Styrelse måtte betale timepris for ekstra support efter masse-nulstilling af kodeord

25. januar 2018 kl. 06:4510
Styrelse måtte betale timepris for ekstra support efter masse-nulstilling af kodeord
Illustration: vladwel/Bigstock.
Nulstilling af kodeord uden varsel er kritisabel, meddeler Lægemiddelstyrelsen.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Moderniseringsstyrelsen valgte kort før nytår uden varsel at nulstille samtlige kodeord på ti forskellige statslige systemer.

Manøvren faldt ikke ikke i god jord blandt flere af systemernes brugere – herunder Lægemiddelstyrelsen, der i en mail til Moderniseringsstyrelsen kalder fremgangsmåden kritisabel.

»I forbindelse med normale skift af password har vi mulighed for, som en naturlig del af vores driftskontrakt med KMD, at få lagt password ind sammen med planlagte releases, men i et tilfælde som dette er det at betragte som et Incident,« skriver styrelsen i sin mail.

Respons på masse-nulstilling

Københavns Universitet:

»Ud fra et informationssikkerheds synspunkt er vi jo på den ene side meget trygge ved at nulstillingen angiveligt har været planlagt, men ud fra et driftsmæssigt synspunkt har det været en stærkt forstyrrende ekstraopgave i forhold til en række systemer, hvor vi i forvejen oplever store udfordringer med driftsstabiliteten.«

Lægemiddelstyrelsen:

»På den mere informationsmæssige side er vi nok mange statslige institutioner som sidder og tænker, at en manøvre som denne gennemfører man ikke uden en vægtig grund. Derfor vil jeg udtrykke en vis bekymring over den manglende information omkring årsager, idet jeg ikke har den fjerneste mulighed for at vurdere om den 'årsag’ der måtte være, har kunne påvirke vores systemer og endnu vigtigere om der er noget Lægemiddelstyrelsen burde have gjort i den forbindelse.«


»Det betyder faktuelt, at vi betaler timepriser for rettelser af system til systempassword i 2 applikationer som så ligger på 2 testmiljøer og 1 produktionsmiljø. Alt i alt en både dyr og ressourcekrævende manøvre.«

Overfor Version2 uddyber styrelsen, at den normale procedure er, at man aftaler et ‘change vindue’ på forhånd, så man i samme ombæring kan løse andre opgaver i det pågældende system.

Artiklen fortsætter efter annoncen

Det er endnu ikke opgjort, hvad den akutte rettelse ender med at koste styrelsen. Men lægemiddelstyrelsen estimerer, at opgaven krævede mellem 10 og 20 timers arbejde til 896kr i timen.

»Vi vil meget gerne vide hvem der skal afholde disse udgifter,« spørger Lægemiddelstyrelsen i mailen til Moderniseringsstyrelsen.

Det var nødvendigt

Version2 har bedt Moderniseringsstyrelsen om indsigt i sagen, der ledte til massenulstilling af kodeord.

Men al dokumentation om motivationen for handlingen bliver mørkelagt – primært med henvisning til offentlighedslovens paragraf 31, som undtager information, der har »væsentlig betydning for statens sikkerhed eller rigets forsvar.«

Artiklen fortsætter efter annoncen

Af mail-korrespodencer mellem Moderniseringsstyrelsen og forskellige organisationer og myndigheder, der anvender de berørte systemer, fremgår det ligeledes, at styrelsen »af sikkerhedsmæssige hensyn ikke [havde] mulighed for at orientere vores kunder forud for nulstillingen og kan af sikkerhedsmæssige hensyn ikke sige mere om baggrunden for nulstillingen«.

»Vi ved godt, at det medfører en række uhensigtsmæssigheder og det beklager vi mange gange. Men det har været nødvendigt,« skriver vicedirektør Maria Damborg Hald i en mail til København Universitet.

I en mail til Aarhus Universitet understreger styrelsen dog, at »nulstillingen ikke har givet Moderniseringsstyrelsen anledning til underrette Datatilsynet i henhold til databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden«.

Forordningens artikel 33 kræver, at Datatilsynet informeres inden for 72 timer, når man bliver bevidst om et brud på persondatasikkerheden.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
28. januar 2018 kl. 16:55

Måske har disse passwords aldrig været ændret og er hardcoded visse steder ...

Det kunne tyde på det..

»I forbindelse med normale skift af password har vi mulighed for, som en naturlig del af vores driftskontrakt med KMD, at få lagt password ind sammen med planlagte releases, men i et tilfælde som dette er det at betragte som et Incident,« skriver styrelsen i sin mail.

Det at systemer logger på et andet system som en 'bruger', ødelægger sporbarheden på hvem der har haft adgang til data.

9
25. januar 2018 kl. 15:46

Er det korrekt læst, at KMD forventes at bruge 10-20 mandtimer på at ændre to password på 3 miljøer?

Nu er det ikke klart hvor mange steder de passwords var brugt. Og hvis man har et setup hvor konsultenter har bygget hele infrastructuren så kan man være i en situation hvor dem der drifter systemet ikke helt ved hvordan de enkelte dele fungerer. Måske har disse passwords aldrig været ændret og er hardcoded visse steder ... hvem ved ... der kan hurtigt gå timer ... specielt når man hiver folk ind mellem jul og nytår.

7
25. januar 2018 kl. 14:57

Er det korrekt læst, at KMD forventes at bruge 10-20 mandtimer på at ændre to password på 3 miljøer?

6
25. januar 2018 kl. 10:33

Enig, umiddelbart virker det som en handling man skrider til hvis det pludselig går op for en at man ikke aner hvem der har adgang til sens system, eller hvis man observerer en stor grad af usædvanlig aktivitet der ikke kan henføres til en eller få brugere.

5
25. januar 2018 kl. 10:32

Det er ret åbenlyst at der har været en sikkerhedshændelse som man ikke ønsker at tale om. For i første omgang sagde man:

Moderniseringsstyrelsen har af sikkerhedshensyn nulstillet alle passwords i en række af de fællesstatslige administrative systemer,

Siden sagde man at det var planlagt og at der ingen problemer var og den linje holder man fast i nu ... også selvom det gør det sværere at forsvare de afledte effekter. Hvis man havde startet med at sige at der var en sikkerhedshændelse og at man ikke kunne sige mere, så var problemet overstået hurtigt.

Den kloge gør straks hvad den dumme gør til sidst

4
25. januar 2018 kl. 09:25

For mig at se, så er det stadigvæk interessant, at Moderniseringsstyrelsen greb noget, der mest af alt ligner dødemandsknappen. Uden at ville fortælle om den (formentligt alvorlige) hændelse, der førte til det, som mest af alt ligner en panikhandling, der senere søges kamufleret som bevidst.

3
25. januar 2018 kl. 08:08

Men artikel 33 er en del af gdpr, som er en lov der ikke er trådte i kraft endnu, så selvfølgelig skal sagen ikke indrapporterer. Jeg tror det er et forsøg på at få sagen til at lyde mindre væsentlig.

2
25. januar 2018 kl. 07:26

Jeg synes stadig, det er spændende - fordi der er et større perspektiv, i kraft af, at det er så symptomatisk for, hvor lidt vi kan stole på vore myndigheder - og det er i høj grad relevant ift. diskussionen om L68 (se skrækhistorien om afskaffelsen af partshøringsretten via denne lov i Versions historie om Justitia i dag).

Der bliver absolut ikke skrevet for meget om disse slemme sager - der skrives og vises samlet set alt for lidt, for det er afgørende for hele vores fremtidige mulighed for at bibeholde demokratiet, at vi ikke lader os besnakke og løbe over ende af myndigheder, som har noget at skjule - som Moderniseringsstyrelsen absolut kunne se ud til at have.

1
25. januar 2018 kl. 07:16

Nu er der vist skrevet nok om den "historie". Find dog noget spændende at skrive om :-(