En forklaring om at være studerende med interesse for kommunale bygninger var nok. Mere skulle der ikke til for at komme ind på Borgerservice i Haderslev, da en gruppe hackere i samarbejde med TV 2 satte sig for at afprøve IT-sikkerhed.
En af de professionelle hackere gav sig ud for at ville se på bygningens særkende. Kvinden fik lov at gå uledsaget rundt blandt medarbejderne i Haderslev Kommune. Og som det kan ses i TV 2 dokumentaren 'Hackerne angriber os' torsdag aften på TV 2, gav det samtidig et kig ind i personfølsomme oplysninger, samt rig og uhindret mulighed for at tilegne sig blandt andet CPR-numre.
Papirer lå frit fremme
I Haderslev Kommune er der røde ører over, at der ikke var en såkaldt clean desk policy - altså at der ikke lå papirer på skriveborde, hvor den ansatte ikke var til stede.
- Der må ikke ligge papirer frit fremme, og det er en meget alvorlig ting, siger it-chef Anne-Mette Michelsen fra Haderslev Kommune.
I dokumentaren 'Hackerne angriber os' prøver hackere fra rådgivningsfirmaet KPMG med en række af de metoder, som kriminelle hackere bruger, at få adgang til de meget følsomme personoplysninger, som kommunerne ligger inde med om os alle.
Medarbejdere gik i phishing fælden
I Haderslev lykkedes det også at få fuld adgang til 25 medarbejderes e-mailpostkasser, efter at man havde sendt en såkaldt phishing mail ud. Med den adgang var det derigennem muligt at finde personoplysninger, CPR-numre og bankoplysninger på kommunens borgere.
I det sønderjyske er man klar over, at der er plads til forbedring.
- Det er simpelthen ikke tilladeligt, at vi ikke sikrer borgeres data. Det er det, vi er ansat til, og det er det, vi skal passe på. Det er den ydmyghed, vi skal have, siger it-chef Anne-Mette Michelsen.
I Datatilsynet, der varetager det overordnede sikkerhedsbillede i offentlige institutioner, har man via kontrolbesøg konstateret masser af eksempler på lemfældig omgang med persondata.
- Vi havde forholdsvist mange udtalelser, hvor vi var oppe i den helt høje ende. Altså hvor vi udtalte, at det, vi konstaterede, var meget kritisabelt, siger kontorchef Jesper Husmer Vang fra Datatilsynet.
Alle landets kommuner blev spurgt, om de ville medvirke, men kun Haderslev og Bornholm indvilgede.
