"Vi har ikke ønsket at sylte noget"

Styrelse forsøger at nedtone sikkerhedsbrist på femte år.

I fem år har hackere ved hjælp af et brute force-angreb kunnet skaffe sig adgang til et register med følsomme informationer fra Erhvervs- og Selskabsstyrelsen.

Men registeret indeholdt ikke voldsomt følsomme informationer, siger Jytte Tandrup, kontorchef hos Erhvervs- og Selskabsstyrelsen, i et forsøg at nedtone miseren, som Datatilsynet har kaldt "usædvanlig" og "besynderlig", fordi styrelsen over fem år ignorerede den skrøbelige sikkerhed.

”Der er tale om et register, hvis indhold for 75 procents vedkommende ligger fuldt offentligt tilgængeligt på Smiley-siden. Resten er oplysninger om, at virksomheder eksempelvis har fusket med pant eller udskænket alkohol til unge under 18 år. Der er ikke tale om et register om overtrædelse af straffelovgivningen eller andre tilsvarende alvorlige forhold, men overtrædelse af eksempelvis fødevarelovgivningen,” siger Jytte Tandrup.

Jytte Tandrup forklarer, at en registeret fra starten har været skabt til, at brugerne kun fik adgang ved hjælp af en digital signatur, men politiet har desværre ikke teknisk været i stand til at bruge digitale signaturer som login. Derfor har den alternative - men usikre - løsningen været skabt til politiets behov. Det har til gengæld betydet, at hackere de sidste fem år nemt har kunnet skaffe sig adgang ved igen og igen forsøge at logge på, indtil der rammes jackpot med den rigtige bruger og adgangskode.

Datatilsynet har desuden peget på, at en løsning kunne være at lave et lukket system, hvor kun bestemte IP-adresser kunne logge på. Men løsningen var for besværlig, siger Jytte Tandrup.

”Problemet med adgang via bestemte ip-adresser er, at så skal du opdatere det med den enkelte. Det ville være et relativt stort arbejde,” siger kontorchefen.

Jytte Tandrup afviser, at styrelsen har foretaget en regulær syltning af sagen i de sidste fem år.

”Vi har ikke ønsket at sylte noget. Vi har været i dialog med såvel politiet som Datatilsynet. Systemet er oprindeligt bygget til, at det alene skulle kunne tilgås via digital signatur – hvilet de øvrige myndigheder har benyttet sig af siden 2005. Vi har måttet lave en særlig løsning til politiet, da de ikke havde mulighed for at tilgå systemet med digital signatur. Det er langt det letteste og sikreste for alle parter, hvis myndighederne anvender digital signatur,” siger Jytte Tandrup.

Datatilsynet har desuden kritiseret, at styrelsen tilsyneladende ikke har haft et system, der holdt øje med, om nogen forsøgte gentagne gange at logge på. Hun mener ikke, at nogen har fået adgang, men kan ikke garantere noget.

”Vi har ikke noget tegn på overhovedet, at der har været indbud. Vi har ikke modtget oplysninger fra vores it-leverandør om usædvanlig aktivitet,” siger Jytte Tandrup.

Men har I været i stand til at se, om nogen har brudt ind ved at logge på mange gange?

”Jeg har ikke fået meldinger om, at der skulle være usædvanlig aktivitet, så det regner jeg ikke med, at der har været," svarer Jytte Tandrup uden at give et klart svar.

Kan I finde på at lave den lukkede IP-adresseløsning nu?

”Ikke umiddelbart, for vi forventer, at politiet også vil kunne logge på med digital signatur inden for en overskuelig fremtid," siger Jytte Tandrup.

Registeret er lukket for politiet lige nu. Politiet og Erhvervs- og Selskabsstyrelsen skal nu ind i en dialog om, hvordan en forbindelse til politifolkene kan oprettes på en sikker måde, og om det skal ske med en digital signatur. Der er 11 politibrugere, der har behov for adgang. De indberetter under 20 overtrædelser om året, vurderer Jytte Tandrup.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Højer og Lauritzen ApS
Distributør af pc- og printertilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Threats 2024: Sådan arbejder de it-kriminelle – og sådan beskytter du dig

De cyberkriminelle har udviklet sig betydeligt, arbejder professionelt, fleksibelt og udnytter hinandens specifikke kompetencer – omtrent som en velsmurt koncern med klar ansvarsfordeling – og har ofte en klar politisk eller kommerciel motivation. Det stiller også nye krav til din tilgang til cybersikkerhed, og på Cyber Threats 2024 får du viden, som gør dig i stand til bedre at prioritere, planlægge og eksekvere en tidssvarende cybersikkerhedsstrategi.

12. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

13. november 2024 | Læs mere


Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere