Det er forholdsvis let at hive fortrolige oplysninger ud af Haderslev Kommune. Det viser en TV2-dokumentar, hvor kommunen sagde ja til at lade hackere forsøge at trænge ind i kommunens it-systemer.
Jeg kan ikke sige, at det ikke kan ske igen.
Hackerne fra firmaet KPMG fik blandt andet hurtigt adgang til 25 ansattes mail-postkasser. Mange medarbejdere klikkede på links i mails, som hackerne havde sendt. Dermed kunne hackerne se cpr-numre og personfølsomme oplysninger fra en række borgere.
”Jeg kan ikke sige, at det ikke kan ske igen. Men vi har meget stor bevågenhed på området. Allerede da vi indgik i undersøgelsen, vidste jeg godt, at KPMG ville finde oplysninger hos os. Det var netop derfor, vi gik med, for vi har stor fokus på it-sikkerhed”, siger Anne-Mette Michelsen, som er it-chef i Haderslev Kommune.
Hacker luskede rundt på rådhuset
Fordi det kun var et forsøg, faldt borgernes oplysninger ikke i de forkerte hænder. Men forsøget afslørede flere alvorlige sikkerhedsbrister i Haderslev Kommune.
Vi vil gerne have et åbent rådhus, for det er borgernes rådhus
Hackerne fik ikke udelukkende adgang via lokkende mails. En af de professionelle hackere udgav sig for at være arkitektstuderende, og dermed fik hun lov til at gå alene rundt i kommunens Borgerservice. Her lå papirer med personfølsomme oplysninger frit fremme på skrivebordene.
”Vi vil gerne have et åbent rådhus, for det er borgernes rådhus, og de skal have lov til at komme ind. Men de må selvfølgelig ikke gå alene rundt på de kontorer, hvor der ligger data fremme på skrivebordene. Og der vil altid ligge data fremme på skrivebordene i løbet af en dag, for ellers kan vi jo ikke arbejde med sagerne”, siger Anne-Mette Michelsen.
Kan ske i andre kommuner
It-chefen oplyser, at kommunen har lært flere tekniske ting af hacker-forsøget, og at flere ting er rettet efter forsøget.
”Men det vigtigste er jo, at vi medarbejdere ikke giver login-oplysninger fra sig. Derfor indskærper vi over for vores medarbejdere, at de skal tænke sig godt om i dagligdagen”, siger Anne-Mette Michelsen.
De brister, der er afsløret hos os, kan man også have i de andre kommuner.
TV2 havde spurgt alle landets 98 kommuner, om de ville medvirke i hacking-testen. Kun Bornholm og Haderslev kommuner sagde ja. Anne-Mette Michelsen fortryder ikke, at Haderslev lod sig teste, selv om testen afslørede flere alvorlige brister.
”De brister, der er afsløret hos os, kan man også have i de andre kommuner. Det var også derfor, vi sagde ja til at være med. Vi kan forhåbentlig give noget erfaring videre til de 96 andre kommuner om, hvad man skal være opmærksom på”, siger Anne-Mette Michelsen.