Haderslev vil lære af omfattende hacker-angreb

It-chef vil ikke love, at Haderslev Kommune ikke kan blive angrebet igen. Kommunen fortryder ikke sin medvirken i hacker-forsøg.

Det er forholdsvis let at hive fortrolige oplysninger ud af Haderslev Kommune. Det viser en TV2-dokumentar, hvor kommunen sagde ja til at lade hackere forsøge at trænge ind i kommunens it-systemer.

quote

Jeg kan ikke sige, at det ikke kan ske igen.

Anne-Mette Michelsen, it-chef i Haderslev Kommune

Hackerne fra firmaet KPMG fik blandt andet hurtigt adgang til 25 ansattes mail-postkasser. Mange medarbejdere klikkede på links i mails, som hackerne havde sendt. Dermed kunne hackerne se cpr-numre og personfølsomme oplysninger fra en række borgere.

”Jeg kan ikke sige, at det ikke kan ske igen. Men vi har meget stor bevågenhed på området. Allerede da vi indgik i undersøgelsen, vidste jeg godt, at KPMG ville finde oplysninger hos os. Det var netop derfor, vi gik med, for vi har stor fokus på it-sikkerhed”, siger Anne-Mette Michelsen, som er it-chef i Haderslev Kommune.

Hacker luskede rundt på rådhuset

Fordi det kun var et forsøg, faldt borgernes oplysninger ikke i de forkerte hænder. Men forsøget afslørede flere alvorlige sikkerhedsbrister i Haderslev Kommune.

quote

Vi vil gerne have et åbent rådhus, for det er borgernes rådhus

Anne-Mette Michelsen, it-chef i Haderslev Kommune

Hackerne fik ikke udelukkende adgang via lokkende mails. En af de professionelle hackere udgav sig for at være arkitektstuderende, og dermed fik hun lov til at gå alene rundt i kommunens Borgerservice. Her lå papirer med personfølsomme oplysninger frit fremme på skrivebordene.

”Vi vil gerne have et åbent rådhus, for det er borgernes rådhus, og de skal have lov til at komme ind. Men de må selvfølgelig ikke gå alene rundt på de kontorer, hvor der ligger data fremme på skrivebordene. Og der vil altid ligge data fremme på skrivebordene i løbet af en dag, for ellers kan vi jo ikke arbejde med sagerne”, siger Anne-Mette Michelsen.

Kan ske i andre kommuner

It-chefen oplyser, at kommunen har lært flere tekniske ting af hacker-forsøget, og at flere ting er rettet efter forsøget.

”Men det vigtigste er jo, at vi medarbejdere ikke giver login-oplysninger fra sig. Derfor indskærper vi over for vores medarbejdere, at de skal tænke sig godt om i dagligdagen”, siger Anne-Mette Michelsen.

quote

De brister, der er afsløret hos os, kan man også have i de andre kommuner. 

Anne-Mette Michelsen, it-chef i Haderslev Kommune 

TV2 havde spurgt alle landets 98 kommuner, om de ville medvirke i hacking-testen. Kun Bornholm og Haderslev kommuner sagde ja. Anne-Mette Michelsen fortryder ikke, at Haderslev lod sig teste, selv om testen afslørede flere alvorlige brister.  

”De brister, der er afsløret hos os, kan man også have i de andre kommuner. Det var også derfor, vi sagde ja til at være med. Vi kan forhåbentlig give noget erfaring videre til de 96 andre kommuner om, hvad man skal være opmærksom på”, siger Anne-Mette Michelsen.