Krim, Nordland | Fødsel- og personnummer i Nordland eksponert: Sikkerhetshull i system for skoleskyss

Systemet, som er utviklet og vedlikeholdt av en ekstern leverandør og brukes av flere norske fylkeskommuner, ble umiddelbart stengt ned etter at feilen ble oppdaget, bekrefter fylkesrådsleder Svein Øien Eggesvik i en pressemelding.

Alvorlig sak – Jobber med å tette hullet

Fylkesrådsleder Eggesvik, som også leder fylkeskommunens sentrale krisestab, sier leverandøren har bekreftet sikkerhetshullet.

– Leverandøren har bekreftet et sikkerhetshull overfor oss, og systemet som leveres til oss i Nordland ble tatt ned så snart vi ble klar over funnet, sier Eggesvik i pressemeldinga.

Fylkeskommunen samarbeider nå med leverandøren, andre berørte fylkeskommuner og det nasjonale senteret for cybersikkerhet, Helse- og KommuneCert, for å tette hullet.

Selv om det foreløpig ikke er noe som tyder på at uvedkommende har fått tilgang til dataene, behandles hendelsen som en svært alvorlig sak.

Ikke sensitiv informasjon

Eggesvik understreker at systemet ikke inneholder sensitiv personinformasjon, som informasjon om tilrettelagt skoleskyss eller hvilken type transport elever har innvilget. Denne informasjonen behandles separat.

Sikkerhetshullet ble funnet av en såkalt etisk hacker på eget initiativ. En etisk hacker er en person som tester systemsårbarheter uten å hente ut informasjon eller ha onde hensikter.

– Det er svært viktig at vi lærer til neste gang noen forsøker, slik at vi klarer å sperre tilgangen før de er på innsiden, sier Eggesvik, som påpeker viktigheten av grundige rutiner.

Millioner av forsøk hver måned

Hver måned opplever Nordland fylkeskommune mange millioner forsøk fra eksterne som prøver å komme seg innenfor murene på datasystemene i organisasjonen.

– Det er nesten umulig å helgardere seg, men det er snakk om noen titalls millioner forsøk som vi klarer å slå ned på hvert eneste år. Så er det en god del datasystemer som blir levert fra eksterne aktører, og da er vi avhengig av at også de har svært gode sikkerhetsrutiner. Akkurat dette datasystemet blir ikke tatt opp igjen før vi har gått nøye gjennom det sammen med leverandør, og ikke før sikkerhetshullet er tettet, konstaterer fylkesrådslederen i pressemeldingen

De som har spørsmål eller trenger mer informasjon om saken, kan kontakte personvernombudet i Nordland fylkeskommune på e-postadressen personvernombudet@nfk.no.