— Når en ruter til trådløst nett kobles opp til vårt sikrede og lukkede system, åpner det for at uvedkommende kan få tilgang og bidra til virusangrep, sier assisterende it-sjef i Kristiansand kommune, Margrethe Noraas.

Hun kan ikke si noe om hvor lenge sikkerhetshullet har eksistert eller om noen har benyttet seg av sikkerhetshullet.

— Vi er ikke ferdig med alt arbeidet rundt denne saken, og fortsetter til uka, sier hun.

Ruteren er nå fjernet og hullet er tettet.

Følg Fædrelandsvennen på Facebook!

Trådløst

I sommer har Kristiansand kommune sendt fire avviksmeldinger til Datatilsynet om «alvorlige brudd på datasikkerheten». Rapportene viser at noen av hullene i sikkerheten utgjorde en fare for liv og helse.

For det er uautoriserte, trådløse rutere som har vært problemet, blant annet i kommunens del av databasene i Nav-bygget Gyldengården. Ved gjennomgang av nettverket oppdaget kommunen at noen hadde satt opp en trådløs ruter med tilgang til helse- og sosialetatens sikrede datanettverk.

En utenforstående kan dermed stå i nærheten av dette trådløse nettverket, og koble seg på og komme videre inn i persondatabasene.

— Da er det mulig å komme seg helt inn til enkeltpersoners medisinlister, epikriser eller andre dokumenter som brukes som grunnlag for diagnoser og behandling av for eksempel sykehjemsbrukere. Da kan opplysningene både leses, forandres og ødelegges, noe som vil kunne medføre fare for liv og helse, sier Noraas.

Les også:

Uvedkommende

Selv om uvedkommende ikke går inn i datasystemet, kan nedlasting av applikasjoner til nettbrett som brukes i det trådløse nettverket, lage åpning for virusangrep.

Vi er ikke ferdig med alt arbeidet rundt denne saken.

Og i et virusangrep kan personsensitive opplysninger bli ødelagt eller slettet, og utgjøre fare for liv og helse.

Også på Nedre Slettheia skole og Dvergsnes skole var det satt opp uautoriserte trådløse rutere som kunne gi utenforstående tilgang til nettverket og åpne for virusangrep, men dette gjaldt ikke det lukkede nettet for sensitive data.

Tilfeldighet

En ansatt i omsorgsetaten i kommunen oppdaget ved en tilfeldighet at det som ikke skulle være mulig, gikk veldig lett: Å kopiere taushetsbelagte opplysninger fra pasientjournaler over til e-post eller andre usikrede medier. Det samme har en annen ansatt gjort.

— I kommunen har vi et åpent og et lukket datasystem. Det skal være umulig å kopiere fra det lukkede systemet til det åpne, sier Noraas.

Arbeid ble umiddelbart iverksatt for å finne årsaken. Den ble funnet i en av serverne kommunen bruker. Feilen viste seg å være teknisk. Programvaren som skal sikre at ikke man kan kopiere, fungerte ikke.

Serveren ble tatt ut av bruk, mens feilen ble reparert.

Noraas opplyser at rundt 40-50 ansatte har kunnet kopiere journalnotater, men vet ikke om noen faktisk har gjort det, utover de to som meldte fra.

Det er i følge Noraasalment kjent at man ikke engang skal prøve å kopiere taushetsbelagte opplysninger, og at å forsøke dette vil være brudd på loven.

Les også:

— Mørketall om datasikkerhet

Datatilsynet har ikke hørt om sikkerhetsbrudd av typen Kristiansand har meldt fra om. Men regner med det er store mørketall.

Sikkerhetsbruddet i Nav-bygget er alvorlig og utvilsomt en fare for liv og helse.

— Sikkerhetsbruddet i Nav-bygget er alvorlig og utvilsomt en fare for liv og helse, sier Helge Veum, avdelingsdirektør for avdelingen for tilsyn og sikkerhet i Datatilsynet.

Han kjenner ikke til noen andre eksempler i Norge hvor montering av trådløs ruter har åpnet for tilgang til pasientopplysninger.

— Men jeg ble ikke overrasket over at det har skjedd, og jeg tror det kan skje flere steder, sier Veum.

Dersom slike avvik oppstår plikter både offentlige og private å melde fra til Datatilsynet. Dette for at tilsynet skal sjekke om feilen blir rettet, og tiltak satt inn for at det ikke skal skje igjen.

— Det er store mørketall for slike feilmeldinger, som regel fordi folk ikke vet, og noen ganger fordi folk ikke vil melder fra, sier Veum.

Les også: