Hovsa: Virksomhed lægger medarbejderes CPR-numre og lønsedler frit frem

Ved en fejl offentliggør virksomheder følsomme oplysninger på nettet. Det øger risikoen for svindel og afpresning.

Det er oplysninger, som aldrig burde ligge frit fremme, men alle kan se dem alligevel. Et cateringfirma i hovedstadsområdet har for eksempel lagt ansættelseskontrakter, lønoplysninger med cpr-numre og oplysninger om gæld offentligt frem.

På Aarhus Universitet har en studentermedhjælper ved en fejl lagt forskningsdata ud om manipulerede gener på mus og fisk, der ikke er publiceret endnu.

Mens har kødvirksomheden BF-Oks på Østfyn haft en enkelt detaljeret nøglefil om virksomhedens kunder og økonomi liggende frit tilgængeligt på nettet.

- Det er foruroligende. Vi har gjort rigtigt meget ud af it-sikkerhed de seneste år. Jeg er meget forundret over, at en fil med så mange oplysninger er let tilgængelig, siger Henrik Kristensen, kontorchef hos BF-Oks, der glæder sig over, at der trods alt ikke er personfølsomme oplysninger i filen.

Millioner af filer kan være offentlige ved en fejl

I denne uge træder EU's datasikkerhedsforordning i kraft, og virksomheder kan få store bøder, hvis de ikke har styr på fortrolige oplysninger.

Men det kan være svært at lukke alle sikkerhedshuller, viser et øjebliksbillede over netværksharddiske (NAS), som står frit åbne. Det er en sikkerhedsekspert, som har udarbejdet oversigten til P1 Orientering og Databaseredaktionen i DR Danmark, fordi han er bekymret over følsomme oplysninger, der flyder på nettet.

Oversigten viser over 2,1 millioner filer fordelt på knap 700 åbne harddiske eller servere.

Det kræver intet kodeord at se filerne, der ligger på nettet. På samme måde som man taster en webadresse - som for eksempel www.dr.dk - skal man i stedet for www blot skrive ftp:// og den relevante adresse. Derefter stryger man direkte ind på folks netværksharddisk og kan se mapper og filer.

De fleste åbne harddiske stammer fra privatpersoner, men der er også følsomme informationer fra virksomheder.

Risiko for svindel og afpresning

Det kan være meget skadeligt for virksomheder, når fortrolige oplysninger ikke er gemt af vejen, fortæller Morten Rostved Vang, chefkonsulent med speciale i it-sikkerhed fra Dansk Industri (DI) - og problemet er ikke blot mulige bøder fra EU.

- Manglende sikkerhed kan have stor indflydelse på virksomhedens økonomi. Cyber-kriminelle bruger ofte medarbejdere som indgang til virksomheden, siger han.

De kriminelle kan blandt andet bruge åbne netværksharddiske til at finde oplysninger om virksomheden. Bagefter kan de udgive sig for at være direktøren og bede om at få udbetalt penge til de kriminelles konti i såkaldt CEO-bedrageri, forklarer Morten Rostved Vang.

Blandt andet blev Statens Museum for Kunst sidste år franarret 805.000 kroner efter falske mails.

Der er også risiko for virus på de åbne harddiske, som aflurer kodeord eller låser filer, som først bliver frigivet, når virksomheden betaler løsepenge.

Sidste år blev Mærsk lammet i flere dage, da virksomhedens filer blev låst.

Endelig ønsker virksomheder ofte at holde oplysninger om kunder, rabatordninger og kontrakter hemmelige, forklarer Morten Rosted Vang. Det er uheldigt, hvis konkurrenter kan aflure dem.

Forskning blev ikke beskyttet

Aarhus Universitet ønsker heller ikke at blive set over skulderen, når det gælder forskning, som ikke er offentliggjort endnu.

- Det værste, som kunne ske, var, hvis vi skulle patentere en opdagelse, og andre kigger med, siger Ulrik Bølcho, postdok på Institut for Biomedicin. Noget af hans forskning om gener og psykiatriske sygdomme var ved en fejl offentligt, da en studentermedhjælper gemte filer på sin netværksharddisk.

- Vi har meget tillid til it-sikkerheden på Aarhus Universitet, men når man tager data hjem i privaten, kan man ikke regne med it-sikkerheden, siger Ulrik Bølcho, der dog ikke mener, at der er sket en skade denne gang men gerne vil have hjælp til at lukke sikkerhedshullet.

BF-Oks har fået sikkerheden i orden ved at afmontere netværksharddisken. Kontorchefen er fortørnet over, at filer på harddisken var offentlige, uden han ønskede det eller blev advaret om det, da han installerede den.

- Det kan ske for rigtigt mange mennesker. Når man får et produkt, der bare skal sluttes til, gør man det, siger han.

Virksomheder skal passe bedre på

Der er behov for at ændre sikkerhedskulturen på virksomheder, hvis man skal undgå sager som med de åbne harddiske, mener Dansk Industri.

- Vi er blevet digitale meget hurtigere, end vi har udviklet en forståelse af sikkerheden. It-sikkerhed sker ikke med samme naturlighed som at låse døren eller have videoovervågning af lageret, siger chefkonsulent Morten Rosted Vang.

Han råder ledelserne til at prioritere it-sikkerhed højt. Det drejer sig ikke kun om hardware og software, men også at medarbejderne får udviklet en kritisk sans.

Sådan undersøgte DR sikkerheds-huller

  • I de her dage sætter DR fokus på it-sikkerhed. Målet er at belyse sikkerhedshuller, og anledningen er EU´s persondataforordning, der træder i kraft 25. maj i år.

  • En sikkerhedsekspert har sendt en liste over åbne netværksharddiske og ftp-servere. Uden adgangskode kan alle se filerne. To DR journalister fra P1 Orientering og Databaseredaktionen i DR Danmark har undersøgt indholdet i de åbne netværks-harddiske ved at søge efter dokumenter med forskellige søgeord som for eksempel: bank, skat, forvaltning eller gæld. Researchen er ikke delt med andre, men gemt i krypterede mapper.

  • DR har kontaktet en række personer, der uden at vide det, har følsomme ting liggende på nettet og advaret dem mod risikoen. Mange har efterfølgende lukket sikkerhedshullet.

  • Er du i tvivl om din netværks-harddisk offentliggør alt, uden du vil det, anbefaler vi at læse denne guide.

Facebook
Twitter