Offentliggør ansattes cpr og sygefravær

En børnehave har uforvarende offentliggjort lister over de ansattes sygefravær og cpr-numre på internettet. It-leverandøren vil ikke kalde det en sikkerhedsbrist, mens eksperten er lodret uenig

- Det er helt utroligt. Det er slet ikke meningen, siger den fynske børnehaveleder, da ekstrabladet.dk kontakter ham, for at fortælle, at hans ansattes navne, cpr-numre og detaljerede oplysninger om sygefravær ligger frit tilgængeligt på internettet.

Selvom personaledelen af børnehavens hjemmeside er beskyttet af kodeord kunne hvem som helst snage i pædagogernes sygefravær og bruge deres cpr-numre til at begå identitetstyveri.

Læs også:

- Jeg drukner i regninger for hundrede tusinde kroner, siger Dennis Lagard fra Lolland. (Foto: Per Rasmussen) Dine Penge Tyv har overtaget min identitet

Med de rette søgeord dukkede de fortrolige dokumenter nemlig op på søgemaskinen Google, selvom de burde være buret inde bag et kodeord.

- Selvfølgelig har jeg en forventning om, at når man køber et system, der er lukket af, så er det også lukket, siger børnehavelederen.

ekstrabladet.dk har givet børnehaven tid til at fjerne følsomme filer fra systemet, inden publicering af denne artikel, men det overordnede problem eksisterer stadig.

Ekspert: Fuldstændig hul i hovedet
It-sikkerhedskonsulent Jens Højland Christensen fra firmaet CSIS, der lever af at rådgive virksomheder om datasikkerhed, er bestemt ikke imponeret.

Læs også:

Nicklas Bendtner og Dennis Rommedahl risikerer identitetstyveri efter TV 2 har lagt deres CPR-numre på internettet. (Foto: Jens Dresling) Landsholdsfodbold TV-brøler: Landsholdsstjerners CPR-numre lækket på nettet

- Jeg synes, det virker fuldstændig hul i hovedet, siger Jens Højland Christensen, der kategoriserer det som en klokkeklar sikkerhedsbrist, siger han til ekstrabladet.dk.

- Det er et klassisk eksempel på, hvordan data kan blive blotlagt, fordi man ikke har ordentlig styr på tingene.

Sælger vil ikke advare om alt
Alligevel vil indehaveren af Nyborg-virksomheden XL Web, der har leveret hjemmesiden til børnehaven, ikke kalde det for et hul i sikkerheden. Han mener, det kan være børnehaven selv, der har delt de direkte links til dokumenterne ved at skrive dem ind i Google - noget børnehavelederen ellers har afvist over for ham.

Læs også:

Her er de sundhedskort, som Michael Pedersen modtog. (Collage - efternavne, stregkoder og CPR-numre maskeret) Verden på vrangen Hov - det er da ikke mine sygesikringsbeviser!

- Det er beklageligt, at en kunde har fået et eller andet læst, der ikke skulle være læst. Men hvis kunden har båret sig forkert ad, skal vi så skrive det? Det er amerikanske tilstande, hvor man skal advare om, at man ikke skal gå baglæns op ad en stige, siger Kennet Nielsen fra XL Web

Han anbefaler, at brugerne selv putter et kodeord på de pdf-filer, de har liggende i det sikrede område på hjemmesiden, men henviser ellers til firmaet SmartWeb, der leverer teknologien bag siden.

Konfrontation: Det kan laves anderledes
Men heller ikke her, vil de kalde det et hul i sikkerheden, at ekstrabladet.dk og andre interesserede frit har kunne downloade filer med dybt personlige oplysninger på de ansatte.

- Men er det fordi, det er teknisk umuligt at sikre filerne i den lukkede del af hjemmesiden, så Google og andre ikke kan finde dem?

- Så skal man i hvert fald lave det anderledes, end vi har gjort. Det er teknisk muligt, men bare ikke en del af den intranetløsning, vi tilbyder, siger Rasmus Graversen, der er partner i SmartWeb.

- Hvorfor ikke?

- Det er et godt spørgsmål. Det er også noget, vi vil overveje at lave. Det ville være en god ide at lave, for så kommer man ikke ud for sådan noget her.

- Hvor lang tid, tror du, der går, før jeres kunder kan regne med, at deres password-beskyttede dokumenter rent faktisk er sikre?

- Som udgangspunkt vil jeg anbefale, at de selv putter et password på deres pdf-filer, så de er dobbeltsikre, hvis det er følsomme data, siger Rasmus Graversen, der erkender, at det måske skal med i manualen, at brugerne kan komme til at dele følsomme data med omverdenen ved at kopiere adressen til dem ind i Google.

Brud på persondatalovgivningen
De følsomme filer er nu fjernet fra børnehavens server, men Rasmus Graversen kan ikke sige, hvor mange af firmaets kunder, der er påvirket af samme problematik.

- Uanset om de vil kalde det et sikkerhedshul eller ej, vil jeg tolke det som et brud på persondatalovgivningen, siger it-sikkerhedskonsulent Jens Højland Christensen fra CSIS.

- Der har været masser af sager om identitetstyveri for tiden. Sådanne oplysninger skal bare ikke ud. De kan misbruges.

Læs også:

112 Skat afslører svindel med TastSelv-koder

Han mener, at Smart-Webs system bygger på en forældet og usikker tilgang til sikkerhed.

- Det lyder lidt som om de baserer deres sikkerhed på, at der ikke er nogen, der kan gætte linket til deres filer. Men den slags sikkerhed holder ikke en meter. Der er utallige eksempler på at spændende ting er blevet blotlagt på den måde, siger Jens Højland Christensen, der giver flere råd til beskyttelse af data

Teknologi Ekspert: Sådan skal data sikres .

0 kommentarer
Vis kommentarer