Han avslørte datasvikt i Sandnes og Stavanger
DATASVIKT: I fleire månader var personopplysningar om alle som har eigedom i Stavanger og Sandnes, moglege å hente ut. – Hårreisande, seier varslar.
– Eg er svaert uroa for kommunal IT-tryggleik. Det vi finn er hårreisande, seier Hallvard Nygård, IT-utviklar i Stavanger.
Saman med Roy Solberg, også han utviklar, undersøker han system og appar som han bruker. Dette gjer dei som privatpersonar med mål om at personopplysningar skal bli betre verna.
Kan sjå purringa du fekk
I både Stavanger kommune og Sandnes kommune fann dei at informasjon om alle som eig eigedom, var tilgjengeleg for alle. Her var det mogleg å finne informasjon om personnummer og opplysningar knytta til faktura, til dømes kor vidt du har fått purring.
– Vi fann register med blant anna personnummer, namn, epost og fakturadata. Reglane rundt personnummer er strenge, du får det ikkje berre utlevert. Om feil folk finn eit slikt register, kan dette brukast til identitetstjuveri. Og saman med informasjon frå andre register eller sosiale medium, kan dette brukast til svindel, seier han.
– Aller helst ville eg bedt dei slette meg frå registeret, men det er dessverre ikkje mogleg. Informasjonen blir lagt inn i databasen uansett, seier Nygård.
Søppeltømming
I tillegg til Sandnes og Stavanger, fann han svakheit i tryggleiken for 12 kommuner og interkommunale selskap rundt om i landet.
– Svikten var knytt til ein app for søppeltømming, der vi har samla inn data for når avfall skal hentast. Vi har brannmur, men der var altså ei opning som vi ikkje visste om. Feilen er retta, seier Svein Klungtveit, rådgjevar i Stavanger kommune.
Selskapet som leverer programvare til både Sandnes kommune og Stavanger kommune, stadfestar at det var teknisk mogleg å hente ut personopplysningar frå tenesta. Leverandøren blei varsla 15. april, og 20. april fekk Stavanger kommune melding om dette. Tidsrommet for avvik er av leverandøren oppgitt å vere frå starten av januar.
– Mesteparten av informasjonen ein kunne finne der, som namn og adresser, ligg opent ute allereie, men så viser det seg at det også var mogleg å hente ut informasjon om personnummer. Nygård har vore inne og leita, og klarte med sin kunneskap å finne dette.
Jan Erik Gjerseth, avdelingsleiar ved miljø og renovasjon i Sandnes kommune, seier saka blir følgd opp internt.
– Det ser ut til å ha vore eit kort vindauge før holet i brannmuren blei tetta, men det er likevel ei viktig påminning om at vi må følgje godt med.
–Vi har fått stadfesta at ingen andre har vore inne og henta ut informasjon, men må vurdere korleis vi skal unngå at slikt skjer igjen. Vi jobbar med ein ny app, og då blir dette spesielt viktig. Kor alvorleg denne saka var, treng vi litt hjelp med å vurdere skikkeleg. Vi har ein gjennomgang på dette no, seier han.
Leverandøren har meldt avviket til Datatilsynet, og understrekar der at ingen lekkasjer skjedde. Dei påpeikar at det trengs teknisk kompetanse for å finne informasjonen. Datatilsynet svarer at dei har valt å avslutte saka fordi tiltak har blitt satt inn og avvika er retta.
Går inn bakdøra
Argumentet om at det ikkje er kven som helst som kan finne dette, ettersom det krev teknisk kompetanse, svarer Nygård slik på:
– Ein kan sjå det slik: Vi går rundt bygget og inn den opne døra på baksida, medan folk flest berre går forbi huset. Det betyr ikkje at ein ikkje skal sikre det.
Han meiner enkle grep kan sikre slike brot på IT-tryggleiken.
– Det er ikkje vanskeleg å sikre denne informasjonen, til dømes ved å legge det bak ein brannmur. Vi fann at Stavanger og Sandnes fekk strykk i tryggleikstesten, enkelte snubla i mål, medan Gjesdal er einaste i distriktet eg var nøgd med, seier han.
I tillegg til Sandnes og Stavanger, fann han svakheit i tryggleiken for 12 kommuner og interkommunale selskap rundt om i landet.