Bekymret for kommunal IT-sikkerhet

Bakgrunnen for bekymringen er en undersøkelse systemutviklerne Roy Solberg og Hallvard Nygård gjorde tidligere i år. De tok for seg en programvare som flere renovasjonsselskaper bruker og fant at systemet lekket blant annet fødselsnummer over ukrypterte HTTP-forbindelser, skriver digi.no (ekstern lenke).

Hvor lenge sikkerhetshullet har vært der, er ikke kjent, men de to varslet Datatilsynet og leverandøren i april i år. Ifølge digi.no svarte Datatilsynet leverandøren i juni med at de var fornøyd med redegjørelsen fra selskapet og de tiltakene som var iverksatt. Datatilsynet har derfor avsluttet saken.

Nettstedet skriver også at selv om leverandøren raskt rettet programvaren, tok det tid før den oppdaterte versjonen ble tatt i bruk av renovasjonsforetakene. Først den 19. juni skal feilen ha blitt rettet helt hos de aller fleste av foretakene.

Selskapet selv erkjenner at det har vært mulig å finne passordet til tjenesten ved å undersøke tilknyttede mobilapper, men at dette krever inngående innsikt. De mener også at det ikke er noen tegn på at det er blitt tappet data fra systemet av personer som ikke skal tilgang til det.

– Opplysningene vi fant kan brukes til identitetstyveri, har Datatilsynet tidligere uttalt til mediene. Jeg ser også for meg at de kan brukes til utpressing. Kommunene og de interkommunale foretakene burde alle gjennomført sikkerhetstester, spesielt nå som den nye personvernforordningen (GDPR) har trådt i kraft. Per nå får de stryk i IT-sikkerhet, sier Nygård i en pressemelding gjengitt av digi.no