TV der bevæger dig

Haderslev Kommune lod sig teste af hackere - og blev overrasket

Alle landets kommuner blev spurgt, men kun to kommuner indvilgede i, at hackere måtte afprøve deres it-sikkerhed. Den ene var Haderslev Kommune. Foto: TV 2 Danmark

For at teste it-sikkerhed i det offentlige forsøgte TV 2 og en gruppe hackere at trænge ind i to kommuners systemer. Det kunne sagtens lade sig gøre, viste det sig bl.a. i Haderslev

I samarbejde med tv2.dk

Alle landets kommuner blev spurgt, men kun to kommuner indvilgede i, at hackere måtte afprøve deres it-sikkerhed. Den ene var Haderslev Kommune, og her lykkedes det blandt andet hackerne at få fuld adgang til 25 medarbejderes e-mailpostkasser.

Bent-Ole Østerby var en af dem, der blev ramt.

- Det er da dybt ubehageligt, at de har kunnet logge sig ind og sende mails på vegne af mig og organisationen. Ikke kun for mig personligt, men ligeså meget for kommunen, siger Bent-Ole Østerby, der til daglig er leder af Pædagogik og Læring i Haderslev Kommune.

I dokumentaren 'Hackerne angriber os' prøver hackere fra rådgivningsfirmaet KPMG med en række af de metoder, som kriminelle hackere bruger, at få adgang til de meget følsomme personoplysninger, som kommunerne ligger inde med om os alle.

Hackerne fik adgang til Bent-Ole Østerbys og de andre medarbejderes e-mailpostkasser i Haderslev ved hjælp af en såkaldt phishing-mail.

Det kunne lade sig gøre, fordi kommunen havde glemt at ændre standardkodeordet til deres konferencesystem, så hackerne kunne hurtigt skaffe sig navnene på alle medarbejdere og deres e-mailadresser.

"Drillenisser"

Derefter sendte de op mod jul en phishing-mail om drillenisser ud til 700 ansatte. Formålet med den falske mail var at lokke de ansattes adgangskoder ud af dem.

Hackerne skrev i deres mail, at der var "en lille chance for, at drillenisserne har pillet lidt ved intranetsiden, hver gang du logger ind. Du kan logge ind på intranet.haderslev.dk nu for at se, om det er dig, de driller med i dag."

En række medarbejdere faldt for svindlen og indtastede deres koder på en falsk hjemmeside, der var linket til. På den måde fik hackerne koderne og fuld adgang til 25 medarbejderes e-mailpostkasser.

I e-mailpostkasserne fandt hackerne tusindvis af mails, hundredvis af CPR-numre og detaljerede oplysninger om udsatte borgere.

"Det er ikke tilladeligt"

I Haderslev Kommune er man godt klar over, at der skal strammes op.

- Det er simpelthen ikke tilladeligt, at vi ikke sikrer borgeres data. Det er det, vi er ansat til, og det er det, vi skal passe på. Det er den ydmyghed, vi skal have, siger it-chef Anne-Mette Michelsen.

Haderslev Kommune er dog langt fra alene om at have udfordringer med it-sikkerheden. En lang række rapporter har vist, at det står skidt til med it-sikkerheden i det offentlige.

- Vi har udtalt ret krads kritik af nogle af de her myndigheder, hvor der har været problemer med simpelthen at leve op til de regler, der gælder i forhold til at passe på borgernes oplysninger. Det har været lidt bekymrende i virkeligheden, siger kontorchef Jesper Husmer Vang fra Datatilsynet.

Meget kritik

Datatilsynet er den myndighed, der fører tilsyn med, at der bliver passet godt nok på vores persondata – også i det offentlige. I den forbindelse har Datatilsynet også været på kontrolbesøg i mange kommuner.

- Vi havde forholdsvist mange udtalelser, hvor vi var oppe i den helt høje ende. Altså hvor vi udtalte, at det, vi konstaterede, var meget kritisabelt, og det er en rigtig hård kritik at få. Det har typisk været, fordi man slet ikke har haft styr på noget som helst af det, vi har spurgt om, siger Jesper Husmer Vang.

"Ikke overrasket"

Hackerne finder alvorlige sikkerhedsbrister både i Haderslev Kommune og i Bornholms Regionskommune, der er den anden kommune i afprøvningen.

Efter afprøvningen af de to kommuner er hackerne ikke i tvivl om deres dom.

- Vi har ikke set noget, der har overrasket mig. Det er, som jeg havde forventet. Desværre. Medarbejderne er for eksempel ikke bange for at klikke på noget, hvilket er heldigt for os, siger teamleder Klaus Agnoletti fra Cybersikkerhed i KPMG.

- Kommunerne vidste ikke, hvor ting var. De kendte ikke deres egne netværk. De kunne ikke finde ud af at vedligeholde netværket, og netværket var ikke sikkerhedsmæssigt korrekt brugt, udnyttet eller konfigureret, tilføjer Klaus Agnoletti.

Torsdag klokken 20.50 vises dokumentaren 'Hackerne angriber os' på TV 2.

Hent TV SYDs nye app - seneste nyt lige ved hånden
Hent TV SYDs nye app - seneste nyt lige ved hånden
Hent TV SYDs nye app - seneste nyt lige ved hånden