Styrelse måtte betale timepris for ekstra support efter masse-nulstilling af kodeord

Illustration: vladwel/Bigstock
Nulstilling af kodeord uden varsel er kritisabel, meddeler Lægemiddelstyrelsen.

Moderniseringsstyrelsen valgte kort før nytår uden varsel at nulstille samtlige kodeord på ti forskellige statslige systemer.

Manøvren faldt ikke ikke i god jord blandt flere af systemernes brugere – herunder Lægemiddelstyrelsen, der i en mail til Moderniseringsstyrelsen kalder fremgangsmåden kritisabel.

»I forbindelse med normale skift af password har vi mulighed for, som en naturlig del af vores driftskontrakt med KMD, at få lagt password ind sammen med planlagte releases, men i et tilfælde som dette er det at betragte som et Incident,« skriver styrelsen i sin mail.

»Det betyder faktuelt, at vi betaler timepriser for rettelser af system til systempassword i 2 applikationer som så ligger på 2 testmiljøer og 1 produktionsmiljø. Alt i alt en både dyr og ressourcekrævende manøvre.«

Læs også: Styrelse: Masse-nulstilling af passwords i statslige systemer var planlagt

Overfor Version2 uddyber styrelsen, at den normale procedure er, at man aftaler et ‘change vindue’ på forhånd, så man i samme ombæring kan løse andre opgaver i det pågældende system.

Det er endnu ikke opgjort, hvad den akutte rettelse ender med at koste styrelsen. Men lægemiddelstyrelsen estimerer, at opgaven krævede mellem 10 og 20 timers arbejde til 896kr i timen.

»Vi vil meget gerne vide hvem der skal afholde disse udgifter,« spørger Lægemiddelstyrelsen i mailen til Moderniseringsstyrelsen.

Det var nødvendigt

Version2 har bedt Moderniseringsstyrelsen om indsigt i sagen, der ledte til massenulstilling af kodeord.

Men al dokumentation om motivationen for handlingen bliver mørkelagt – primært med henvisning til offentlighedslovens paragraf 31, som undtager information, der har »væsentlig betydning for statens sikkerhed eller rigets forsvar.«

Af mail-korrespodencer mellem Moderniseringsstyrelsen og forskellige organisationer og myndigheder, der anvender de berørte systemer, fremgår det ligeledes, at styrelsen »af sikkerhedsmæssige hensyn ikke [havde] mulighed for at orientere vores kunder forud for nulstillingen og kan af sikkerhedsmæssige hensyn ikke sige mere om baggrunden for nulstillingen«.

Læs også: Kæmpe sikkerhedshændelse i staten: Passwords nulstillet på 10 systemer

»Vi ved godt, at det medfører en række uhensigtsmæssigheder og det beklager vi mange gange. Men det har været nødvendigt,« skriver vicedirektør Maria Damborg Hald i en mail til København Universitet.

I en mail til Aarhus Universitet understreger styrelsen dog, at »nulstillingen ikke har givet Moderniseringsstyrelsen anledning til underrette Datatilsynet i henhold til databeskyttelsesforordningens artikel 33 om anmeldelse af brud på persondatasikkerheden«.

Forordningens artikel 33 kræver, at Datatilsynet informeres inden for 72 timer, når man bliver bevidst om et brud på persondatasikkerheden.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Anne-Marie Krogsbøll

Jeg synes stadig, det er spændende - fordi der er et større perspektiv, i kraft af, at det er så symptomatisk for, hvor lidt vi kan stole på vore myndigheder - og det er i høj grad relevant ift. diskussionen om L68 (se skrækhistorien om afskaffelsen af partshøringsretten via denne lov i Versions historie om Justitia i dag).

Der bliver absolut ikke skrevet for meget om disse slemme sager - der skrives og vises samlet set alt for lidt, for det er afgørende for hele vores fremtidige mulighed for at bibeholde demokratiet, at vi ikke lader os besnakke og løbe over ende af myndigheder, som har noget at skjule - som Moderniseringsstyrelsen absolut kunne se ud til at have.

  • 18
  • 0
Ebbe Hansen

For mig at se, så er det stadigvæk interessant, at Moderniseringsstyrelsen greb noget, der mest af alt ligner dødemandsknappen. Uden at ville fortælle om den (formentligt alvorlige) hændelse, der førte til det, som mest af alt ligner en panikhandling, der senere søges kamufleret som bevidst.

  • 13
  • 0
Michael Cederberg

Det er ret åbenlyst at der har været en sikkerhedshændelse som man ikke ønsker at tale om. For i første omgang sagde man:

Moderniseringsstyrelsen har af sikkerhedshensyn nulstillet alle passwords i en række af de fællesstatslige administrative systemer,

Siden sagde man at det var planlagt og at der ingen problemer var og den linje holder man fast i nu ... også selvom det gør det sværere at forsvare de afledte effekter. Hvis man havde startet med at sige at der var en sikkerhedshændelse og at man ikke kunne sige mere, så var problemet overstået hurtigt.

Den kloge gør straks hvad den dumme gør til sidst

  • 11
  • 0
Knud Lassen

Enig, umiddelbart virker det som en handling man skrider til hvis det pludselig går op for en at man ikke aner hvem der har adgang til sens system, eller hvis man observerer en stor grad af usædvanlig aktivitet der ikke kan henføres til en eller få brugere.

  • 10
  • 0
Michael Cederberg

Er det korrekt læst, at KMD forventes at bruge 10-20 mandtimer på at ændre to password på 3 miljøer?

Nu er det ikke klart hvor mange steder de passwords var brugt. Og hvis man har et setup hvor konsultenter har bygget hele infrastructuren så kan man være i en situation hvor dem der drifter systemet ikke helt ved hvordan de enkelte dele fungerer. Måske har disse passwords aldrig været ændret og er hardcoded visse steder ... hvem ved ... der kan hurtigt gå timer ... specielt når man hiver folk ind mellem jul og nytår.

  • 1
  • 0
Niels Danielsen

Måske har disse passwords aldrig været ændret og er hardcoded visse steder ...

Det kunne tyde på det..

»I forbindelse med normale skift af password har vi mulighed for, som en naturlig del af vores driftskontrakt med KMD, at få lagt password ind sammen med planlagte releases, men i et tilfælde som dette er det at betragte som et Incident,« skriver styrelsen i sin mail.

Det at systemer logger på et andet system som en 'bruger', ødelægger sporbarheden på hvem der har haft adgang til data.

  • 1
  • 0
Log ind eller Opret konto for at kommentere