"Vi har ikke ønsket at sylte noget"

Styrelse forsøger at nedtone sikkerhedsbrist på femte år.

I fem år har hackere ved hjælp af et brute force-angreb kunnet skaffe sig adgang til et register med følsomme informationer fra Erhvervs- og Selskabsstyrelsen.

Men registeret indeholdt ikke voldsomt følsomme informationer, siger Jytte Tandrup, kontorchef hos Erhvervs- og Selskabsstyrelsen, i et forsøg at nedtone miseren, som Datatilsynet har kaldt "usædvanlig" og "besynderlig", fordi styrelsen over fem år ignorerede den skrøbelige sikkerhed.

”Der er tale om et register, hvis indhold for 75 procents vedkommende ligger fuldt offentligt tilgængeligt på Smiley-siden. Resten er oplysninger om, at virksomheder eksempelvis har fusket med pant eller udskænket alkohol til unge under 18 år. Der er ikke tale om et register om overtrædelse af straffelovgivningen eller andre tilsvarende alvorlige forhold, men overtrædelse af eksempelvis fødevarelovgivningen,” siger Jytte Tandrup.

Jytte Tandrup forklarer, at en registeret fra starten har været skabt til, at brugerne kun fik adgang ved hjælp af en digital signatur, men politiet har desværre ikke teknisk været i stand til at bruge digitale signaturer som login. Derfor har den alternative - men usikre - løsningen været skabt til politiets behov. Det har til gengæld betydet, at hackere de sidste fem år nemt har kunnet skaffe sig adgang ved igen og igen forsøge at logge på, indtil der rammes jackpot med den rigtige bruger og adgangskode.

Datatilsynet har desuden peget på, at en løsning kunne være at lave et lukket system, hvor kun bestemte IP-adresser kunne logge på. Men løsningen var for besværlig, siger Jytte Tandrup.

”Problemet med adgang via bestemte ip-adresser er, at så skal du opdatere det med den enkelte. Det ville være et relativt stort arbejde,” siger kontorchefen.

Jytte Tandrup afviser, at styrelsen har foretaget en regulær syltning af sagen i de sidste fem år.

”Vi har ikke ønsket at sylte noget. Vi har været i dialog med såvel politiet som Datatilsynet. Systemet er oprindeligt bygget til, at det alene skulle kunne tilgås via digital signatur – hvilet de øvrige myndigheder har benyttet sig af siden 2005. Vi har måttet lave en særlig løsning til politiet, da de ikke havde mulighed for at tilgå systemet med digital signatur. Det er langt det letteste og sikreste for alle parter, hvis myndighederne anvender digital signatur,” siger Jytte Tandrup.

Datatilsynet har desuden kritiseret, at styrelsen tilsyneladende ikke har haft et system, der holdt øje med, om nogen forsøgte gentagne gange at logge på. Hun mener ikke, at nogen har fået adgang, men kan ikke garantere noget.

”Vi har ikke noget tegn på overhovedet, at der har været indbud. Vi har ikke modtget oplysninger fra vores it-leverandør om usædvanlig aktivitet,” siger Jytte Tandrup.

Men har I været i stand til at se, om nogen har brudt ind ved at logge på mange gange?

”Jeg har ikke fået meldinger om, at der skulle være usædvanlig aktivitet, så det regner jeg ikke med, at der har været," svarer Jytte Tandrup uden at give et klart svar.

Kan I finde på at lave den lukkede IP-adresseløsning nu?

”Ikke umiddelbart, for vi forventer, at politiet også vil kunne logge på med digital signatur inden for en overskuelig fremtid," siger Jytte Tandrup.

Registeret er lukket for politiet lige nu. Politiet og Erhvervs- og Selskabsstyrelsen skal nu ind i en dialog om, hvordan en forbindelse til politifolkene kan oprettes på en sikker måde, og om det skal ske med en digital signatur. Der er 11 politibrugere, der har behov for adgang. De indberetter under 20 overtrædelser om året, vurderer Jytte Tandrup.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere