Sikkerhedsbrist hos IT-Branchen: »Vi har ikke levet op til det, man kan forvente af os«

Illustration: Mark Thyrring
Personoplysninger på deltagere til omkring 100 arrangementer har været synlige for andre eventdeltagere.

I over et år har brancheorganisationen IT-Branchen delt personoplysninger på deltagere af events, som har været afholdt af organisationen. Oplysningerne er blevet delt med andre personer, der har deltaget i samme events, og deltagerne har haft adgang til hinandens telefonnummer og mailadresser.

Det fremgår af en mail fra IT-Branchen til de personer, som har deltaget i et eller flere af organisationens events siden januar 2018. I mailen undskylder brancheorganisationen for it- og televirksomheder, at personoplysninger har været tilgængelige for andre deltagere.

Bjørn Borre, der er direktør for forretning og medlemsservice i IT-Branchen, bekræfter overfor Version2, at samtlige eventdeltagere i perioden kan være omfattet af sikkerhedsbristet.

»Fejlen har været på alle events fra januar måned 2018 og frem til i sidste uge, hvor vi blev gjort opmærksom på problematikken. I den periode har vi afholdt omkring 100 events, og det samlede antal af unikke besøgende har været på lidt over 2000 personer,« siger han.

Hvor mange har haft adgang til personoplysningerne?

»Samtlige af de omkring 2.000 personer har teoretisk set haft adgang til det her. Vi kan ikke se, hvor mange der har tilgået det, men vores fornemmelse er, at det ikke er mange. I en så oplyst medlemskreds, som vi har, hvor der har været rigtig meget fokus på GDPR, er vi sikre på, at der ville være folk, som havde råbt vagt i gevær noget tidligere, hvis de havde opdaget det,« siger han og tilføjer:

»Vores største event i perioden har haft omkring 300 deltagere, og det er kun de personer, som har deltaget i de samme arrangementer, der kan se hinandens oplysninger. Det er selvfølgelig 299 for mange.«

Deltagerlister

Databristet skyldes en fejl i IT-Branchens eventsystem og i den funktion, hvor deltagere kan tilføje et event til deres kalender.

Hvis en deltager vælger at gøre dette, modtager man et link til et selvbetjeningsmodul, hvor det blandt andet er muligt at se og ændre i egne tilmeldinger. Derudover giver modulet adgang til en deltagerliste, hvor man kan se alle tilmeldte for eventet – og indtil i sidste uge også deres telefonnummer og mailadresser.

IT-Branchen blev gjort opmærksom på fejlen af en deltager til brancheforeningens årsmøde, der blev afholdt i sidste uge.

»Her måtte vi bare lægge os fladt ned og sige, at det skal vi have håndteret. Vi har lukket hullet og gennemgået alle vores arrangementer. Derudover har vi på ændret opsætningen af systemet, så de oplysninger ikke bliver delt imellem deltagerne fremover. Vi burde naturligvis have opdaget det selv, og det er vi også rigtig kede af. Vi ville ønske, at vi ikke havde lavet fejlen, vi ville ønske, at vi selv havde opdaget det, og vi ville ønske, at vi havde opdaget det noget tidligere,« siger han.

Han tilføjer, at det kan give god mening at have en deltagerliste til brancheforeningens events, men at denne sag strider imod IT-Branchens politik om, at man ikke deler kontaktoplysninger deltagerne imellem, uden at det fremgår klart ved det enkelte arrangement.

Forkert flueben

Ifølge Bjørn Borre er det et forkert placeret flueben i forbindelse med systemopsætningen, der er årsagen til, at personoplysningerne også er kommet med på deltagerlisten.

»Fejlen er ikke blevet fundet tidligere, fordi vi har lavet en fejlagtig opsætning af systemet. Vi har ikke opdaget, at den opsætning har ført til, at deltagerne har kunne se hinandens oplysninger. Vi har ikke været opmærksomme på, hvad der skete ved, at funktionaliteten var slået til.«

Hvordan kan det være, at der ikke er styr på, hvad de enkelte funktioner i systemet gør?

»Det er et godt spørgsmål. Der er tale om et relativt nyt system, som vi tog i drift i 2018. Som det tit er med systemer, så er der mange muligheder for at sætte det op, og vi har bare ikke været skarpe nok på alle elementerne af det. Men når man kigger det igennem efterfølgende, er det slående, at det flueben ikke skulle have været sat, og at funktionen dermed skulle være deaktiveret.«

Så det er ikke, fordi det er et kompliceret system, der er svært at gennemskue?

»Ikke hvis man havde gjort det ordentligt. Så havde man fanget det, og det er vi kede af, at vi ikke har gjort,« siger han og tilføjer, at IT-Branchen har været i kontakt med systemleverandøren, som har rådgivet om opsætningen af eventsystemet.

»Vi har talt med vores leverandør, som også har rådgivet os i forhold til, hvordan vi indstiller vores system så vi kun deler ting imellem deltagerne, som vi rent faktisk vil dele. Når vi taler privacy-by-design, så handler det netop om at minimere risikoen for udstilling af data eller også at sætte kontrolredskaber op, så man kan styre, hvilke oplysninger man vil gøre tilgængelige for hvem. Det ærgerlige er så, at uanset hvor godt systemet er, så skal brugerne anvende det rigtigt, og det har vi ikke gjort. Vores leverandør har leveret en løsning, der muliggør styring af indholdet, som det skal være efter retningslinjerne om privacy-by-design.«

Falsk tryghed

Normalt opfordrer IT-Branchen til, at virksomheder eksempelvis får penetrationstest af deres systemer, men Bjørn Borre erkender, at man ikke har været god nok til at tage egen medicin i denne sammenhæng. IT-Branchen vil dog få lavet disse tests som næste skridt i processen, så en lignende situation ikke opstår igen.

Hvad er årsagen til, at I ikke har gjort det?

»Vi har været trygge ved, at vi har haft styr på, hvilke data vi efterspørger, og hvordan de bliver brugt og udstillet. Fejl kan ske i alle organisationer, og det er også sket her.«

Har det været en falsk tryghed?

»Det har det åbenlyst været,« siger han og tilføjer:

»Vi har lavet analyser af alle vores processer - både analoge og digitale. Men vi har bare ikke været grundige nok omkring analysen af den del af vores system, hvor man kan tilføje begivenheder til kalender, og det er et wake-up-call om, at man hellere skal bruge et par dage ekstra på at gennemgå alle hjørnerne i sine it-løsninger til bunds.«

Forstår utilfredshed

Ifølge Bjørn Borre har IT-Branchen fået anerkendelse fra flere virksomheder for deres håndtering af situationen i forhold til åbenhed og transparens og udmelding til de berørte deltagere. Han har dog også forståelse for, at der kan være utilfredshed blandt deltagere, som har fået delt deres personoplysninger.

»Jeg har også fuld forståelse for, hvis der er medlemmer, der er ærgerlige over det her på branchens vegne og havde forventet en højere standard. Når det så er sagt, så arbejder vores medlemmer også med sikkerhed og digitalisering, så uanset hvor meget man tjekker efter, så kan man begå fejl, hvilket er tilfældet her,« siger han.

Har I levet op til det, man kan forvente af jer i denne sag?

»Nej, vi har ikke levet op til det, man kan forvente af os. Vi vil allerhelst være de reneste i klassen, som har fuldstændig styr på det.«

IT-Branchen vil i løbet af de kommende dage offentliggøre en detaljeret case-beskrivelse af forløbet på organisationens hjemmeside.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars Petersen

Sammenlignet med tidligere sager, hvor alle oplysninger om socialt udsatte børn lå frit tilgængelig for alle på internet, så syntes denne sag at være mindre.
Kun deltagere har kunnet se trvielle oplysinger om andre deltagere. Disse deltagere kunne så i princippet spamme de andre deltagere, men det får de sikkert ikke noget positivt ud af.

Faldt jeg i en første april historie?

Simon Mikkelsen

I de "gode gamle dage" tog man lettere på folks privatliv og publiserede lister med folks navne, selvom alle måske ikke havde lyst til at stå der.

Nu til dags skal man bare spørge om lov. Det er ikke så svært.

Men når man er vant til den gammeldags måde, tager det noget tid at lære.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize