- På slike trådløse rutere har man ingen kontroll på hva som prøver å kobler seg til, sier Torstein Mauseth, nettverkskonsulent i Bitpro, med fordypning i sikkerhet. Han er også med i Digin Security Awareness Group. Foto: Kjartan Bjelland

Kristiansand kommune har de siste ukene jobbet for å rette opp i alvorlige sikkerhetsproblemer som berører sensitiv personinformasjon om byens innbyggere. Det ble sendt i alt fire avviksmeldinger til Datatilsynet.Mandag denne uka meldte kommunen i et referat at problemene er rettet.

Opplysningene både leses, forandres og ødelegges, noe som vil kunne medføre fare for liv og helse.

Den mest alvorlige feilen var innstalling av uautoriserte trådløse rutere som ikke oppfyller sikkerhetskravene i kommunen.

— Ingen kontroll

— På slike trådløse rutere har man ingen kontroll på hva som prøver å kobler seg til, og det er mangel på sentralisert management og sikkerhet, sier Torstein Mauseth, nettverkskonsulent i Bitpro, med fordypning i sikkerhet. Han er også med i Digin Security Awareness Group.

Fædrelandsvennen har bedt ham kommentere feilene som er avdekket, siden fagmiljøet i it-klyngen Digin jobber med å spre kunnskap om datasikkerhet på Sørlandet.

— I praksis har de laget en bakdør til nettverket sitt da disse uautoriserte ruterne ble installert. Det er utallige måter å komme seg inn på, sier han.

Problemet bekreftes av assisterende it-sjef i Kristiansand kommune, Margrethe Noraas.

Les også:

Nav-bygget

De trådløse ruterne av typen «Airport Express» ble installert i kommunens del av databasene i Nav-bygget Gyldengården. Ruterne hadde tilgang til helse— og sosialetatens sikrede datanettverk.

— Da er det mulig å komme seg helt inn til enkeltpersoners medisinlister, epikriser eller andre dokumenter som brukes som grunnlag for diagnoser og behandling av for eksempel sykehjemsbrukere. Da kan opplysningene både leses, forandres og ødelegges, noe som vil kunne medføre fare for liv og helse, sier Noraas.

Sikkerhetshullet er nå tettet.

Les også:

«Sikkert nettverk«

Tidligere i år varslet også en ansatt i kommunen at det var lett å gjøre noe som ble sagt å være umulig; nemlig å kopiere personsensitiv informasjon fra den såkalt «sikre» og lukkede delen av kommunens nettverk til den oppdaget ved en tilfeldighet at det som ikke skulle være mulig, gikk veldig lett: Å kopiere taushetsbelagte opplysninger fra pasientjournaler over til e-post.

Programvaren som skal sikre at ikke man kan kopiere, fungerte ikke.

Dette problemet er ikke helt løst ennå.

Å kopiere denne informasjonen er brudd på loven. Det er også brudd på loven å ikke sikre systemet som inneholder personsensitiv informasjon godt nok.

Konfiskerte rutere

Kommunens it-avdeling sier til Fædrelandsvennen at det oppdages 4-5 tilfeller av uautorisert utstyr på nettverket hvert eneste år.

— Når det gjelder saken på Gyldengården, har utstyret blitt konfiskert og det har vært avholdt møte med de involverte, sier Noraas.

Torstein Mauset advarer mot denne type rutere på nettverk som skal håndtere informasjon som må beskyttes, og anbefaler i stedet enterprise-modeller som støtter autentisering, autorisasjon og loggføring (AAA).

— Enterprise nettverksutstyr må vanligvis konfigureres manuelt. Gjøres dette riktig vil man raskt få bedre kontroll og sikkerhet. Det som har skjedd her, må være et brudd på sikkerhetspolicyen.

— Hvordan kan en bedrift eller etat forhindre slike problemer?

— Man må sikre god opplæring av egne ansatte. I tillegg bør man ha systemer for en regelmessig revisjon av nettverket og datasystemene. Ofte kan det være lurt å outsource oppgaven til et eksternt firma som har kunnskaper, erfaring og et godt rykte innenfor dette fagområdet.

Han berømmer kommunen for én ting i denne saken:

— Det er svært bra at det er kommunal ansatte som har oppdaget og varslet om feilene.

- Mørketall om datasikkerhet

Sikkerhetsbruddet i Nav-bygget er alvorlig og utvilsomt en fare for liv og helse.

— Sikkerhetsbruddet i Nav-bygget er alvorlig og utvilsomt en fare for liv og helse, sier Helge Veum, avdelingsdirektør for avdelingen for tilsyn og sikkerhet i Datatilsynet.

Han kjenner ikke til noen andre eksempler i Norge hvor montering av trådløs ruter har åpnet for tilgang til pasientopplysninger.

— Men jeg ble ikke overrasket over at det har skjedd, og jeg tror det kan skje flere steder, sier Veum.

Slik avvik er brudd på loven, og Datatilsynet skal varsles om dette og påse at feilene blir rettet.

— Det er store mørketall for slike feilmeldinger, som regel fordi folk ikke vet, og noen ganger fordi folk ikke vil melder fra, sier Veum.