I begyndelsen af december blev Gladsaxe Kommune ramt af et datalæk. Ifølge eksperter er kommunens første sikkerhedsbrøler nu blevet afløst af nye.
Foto: Klaus Holsting

I begyndelsen af december blev Gladsaxe Kommune ramt af et datalæk. Ifølge eksperter er kommunens første sikkerhedsbrøler nu blevet afløst af nye.

Danmark

Fejl på fejl i Gladsaxe: Kommune hjælper med at udstille lækage-ofre på Facebook

Eksperter kritiserer Gladsaxe Kommune for at udsætte borgere ramt af datalækket for unødvendige risici ved at tale med dem i fuld offentlighed. Kommunen har også sendt et personligt brev om lækket til den forkerte borger.

Danmark

Regel nummer et efter et it-sikkerhedsbrud er at begrænse skadens omfang og minimere risikoen for de berørte. Men efter først at have begået én fejl ved at lække 20.000 borgeres fortrolige oplysninger, har Gladsaxe Kommune nu begået flere, mener datasikkerheds-eksperter.

Kommunen har nemlig valgt at føre dialog med de berørte borgere på Facebook - en åben platform, hvor enhver it-kriminel også kan læse med. Dermed bidrager kommunen til at udsætte de berørte borgere for yderligere risici, siger it-sikkerhedsekspert Peter Kruse.

»Der sidder en masse frustrerede og urolige mennesker derude, som har et forståeligt behov for at få luft og tale med andre berørte, men de kommer til at handle lidt blindt og eksponerer sig selv i fuld offentlighed. Så er det ikke særlig smart af kommunen at gå ind i det og assistere den risikable adfærd«, siger Peter Kruse, stifter af it-sikkerhedsvirksomheden CSIS.

Enhver kan finde frem til ofrene

Han forklarer, at de eksponerede borgere gør sig ekstraordinært sårbare, fordi enhver nu nemt kan finde ud af, at de er ramt af lækagen. Selv hvis it-kriminelle ikke har adgang til de lækkede data fra kommunen, får de nu værdifulde informationer om ofrene og kan bruge det til at afpresse dem.

I tilfælde af, at it-kriminelle rent faktisk får fingrene i de lækkede data om borgerne, kan de parre oplysningerne med ofrenes ofte meget personlige Facebookprofiler og derved øge mulighederne for identitetstyveri.

»Hvis kommunen ønsker at føre en dialog med borgerne, bør det ske i et lukket, kontrolleret miljø. Vi har tidligere set, hvordan Facebook som platform bruges til at chikanere, lokke og angribe. Det her er en oplagt mulighed for at gøre det«, siger Peter Kruse.

»Tak fordi du gør opmærksom på din oplevelse«

Over 700 urolige borgere har meldt sig ind i en nyoprettet Facebook-gruppe for berørte borgere, hvor de drøfter sagen og udtrykker deres frustration.

»Som om det ikke er slemt nok, at mine oplysninger var lækket, så finder jeg et brev i postkassen i dag om, at min 11-åriges oplysninger også er røget samme vej... Det gør mig fandeme splitter ragende tosset«, lyder et indlæg fra en borger i dag.

I debatterne deltager kommunens kommunikationschef aktivt:

»Kære (navn udeladt, red.). Tak fordi du gør opmærksom på din oplevelse...«, lyder det blandt andet fra kommunikationschefen, der generelt forsøger at rådgive borgerne og udrede kommunens handlinger i forløbet.

Dataetisk rådgiver Pernille Tranberg har i flere år advaret kommuner og andre offentlige myndigheder mod at kommunikere direkte med borgerne om deres sager på Facebook, fordi de dermed blåstempler platformen som en neutral kommunikationskanal.

Men Facebook lever af at profilere borgerne ud fra deres givne personoplysninger, ligesom datakøbmænd - såkaldte databrokers - opsuger oplysningerne og videresælger lister over borgeres karakteristika. I den konkrete sag vil de eksponerede borgere blandt andet åbenbare for Facebook og databrokers, at de er ofre for et datalæk, og at de er modtagere af en form for ydelse ved kommunen.

»Jeg kan godt forstå, at Gladsaxe Kommune forsøger at lave krisekommunikation for at undgå, at sagen går viralt amok. Men kommunen burde kun bruge Facebook som en opslagstavle og så lede borgerne over på deres egne fortrolige og sikrede kommunikationskanaler. Endelig burde kommunen særligt i denne situation advare borgerne mod, at de ved at eksponere sig på Facebook udsætter sig selv for unødige risici fra it-kriminelle og databrokers«, siger Pernille Tranberg.

Har sendt brev om læk til forkert borger

I mandags blev 20.000 borgere orienteret i deres e-boks om, at Gladsaxe Kommune, på grund af et sikkerhedsbrud og en stjålet computer fra rådhuset, havde mistet deres fortrolige og i nogle tilfælde følsomme oplysninger. Der er tale om personnummer, alder, køn, adresse, familiære forhold og i nogle tilfælde kommunale ydelser, oplysninger om eksempelvis handikappede borgeres botilbud samt medlemskab af folkekirken.

I Facebook-gruppen fortæller berørte borgere, hvordan de har bedt kommunen om at konkretisere, hvilke persondata om dem, der er blevet lækket. En borger skriver, at kommunens svarbrev blev fremsendt til en helt anden borger. Til det svarer kommunikationschefen i Facebook-tråden:

Annonce

Artiklen fortsætter efter annoncen

Annonce

»Det er selvfølgelig utrolig uheldigt, at det sker, og jeg er glad for, at der ikke var tale om fortrolige oplysninger. Hele situationen har betydet, at vi manuelt har skullet håndtere omkring 500 henvendelser. Det giver desværre mulighed for nye, menneskelige fejl, når der samtidig er stress på, fordi vi gerne vil svare alle så hurtigt som muligt«.

It-sikkerhedsspecialist Peter Kruse ryster på hovedet over kommunens fejl på fejl i affæren:

»Det er ikke godt nok, at man ikke har krypterede computere til at begynde med, for det skal der være. Men det er hul i hovedet at håndtere det uprofessionelt og begå fejl oven i hinanden bagefter. Når skaden sker, skal man jo være ekstra påpasselig; det handler om at begrænse skaden og ikke fordoble den«, siger han med henvisning til udsendelse af brev til en forkert borger og kommunens dialog med de berørte på Facebook.

Kommunen: Vi vil fortsætte dialog på Facebook

Politiken har konfronteret Gladsaxe Kommune med kritikken af, at den bidrager til at eksponere de berørte borgere for it-kriminelle.

Det svarer kommunen ikke konkret på, men i et skriftligt svar siger kommunaldirektør Bo Rasmussen, at kommunen ikke agter at ændre sin adfærd på Facebook:

»Vi vil gerne være en åben kommune som møder borgerne der, hvor de er – også på Facebook. Derfor har vi også valgt at være åbne i den her sag og svare på generelle spørgsmål og afklare eventuelle misforståelser af de generelle omstændigheder på Facebook, netop med det formål at inddæmme skader og følgevirkninger for borgerne og for at forebygge unødige bekymringer hos en større gruppe borgere«, siger Bo Rasmussen, der tilføjer:

»Det vil vi fortsat gøre. Selvfølgelig er vi opmærksomme på, at vi kun udtaler os om generelle fakta og viden, som allerede er offentligt kendt i denne sag. Vi diskuterer aldrig personfølsomme oplysninger på Facebook. Her henviser vi altid til borgerservice«.

Artiklen fortsætter efter annoncen

Annonce

Kommunen oplyser desuden, at alle de 20.000 berørte borgere har modtaget et personligt brev med et link til borgerservice og en opfordring til at læse om de risici, de skal være opmærksomme på, og hvad de kan gøre for at forebygge misbrug af personoplysninger.

Om udsendelse af et brev til en forkert borger siger kommunaldirektøren, at der kun er tale om ét tilfælde:

»Der var tale om et standardbrev uden personoplysninger. Vi har efterfølgende gennemgået alle udsendelserne af dette standardbrev og kan konstatere, at der kun er tale om en enkelt borger, som har modtaget et standardbrev, som var beregnet på en anden borger. Vi har nu indsat en ekstra kontrolgang, så vi er helt sikre på, at det er de rigtige borgere, vi sender oplysninger til«.

Redaktionen anbefaler:

Læs mere:

Annonce

Annonce

For abonnenter

Annonce

Forsiden

Annonce