'Velkendt sårbarhed' i Region Nord: Alle kunne tilgå alles personoplysninger

10 kommentarer.  Hop til debatten
'Velkendt sårbarhed' i Region Nord: Alle kunne tilgå alles personoplysninger
Illustration: Datatilsynet .
Regionen har ikke stillet høje nok krav til leverandøren af den sårbare løsning, lyder det blandt andet fra Datatilsynet.
8. november 2021 kl. 10:57
errorÆldre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Datatilsynet udtaler nu kritik af Region Nordjylland, fordi en halv million borgere i Region Nordjylland potentielt kan have fået eksponeret deres personlige helbredsoplysnigner samt andre 'beskyttelsesværdige oplysninger' over tre år.

konkret kunne alle danske borgere med et aktivt NemID logge ind og ændre i URL-en og på den måde tilgå borgere i Region Nordjyllands helbredsoplysninger og ændre deres aftaler med sundhedsvæsenet. Sårbarheden gav adgang til alle breve udskrevet til patienter før 30 april 2021, hvilket vil sige, at 498.600 patienter potentielt er påvirket.

Regionen kan hverken be- eller afkræfte over for Datatilsynet, om der er hemmelige adresser blandt de berørte oplysninger.

Sikkerhedsbruddet skyldes hvad Datatilsynet kalder en kendt sårbarhed, der burde have været håndteret allerede i udviklingen og testen af det it-system, sårbarheden eksisterede i, skriver Datatilsynet i en afgørelse.

Skærpende omstændigheder

Datatilsynet har især lagt vægt på, at potentielt en halv million registreredes personoplysninger kunne være tilgået af uvedkommende, samt at oplysningerne omfattede helbredsoplysninger og andre beskyttelsesværdige oplysninger.

Artiklen fortsætter efter annoncen

Derudover skærpes kritikken af, at både personoplysningernes fortrolighed og tilgængelighed kunne påvirkes, og at bruddet stod på i ca. 3 år.

»At der skulle ændres i en URL, som kunne findes via i browserens Developer Console, betyder umiddelbart, at det kræver mere teknisk viden at udnytte sårbarheden, end hvis der blot skulle ændres i URL'en i browserens adressefelt. Ondsindede personer, der har til hensigt og vilje til at misbruge en web-applikation, vil dog normalt også have en forståelse for, hvordan web-applikationer udvikles/fungerer, og dermed hvordan denne type sårbarhed kan udnyttes,« skriver Datatilsynet i afgørelsen.

Anmeldte for sent

Regionen anmeldte først hændelsen til Datatilsynet 9 dage efter, det blev opdaget. Det begrunder Region Nordjylland således:

»Sikkerhedshullet blev lukket med det samme fredag den 29. april 2021 om eftermiddagen. Løsningen blev fjernet umiddelbart og først åbnet igen, da hullet var lukket. Den forsinkede anmeldelse skyldes yderligere undersøgelser af det mulige omfang af bruddet hos leverandøren med henblik på for RN at vurdere, om der var kompromitterede data i brudperioden,« skriver Region Nord til Datatilsynet.

Artiklen fortsætter efter annoncen

Regionen har også valgt ikke at orientere de borgere, der måske har været berørt:

»Orientering til den registrerede? Nej. Grundet den tekniske udredning er sandsynligheden vurderet som meget lav, og konsekvenserne vurderes ikke at kunne have fysiske eller økonomiske konsekvenser for patienterne,« skriver regionen.

10 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
10
9. november 2021 kl. 19:17

Først er der en løsningsarkitekt eller udvikler, der simpelthen ikke har forstået sin tech-stak. Jeg ville have røde ører, hvis jeg nogensinde blev fanget i sådan en bøf — eller hvis jeg havde reviewet løsningen og ikke fundet (design)fejlen.

Dernæst er der en QA/tester, der ikke har gravet dybt nok, hvilket er utroligt når man tænker at vi har med følsomme persondata at gøre. Til de udviklere, der ikke har oplevet et “kvalificeret modspil” fra test/QA: Det gør en enorm forskel, uanset hvor god man selv synes man er til at kode eller designe en løsning: Prøv det!

Endelig er der en kunde, der ikke har taget sin pligt til at foretage en sikkerhedsmæssig risikovurdering alvorligt nok — det ville jo have givet et pres på QA og sikkerhedsreview. Der er i min erfaring enorm forskel på, hvor alvorligt forskellige myndigheder tager det ansvar.

9
9. november 2021 kl. 11:55

At der skulle ændres i en URL, som kunne findes via i browserens Developer Console, betyder umiddelbart, at det kræver mere teknisk viden at udnytte sårbarheden, end hvis der blot skulle ændres i URL'en i browserens adressefelt.

Mere. Teknisk. Viden.

Ha ha, det skrev de bare ikke.

6
8. november 2021 kl. 13:43

Det behøver ikke engang være ond vilje. At lave en god log er svært, man skal have det relevante med uden at det drukner i ligegyldigheder.

Meeeen, hvis det blot er en URL der skal rettes i bør der jo være en access log man kan kikke i.

5
8. november 2021 kl. 13:43

Hører vi nogensinde nogen, der selv har noget i klemme, komme til en anden konklusion i disse sager?

Der er ikke decideret frit spil. Når man som dataansvarlig indberetter et brud til Datatilsynet, så skal man angive om man vil underrette. Hvis man ikke vil underrette skal man angive hvorfor. Og hvis Datatilsynet er uenige, så kan de pålægge den dataansvarlige alligevel at underrette. Det er ikke sket i denne sag, jf. afgørelsen.

4
8. november 2021 kl. 13:23

Har vi mulighed for at komme tættere på det politiske ansvar end bare "Dem der har magten lige nu?" Nu har vi jo snart en mulighed for at straffe de personer.

1
8. november 2021 kl. 12:34

"Regionen har også valgt ikke at orientere de borgere, der måske har været berørt: »Orientering til den registrerede? Nej. Grundet den tekniske udredning er sandsynligheden vurderet som meget lav, og konsekvenserne vurderes ikke at kunne have fysiske eller økonomiske konsekvenser for patienterne,« skriver regionen."

Hører vi nogensinde nogen, der selv har noget i klemme, komme til en anden konklusion i disse sager? I betragtning af at det åbenbart er en kendt sårbarhed (utroligt, at det så ikke er afhjulpet i tide), så er det en lidt mærkelig konklusion. Verden er jo fuld af fagfolk/IT-kyndige, nogle sikkert med mindre pæne motiver, så hvis det er en kendt sårbarhed, ville det vel være nærliggende at antage, at nogen med skumle hensigter kan have forsøgt at gå målrettet efter den?

Jeg synes ikke, at der står noget om logning? Men man kan måske ikke logge den slags?