Ofte kan det laves uden at have et id-kort fra Fætter BR. I hvert fald på en skole. Eller et bibliotek. USB'en kan sikkert også lavet andet spændende, som man ikke lige opdager med det samme.

Anders Friis

CEO & Ethical hacker underskriver personen fra Prueba Cybersecurity sig. Gad vide hvor etikken blev af i sagen fra Nyborg?

Og når man søger lidt på ejeren af Prueba Cybersecurity, så kommer navnet Dennis Bjørndal Bondegaard Ellebæk frem som ejer. Når man søger lidt på hans selskabshistorik, så er det en interessant samling af mange opstarter, tvangsopløsninger og konkurser.

En gennemført etisk forretningsmand og hacker vi har med at gøre forståes.

https://datacvr.virk.dk/data/visenhed?enhedstype=person&id=4000442700&la...

Louise Klint

Jeg mener, at Nyborg-sagen kan ses som eksempel på, hvad der kan ske,
hvis Forsvarsministerens lovforslag om cybersikkerhed vedtages.
https://www.version2.dk/artikel/cfcs-vil-simulere-phishing-angreb-bruge-...

I Nyborg har Kommunen, for så vidt, handlet efter samme principper, som foreslås i det aktuelle lovforslag.
De har handlet som agent provocateur, for at teste medarbejderen.

Metode og hjælpeaktører er lidt forskellige.
(Nyborg anvender en fysisk person, der møder op og udgiver sig for en anden:
I lovforslaget er der tilsvarende mulighed for at FE kan udgive sig for en kollega,
digitalt. Nyborg anvender et privat IT-sikkerhedsfirma: Med lovforslaget vil det,
i stedet, være Efterretningstjenesten/CFCS, der kontakter medarbejderen).
Men formålet er det samme:
At forsøge at lokke medarbejderen i en fælde.

Og hvad skete der?
Der skete det, at offeret, medarbejderen (skolelederen) oplevede det,
som et stort tillidsbrud.
(At hans arbejdsgiver gik bag hans ryg, for at prøve at lokke ham i en fælde).

Hertil siger Claus Hjortdal, der er formand for Skolelederforeningen:

”Hvis man ikke bliver mødt med tillid, så er det rigtig svært at være leder.
Hvis man hele tiden skal være bange for at lave fejl, og kommunen så yderligere sender folk ud og prøver at påtvinge en at lave fejl, så kan vi ikke få offentlige ledere mere.
Det er der ingen, der kan holde til.”

https://www.dr.dk/nyheder/indland/kommune-ville-fuppe-folkeskole-gik-und...

Han frygter, at kommunernes brug af agent provocateurs vil gøre det sværere at rekruttere ledere til landets skoler.

At selvom hensynet til IT-sikkerhed er vigtigt, så risikerer de simulerede angreb at have negative konsekvenser for det danske arbejdsmarked.

”Hvis en arbejdsgiver begynder at animere til mistillid kollegaerne imellem og ikke sikrer medarbejdernes tryghed i ansættelsen, så er det efter min opfattelse en glidebane i forhold til det samarbejde, som kendetegner forholdet mellem arbejdstager og arbejdsgiver i Danmark.”

Christian Højer Schjøler, adjunkt ved Juridisk Institut på Syddansk Universitet og ekspert i ansættelsesret

^^ Hvilket er akkurat, hvad lovforslaget indebærer.
En risiko for:
Mistillid imellem kolleger, manglende tillid til arbejdsgiver og en generel utryghed i ansættelsen for danske lønmodtagere, da FEs tests i yderste konsekvens kan føre til, at man, som medarbejder, bliver fyret og mister sit job.

Det risikerer at underminere tilliden på arbejdsmarkedet.

Anne-Marie Krogsbøll

Når man søger lidt på hans selskabshistorik, så er det en interessant samling af mange opstarter, tvangsopløsninger og konkurser.


Dummernikker-spørgsmål: Er der ingen krav til sikkerhedsgodkendelse for den slags firmaer/folk? Ikke at man absolut skal være afskåret fra at blive sikkerhedsgodkendt, hvis man har konkurser bag sig - men hvad skal der til af "advarselslamper", før man bliver nægtet sikkerhedsgodkendelse? Skal man direkte være dømt som kriminel?

Anne-Marie Krogsbøll

Gad vide, hvad "thumbs down" betyder i forbindelse med "etisk hacher" og mit dummernikerspørgsmål ovenfor...

Men jeg vil fremture - nu jeg har haft tid til at tænke endnu mere over sagen: Er det sådan, at der ikke er nogen form for autorisation/godkendelsesprocedure i forbindelse med de "sikkerhedseksperter", som skal sikre vore danske institutioner/virksomheder/infrastruktur?

I givet fald: Hvad hjælper alle diskussioner om, hvordan vi sikrer vores infrastruktur og privatliv, hvis ikke engang noget så basalt/banalt er på plads? Er det virkeligt sådan, at enhver kommune kan ansætte borgmesterens svoger eller en kinesisk gæstearbejder (tanken ikke overhovedet udsprunget af Nyborg, men principielt) til at sikre kommunens institutioner og borgernes privatliv?

Ville det ikke være et meget oplagt sted at starte, at man - i det mindste ift. det offentlige - oprettede en autorisationsordning ift. sikkerhedsgodkendelse (både "vandel" og kvalifikationer), og at det offentlige så var forpligtet til at anvende autoriserede sikkerhedseksperter, når de skal have tjekket deres offentlige it-sikkerhed?

Det andet - hvis det er tilfældet - er da helt til grin. Hvis der er frit slag på det punkt, kan vi da ligeså godt droppe alt det pjat med at stille krav om det ene eller det andet sikkerhedstjek i det offentlige.

Heino Svendsen

For skolelederen på 4kløverskolen var den uanmeldte test så voldsom en demonstration af tillidsbrud, at han har været sygemeldt i en periode

Hvis der ikke skal mere til for at sende ham på sygemelding.... så burde han nok overveje et andet job.. Snowflake....

Anne-Marie Krogsbøll

Hvis der ikke skal mere til for at sende ham på sygemelding.... så burde han nok overveje et andet job.. Snowflake....


Vi ved jo ikke, hvordan det er foregået, og hvad der ligger bag. Har han konflikter meden leder på kommunen? Kan han have oplevet det som chikane? Hvis han i øvrigt er en god skoleleder, ville jeg synes, at det er ærgerligt at sende ham ud på det grundlag.

Torben Jensen

Hvis der ikke skal mere til for at sende ham på sygemelding.... så burde han nok overveje et andet job.. Snowflake....


Eller også så arbejder han i et i forvejen super stresset miljø hvor han konstant bliver presset oppefra af politikere som synes der skal spares, ændres på arbejdsforhold og jeg skal komme efter dig, samtidigt med at medarbejderne lader deres frustration over samme politikere gå ud over en mand som ikke kan andet end være enig, men skal udføre tingene. Så når ens chef så pludselig også begynder at prøve at få dig til at fejle, så kan jeg sgu godt forstå man begynder at tvivle på sig selv.

Men det er så nemt at sidde bag en skærm og råbe pyllerrøv end at sætte sig ind i andre folks position og have lidt medlidenhed.

Baldur Norddahl
Anne-Marie Krogsbøll

Tak for svar, Baldur Nordahl.

Det er mere relevant at undersøge om personen har relation til rocker eller bander. Økonomien bliver også undersøgt for at se om man nemt kan afpresses.

Men vi er så enige om, at en eller anden form for godkendelse forekommer nødvendig? Kriterierne skal jeg ikke gøre mig klog på - og de findes vel allerede i andre sammenhænge.

En sikkerhedsgodkendelse skal ikke være en ekstra straffeforanstaltning.

Nej, enig, det var bestemt heller ikke det, jeg sigtede efter - men hvis vi ikke sikrer, at de folk, der arbejder med vores it-sikkerhed, i rimelig grad er til at stole på, så bliver det meget svært at skabe en nogenlunde sikret infrastruktur. De eksempler, du nævner, viser jo netop hvor nemt det kan gå galt.

Baldur Norddahl

Vi har autorisation for kloakmestre; hvorfor ikke her?

Kender du til eksempler på at en kloakmester, der tidligere er gået konkurs, ikke kan opnå autorisation igen?

Jeg synes det er rimeligt nok at whitehat hackere bør have en eller anden godkendelse. Og hvis man tidligere er dømt for blackhat hacking, så bør man måske være afskåret. Men ens evner eller held til at drive virksomhed måske synes mindre relevant.

Jens Mikkelsen

Det er vel arbejdsgiver der skal sørge for at medarbejderne er rustet til opgaverne.
Hvis ikke en skole kan passe på persondata må arbejdsgiveren sende medarbejderne på kursus, så de kan blive rustet til opgave de skal varetage.
Så kan man derefter begynde at teste dem.

Det er ikke nok at sende en mail om at folk være opmærksomme, hvis det er sådan arbejdsgiveren prioterer opgaven skal de nemlig regne med at medarbejderne prioterer det på cirka samme niveau.

Bjarne Nielsen

Men ens evner eller held til at drive virksomhed måske synes mindre relevant.

Nu er jeg helt grundlæggende meget træt af den aktuelle tendens til at "huske alt", som diagnoser og straffe, og om man var ked af det i tysktimerne mv., også langt ud over den tid, hvor de kan have relevans. Og der kan være så mange gode og undskyldelige grunde til, at man kan gå konkurs.

Og nu er det vistnok dig, som vælger at svare på "sikkerhedsgodkendelse" med "konkurs". Jeg ved ikke hvad de præcise kriterier er for at få en sikkerhedsgodkendelse, og det tvivler jeg også på at du ved, for vores tjenester holder kortene tæt til kroppen, men vi kan gætte: det har sikkert en hel del at gøre med, hvor nem man vil være at afpresse eller lokke til at sælge ud af den viden, som man ellers skulle holde hemmelig.

Hvis man er i en udsat situation rent økonomisk, så er man sårbar. Har man en konkurs bag sig, så er det ikke direkte diskvalificerende, men der er da noget at forklare. Har man flere, så har man mere at forklare.

Men vi vender så tilbage til diskussionen om tillid. Jeg lyttede for nogle dage siden til radioen, og en person, som vistnok var noget i forbindelse Etisk Råd og havde en lægelig baggrund blev spurgt om noget som pegede i retning af sundhedsfaglig forskning, og kom derefter med en kommentar om, at befolkningen generelt har stor tillid til sundhedsvæsenet. Punktum.

Det er to forskellige ting. Ja, det kræver rigtigt meget tillid at lade sig bringe i en nær-dødstilstand så de kan skære dig op og rode rundt i dig, og den tillid har jeg til lægerne. Men det betyder ikke, at jeg har tillid til, at de forstår at forvalte mine personlige oplysninger (måske fordi jeg ved mere om, hvor meget der kan gå galt med det sidste, end med det første?).

For tillid er ikke bare tillid. Der findes folk, som jeg gerne vil udlåne min tegnebog til, for jeg ved, at jeg vil få den igen, og med alle pengene, men som jeg aldrig ville betro min dagbog. Og der findes folk, som jeg aldrig ville betro min tegnebog, men som jeg godt tør dele min dagbog med.

Så for at vende tilbage til synspunktet:

Men ens evner eller held til at drive virksomhed måske synes mindre relevant.

...så er mit svar: måske, men ikke nødvendigvis. Det afgørende er, om man kan betros hemmeligheder. Og selvom en egentlig sikkerhedsgodkendelse har et noget andet sigte, så er det reelt et lignende baggrundscheck, som må afgøre det.

Jeg synes derfor stadig, at det er rimeligt med en autorisation, som både skal erhverves og kan fortabes.

Bjarke Jensen

Det er vist ikke realistisk at en basiliansk/iransk/russisk/kinesisk/osv hacker vil opsøge en skoleleder for at få udleveret persondata.


Det er næppe fremmede magter som ønsker at suge persondata ud af en folkeskole. Men forældrer der er blevet fradømt forældremyndigheden, familier der er i æresrelaterede konflikter med deres børn og andre scenarier kunne sagtens finde sted. Jeg har tidligere arbejdet som socialpædagog og har af to omgange oplevet at blive udstyret med overfaldsalarm fordi nogle af vores beboere var i fare for at blive bortført eller dræbt af familien, og derfor levede i skjul. Taget i betragtning at den type konflikter er væsentlig mere udbredt end hvad mediebilledet viser, så synes jeg det er en fremragende test skolelederen er blevet udsat for.

Louise Klint

I Nyborg ser flere partier med alvor på sagen.
De ønsker dels en redegørelse om forløbet, men først og fremmest ønsker de,
at få denne fremgangsmåde stoppet.
https://www.dr.dk/nyheder/regionale/fyn/kommune-snoed-skole-med-undercov...

Jeg kan ikke på stående fod sige, hvad konsekvensen skal være,
men det er en meget, meget alvorlig sag.

Siger Socialdemokratiets gruppeformand, Sonja Marie Jensen.

Vi undrer os over det falske id-kort fra kommunen, hvor der er hans (den falske it-medarbejder, red.) eget billede på.
Vi har brug for at få belyst, hvordan han er kommet i besiddelse af dét kort.
Jeg har brug for at høre mere om de åbenlyst uetiske overvejelser, der har været i en proces, hvor man beder et firma om at overvåge og fremprovokerer en reaktion hos vores medarbejdere.

Suzette Frovin (SF), formand for skole- og dagtilbud i Nyborg Kommune.

Borgmesteren i Nyborg, Kenneth Muhs (V), betragter sagen som en rigtig 'møgsag' og erkender, at han som borgmester altid bærer en del af ansvaret og at det er hans ansvar, at det ikke sker igen:

Vi er i en tid, hvor vi skal have meget fokus på borgernes
data-sikkerhed, og derfor kan sådan noget ske.
Men det er selvfølgelig ikke måden at gøre det på, understreger han.

I Nyborg er alle parter således enige om, at fremgangsmåden med at bruge
falske identiteter og lokke medarbejderne i fælder, for at teste IT-sikkerheden,
ikke er vejen frem.

Ikke desto mindre vil dette være hvad, din arbejdsgiver kan bede
Efterretningstjenesten om assistance til, hvis det aktuelle
cybersikkerhedsforslag bliver til lov.

Louise Klint

Nu kan jeg ikke tale for andre end min egen arbejdsplads, men hvor stor er tilliden på arbejdsmarkedet egentligt?

Jeg tror, at tilliden på arbejdsmarkedet herhjemme er stor.
Og jeg tror, at tillid spiller en afgørende rolle her. Tillid smidiggør og forenkler en lang række processer. Hvordan vi indgår aftaler (dvs. handler med hinanden), kommunikerer, omgås. Som oftest er det sådan, at man først kender værdien af det, man har, når man mister det. Der skulle vi helst ikke ud, i dette tilfælde. Hvis vi skal til at have mistillid og dermed dobbelttjekke alting, hinanden og vores egne kolleger, og lave skriftlige aftaler og kontrakter om selv de mindste anliggender, påvirker det i sagens natur produktiviteten.

Dette bliver en meget lang snak. Jeg vil hellere være konkret:

Hvis det aktuelle lovforslag om Cybersikkerhed
https://www.version2.dk/artikel/cfcs-vil-simulere-phishing-angreb-bruge-...
bliver en realitet, vil det betyde, at arbejdsgivere i hele landet – både private virksomheder og offentlige forvaltninger – kan få hjælp, fra Efterretningstjenesten, til at lokke egne medarbejdere i fælder.
Via identitetsforfalskning kan CFCS udgive sig for din kollega, i løbet af en almindelig arbejdsdag, mens du har travlt med at passe dit arbejde. Består du ikke prøven, kan det i yderste konsekvens koste dig jobbet.
Alt sammen takket være din chef og FE/CFCS.

Dvs. du kan, som medarbejder, ikke længere stole på din arbejdsgiver.
Dvs. væk er den kollegiale tillid, trygheden i ansættelsen.
Dette gælder på arbejdspladser i hele landet inden for fx administration, salg og indkøb, HR, finans, i de offentlige forvaltninger, i uddannelsesinstitutioner, i kommunerne, på hospitalerne, etc., etc.
Det bliver således en virkelighed, som lønmodtagere, i hele Danmark, må indstille sig på.

Jeg spekulerer på, hvor mange / hvilke politiske partier, der vil kunne bakke op om dette?

For dermed signalerer de indirekte, til deres vælgere, at:
Vi kerer os ikke om disse ^^ forhold.
(Vi kerer os ikke om, at din chef kan sende Efterretningstjenesten efter dig, bare for at teste dig).
Vi kerer os ikke om, at du dermed kan miste dit job, eller at du har tryghed i din ansættelse. Vi kerer os ikke om, at du kan stole på din kollega, eller kan have tiltro til din chef.
På dit job, som er et meget stort antal voksne danskeres livsgrundlag, økonomiske fundament. Nemlig vores lønindkomst, vores indtægt.

Hvilke partier kan tilslutte sig dette??
(Plus alt det øvrige bøvl, der følger med, hvis først man begynder at anvende efterretningsmæssige metoder ude i civilsamfundet).

Men først og fremmest forstår jeg ikke – med ovenstående in mente – hvordan dette lovforslag overhovedet har kunne komme videre fra ministerens skrivebord.

Jeg mener – hvordan forestiller Forsvarsministeren, Efterretningstjenesten og CFCS sig, at der fortsat skulle være folkelig opbakning til deres aktiviteter, hvis dette lovforslag bliver en realitet??

Det forstår jeg simpelthen ikke.
For mig at se, er det, man først og fremmest har gang i her (med lovforslaget)
det er, at underminere eget virke.

Log ind eller Opret konto for at kommentere