Valideringsfejl i kæmpe kommune-system: Borgere kunne se hinandens biblioteksdata

16. december 2020 kl. 03:457
Mennesker på bibliotekscomputere
Illustration: Louise Olifent.
En fejl i kommunernes fælles bibliotekssystem, der er baseret på Cicero-softwaren fra Systematic, har gjort det muligt for borgere at se hinandens biblioteksdata på selvbetjeningsterminaler. Mindst en kommune har meldt sagen til Datatilsynet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

En valideringsfejl i kommunernes fælles bibliotekssystem (FBS) har betydet, at borgere i kommuner over hele landet har kunnet se hinandens indlån, udlån og udeståender på offentlige biblioteker.

Det fremgår af en række dokumenter fra Kombit, som Version2 har fået aktindsigt i.

Systematic er leverandør på systemet, der bruges af alle landets 98 kommuner, og i en orientering til Kombit fra 12. november skriver den aarhusianske it-virksomhed således:

Log ind og læs videre
Du kan læse indholdet og deltage i debatten ved at logge ind eller oprette dig som ny bruger, helt gratis.
7 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
7
16. december 2020 kl. 15:28

Ifølge en rapport fra den jyske it-virksomhed har de test, man har gennemført, inden opdateringen blev rullet ud, heller ikke fanget fejlen, og derfor har sagen ført til, at man har gennemført et kodereview på autentifikationsområdet og indført en ny automatisk test.

At "gøre sig lystig". Et godt eksempel på virksomhedens "kompetancer".

Jeg håber, at den jyske sundhedsplatform (region Midtjylland, red.) ikke er, eller har været ramt af samme problem.

Det ryster mig noget, at man kan overse sådan en fejl i testen.

6
16. december 2020 kl. 14:15

@Anders Kousgaard Det er naturligvis rigtigt, og naturligvis skal love overholdes.

MEN det er en gammel lov, som bygger på et andet syn på CPR-nummeret - som både har ført til tidligere tiders fejlagtige anvendelse og opfattelse. "Det var åh, så hemmeligt, og kunne derfor anvendes som id ved allehånde login.".

Fokus skulle istedet rettes mod dårlige PIN / password / løsen og brug af to-faktor hvor relevant. Og dertil relevante in-depth beskyttelser hvor relevant.

F.eks. bankerne, hvor jeg i min bank, som endnu er stor, ikke kan beskytte mine konti mod urimelige hævninger. Jeg kan ikke sætte et time-, dags- eller uge maksimum - som kunne beskytte mig mod en konto-tømning. Jeg ved godt hvornår jeg køber ferie, bil eller hus, og derfor - med passende Nem-id beskyttelse eller andet - kan autorisere "stor hævning". Hvor "dum" er den bank egentlig ?

5
16. december 2020 kl. 13:41

Det er nu ikke helt rigtigt. CPR-nummeret er en almindelig personoplysning, som i henhold til databeskyttelseslovens § 11, stk, 3, skal behandles fortroligt.

4
16. december 2020 kl. 11:09

Som beskrevet, så var kravet om bruger-kode (PIN) sat ud af kraft. De fleste kendte systemer, herunder NemId, vil fejle i deres hensigt, HVIS denne fejl eksisterer.

Så derfor er det en så teknisk set alvorlig fejl, at næsten al anden sikkerhed bortfalder. Hvis / når fejlen er sket OG det rygtes, så er de kun EEN valid handling: STOP uden forsinkelse.

Hvad kan man lære af "episoden": sikkert at lige netop bruger-login naturligvis er kritisk. Derfor må enhver "ændring" / "rettelse" i den del af et system omfattes af helt særlig check og test.

Er det sket her ?

3
16. december 2020 kl. 09:33

Det er vel derfor at der også skal anvendes PIN-kode.

2
16. december 2020 kl. 09:28

Ikke lige foreløbigt, men hvad har det med denne sag at gøre. Systemet bruger, så vidt jeg kan læse mig til, cpr som brugernavn hvilket det er storartet til.

1
16. december 2020 kl. 08:44

CPPR nummer er ikke fortroligt, men alligevel insisterer alt offentligt på at bruge det.