Brud på persondatasikkerheden hos Dantherm

Dato: 13-10-2021
Afgørelse Private virksomheder Kritik Anmeldt brud på persondatasikkerheden Hacking o.l. Behandlingssikkerhed Uautoriseret adgang Adgangskontrol Logning

Datatilsynet har udtalt kritik af, at Dantherm ikke havde passende sikkerhed. Virksomheden kunne ikke heller ikke påvise, at behandlingen havde været i overensstemmelse med reglerne.

Journalnummer: 2020-441-6990

Resume 

Datatilsynet har truffet afgørelse i en sag, hvor Dantherm havde anmeldt et brud på persondatasikkerheden til tilsynet.

Dantherm havde været udsat for et ransomwareangreb, hvor det lykkedes hackere at få adgang til Dantherms it-miljø, hvorfra hackerne lækkede oplysninger om nuværende og tidligere ansatte til the dark web.

Hackerne har sandsynligvis fået adgang via brugeren ”AV” som havde administratorrettigheder. Brugerkontoen havde tidligere været brugt af en ekstern konsulent, som ikke burde have adgang på tidspunktet for angrebet. Hackerne slettede de fleste af logfilerne. Dantherm kunne derfor ikke svare på, hvorvidt kontoen ”AV” havde været aktiv eller deaktiveret.

Datatilsynet udtalte, at administrative rettigheder alene skal give adgang til relevante begrænsede ressourcer (computere, aktive enheder, programmer, services eller lignende), og der skal sikres logning af al brug af rettighederne. Logfilerne skal derfor gemmes på en sådan måde, at brugerne med de administrative rettigheder ikke kan lukke ned for, slette eller ændre i loggen.

Datatilsynet fandt, at Dantherms behandling af personoplysninger ikke havde været i overensstemmelse med reglerne om passende sikkerhed.

Datatilsynet lagde ved vurderingen vægt på, at Dantherm ikke havde sikret, at brugere med administratorrettigheder ikke kunne slette eller ændre logfilerne.

Herudover fandt Datatilsynet, at Dantherm ikke havde levet op til kravet om, at den dataansvarlige skal kunne påvise en passende sikkerhed ved behandlingen af personoplysninger. Datatilsynet lagde i den forbindelse vægt på, at Dantherm ikke kunne dokumentere i hvilke perioder ”AV” kontoen var aktiv.  

På den baggrund fandt Datatilsynet grundlag for at udtale kritik af, at Dantherms behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesreglerne.

Sagen indeholdt såkaldt grænseoverskridende behandling af personoplysninger, da medarbejdere i bl.a. Tyskland, Polen og England også var berørt af bruddet. Datatilsynet har derfor truffet afgørelse som ledende tilsynsmyndighed efter ”one-stop-shop-mekanismen”.

1. Afgørelse

Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at Dantherms behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1 og artikel 24, stk. 1, jf. artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Dantherm har den 25. september 2020 anmeldt et brud på persondatasikkerheden til Datatilsynet.

Det fremgår af anmeldelsen, at Dantherm om aftenen den 26. august 2020 konstaterede unormal adfærd på en backupserver. Yderligere undersøgelse viste, at der den 21. august 2020 havde været ondsindet aktivitet på netværket. Aktiviteterne havde efter det oplyste primært omhandlet en undersøgelse af netværksstruktur og ødelæggelse af kørende backup. De tekniske undersøgelser foretaget af it-sikkerhedsvirksomheden Dubex A/S (herefter Dubex) gav på daværende tidspunkt ingen grund til mistanke om brud på persondatasikkerheden.

Det fremgår videre af anmeldelsen, at netværksforbindelsen blev afbrudt og den ondsindet aktivitet blev dermed stoppet. I samarbejde med hostingpartnerne og Dubex blev netværket åbnet på forsvarlig vis, og der blev igangsat yderligere undersøgelse af hackernes adfærd på netværket.

I den forbindelse blev det den 22. september 2020 kl. 21.00 konstateret, at der var eksfiltreret persondata fra Dantherm, som var lagt online på et tredjeparts hosting site. Dataene blev bekræftet fjernet den 23. september 2020 kl. 14.45.

Herudover fremgår det af anmeldelsen, at de berørte personoplysninger omhandlede:

  • bankoplysninger i form af kontooplysninger til brug for lønudbetaling på ca. 100-450 medarbejdere i Tyskland, Polen og England,
  • Religiøse forhold udelukkende til brug for skattemæssige hensyn på ca. 50 medarbejdere i Tyskland,
  • Helbredsoplysninger herunder i Danmark referat af 87 sundhedssamtaler og i Polen og England oplysninger af relevans for ansættelsesforholdet,
  • og personnumre på ca. 1.525 borgere i Danmark.

DAHL Advokatpartnerselskab har den 15. juni 2021 afgivet en udtalelse i sagen på vegne af Dantherm. DAHL Advokatpartnerselskab har bl.a. oplyst, at ud fra den aktivitet der kunne konstateres, blev det af Dantherm i samarbejde med Dubex konkluderet, at der var igangsat et ransomwareangreb mod Dantherm, hvor hackere havde formået at skaffe sig adgang til dele af IT-miljøet, men hvor angrebet endnu ikke var effektueret. På dette tidspunkt blev hacker- og ransomwareangrebet afværget.

De indledende undersøgelser viste ingen indikationer på, at der var tale om et brud på persondatasikkerheden, herunder at der definitivt var slettet data, at data var kopieret eller distribueret fra Dantherms IT-miljø, eller at der var en uautoriseret adgang til personoplysninger. Dette blev først konstateret efterfølgende.

De yderligere undersøgelser førte til, at det den 22. september 2020 blev opdaget, at der var eksfiltreret persondata fra Dantherms IT-miljø i form af én datafil, og at disse data havde været tilgængelige fra en server via en henvisning i et forum på the dark web. Filen indeholdt oplysninger om nuværende og tidligere ansatte.

Den 23. september 2020 kl. 14.45 blev det bekræftet, at filen var fjernet online fra den server, hvor den blev konstateret.

Undersøgelserne foretaget af Dubex indikerede, at filen var transmitteret direkte fra Dantherms IT-miljø til det pågældende hosting site. DAHL Advokatpartnerselskab har i den forbindelse anført, at det ikke har været muligt at undersøge hvem – om nogen – der eventuelt har tilegnet sig dataene, mens de har været online.

DAHL Advokatpartnerselskab har anført, at Dantherm havde implementeret en lang række sikkerhedssystemer, og at disse var aktiveret, indtil hackerne delvist deaktiverede nogle af dem i forbindelse med angrebet. Det fremgår videre af udtalelsen fra DAHL Advokatpartnerselskab, at Dantherm løbende udruller opdateringer på servere i forskellige ringe via SCCM. Der er forskellige årsager til, at der konkret ikke altid sker opdatering til seneste versioner af styresystemer straks disse frigives. Dette vurderes ikke generelt at kunne betragtes som værende i strid med best practice på området, herunder at opdateringer ikke nødvendigvis er af sikkerhedsmæssig karakter.

DAHL Advokatpartnerselskab har desuden oplyst, at data ikke har været slettet ved Dantherm, og at Dantherm ikke har været afskåret adgang til data. Hackerne har heller ikke fremsat krav for at undlade at offentliggøre dataene.

Det fremgår af sagen, at de berørte registrerede er underrettet ved brev udsendt den 29. og 30. september 2020.

Det fremgår af Dubex’ rapport med konklusioner over årsagen til bruddet, at det specielt var én af [serverne] som skilte sig ud, da denne havde mange services eksponeret ud mod internettet, inklusiv Microsoft Remote Deskop (RDP). Fra denne server var det efterfølgende muligt at tilgå øvrige systemer i hele netværket til alle interne systemer. Angriberne slog derefter antivirus/malware fra, og deaktiverede event logning på alle i angrebet involverede maskiner for at undgå at blive opdaget.

Herudover fremgår det af rapporten fra Dubex, at det lykkedes angriberne at logge ind på [serveren] via AD brugerkontoen ”AV”, som tidligere havde været brugt af en ekstern konsulent i foråret 2020 fra et eksternt firma som havde bistået Dantherm. Dubex har oplyst, at ”AV” ikke længere var hos det eksterne konsulentfirma, og der var derfor ikke nogen grund til at denne konto skulle logge ind på nogle af Dantherms systemer.  Kontoen var medlem af domæne administrator-gruppen og havde derfor fuld adgang til alle maskiner i AD’et. Angriberne har ifølge Dubex måske opnået adgang til kontoen ved gæt af password.

DAHL Advokatpartnerselskab har efterfølgende den 20. juli 2021 gjort gældende, at Dubex over for Dantherm i forbindelse med afrapporteringen af hackerangrebet oplyste, at den første konto med administratorrettigheder, som hackerne fik adgang til formentlig var brugeren ”AV”.

Ifølge det afrapporterede til Dantherm kunne det ikke påvises, at brugeren ”AV” nogensinde havde været logget på [serveren]. I den forbindelse har DAHL Advokatpartnerselskab anført, at konklusionerne er en angivelse af, hvad der findes mest sandsynligt, og ikke en angivelse af, hvad der endegyldigt kan lægges til grund som konstateret faktum.

Videre har DAHL Advokatpartnerselskab oplyst, at Dantherms IT manager finder det lige så sandsynligt, at hackerne har fået adgang til en anden domæne administrator rettighedskonto som den første, og først efterfølgende har anvendt kontoen ”AV”, muligvis fordi hackerne troede det var en service konto til Dantherms antivirus system.

Endeligt har DAHL Advokatpartnerselskab anført, at der ikke kan gives et egentlig svar på, hvorfor brugerkontoen ”AV” stadig kunne bruges til at logge ind på Dantherms systemer, da hackerne slettede de fleste af logfilerne i IT-miljøet. Det eneste der kan konstateres er, at brugerkontoen ”AV” ikke var slettet. Hvorvidt kontoen var aktiv eller deaktiveret, kan ikke konstateres af Dantherm.

Dantherms normale procedure er, at eksterne konsulenter kun har adgang til virksomhedens IT systemer i den periode den enkelte konsulent har et reelt behov herfor. Når den enkelte konsulent ikke længere har konkret behov for adgang til Dantherms IT systemer, bliver kontoen enten deaktiveret eller sat til udløb efter en given dato, for derefter at blive slettet. Når der er en formodning om, at en konsulent efter endt konkret opgave igen på et senere tidspunkt skal udføre opgaver for Dantherm, som kræver adgang til virksomhedens IT systemer, sletter Dantherm typisk ikke konsulentens konto, men sætter kontoen ”deaktiveret”. Under denne status kan konsulenten ikke anvende kontoen til at logge ind og tilgå Dantherms IT systemer.

Dantherms IT manager har i den forbindelse oplyst, at det er formodningen, at denne normale procedure også er overholdt i forhold til kontoen ”AV”, og at der ikke er indikationer på at andet skulle være tilfældet. Da de relevante logfiler er slettet af hackerne under angrebet, har Dantherm ikke mulighed for at fremlægge dokumentation for forholdene omkring, hvornår kontoen ”AV” har været aktiv, og i hvilke perioder kontoen har været deaktiveret. DAHL Advokatpartnerselskab har i den forbindelse anført, at det derfor ikke kan konkluderes, at kontoen var aktiv på tidspunktet for hackerangrebet.

I 2020 da hackerangrebet fandt sted, bestod Dantherms IT afdeling af fire medarbejdere med administratorrettigheder. Alle fire medarbejdere sad på det samme fysiske kontor. Retningslinjer blev derfor fastsat og administreret verbalt i plenum blandt disse medarbejdere. Siden hackerangrebet er der kommet flere medarbejdere til, og de aktuelle procedurer nedskrives derfor også.

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger på baggrund af sagens oplysninger til grund, at Dantherm har været udsat for et hackerangreb, der medførte, at filer indeholdende oplysninger om medarbejdere blev offentliggjort på the dark web.

Datatilsynet lægger på den baggrund til grund, at der er sket en uautoriseret adgang til personoplysninger, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

Det følger af databeskyttelsesforordningens artikel 24, stk. 1, at en dataansvarlig skal gennemføre passende tekniske og organisatoriske foranstaltninger for at sikre og for at være i stand til at påvise, at behandlingen er i overensstemmelse med forordningen.

Af databeskyttelsesforordningens artikel 32, stk. 1 fremgår, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici.

Kravet om passende sikkerhed indebærer efter Datatilsynets opfattelse, at det i systemlandskaber, hvor der kan skabes adgang til fortrolige personoplysninger eller særlige kategorier af persondata på tværs af forskellige ressourcer i domænestrukturen, normalt skal ske en begrænsning i administrative privilegier. Det vil derfor normalt være et udtryk for passende sikkerhed, at administratorrettigheden alene gives til de relevante begrænsede ressourcer og i et begrænset tidsrum.

Dette kunne udføres ved, at der ikke bruges brede administrative privilegier og adgange, samt at disse ikke gives permanent, men alene ved at elevere rettighederne ad hoc.

Tildeling af administratorrettigheder bør tilrettelægges på en sådan måde, at der alene gives adgang til relevante ressourcer, og der i alle tilfælde foretages maskinel registrering (logning) af alle anvendelser af rettighederne. Logfilerne skal endvidere gemmes på en sådan måde, at brugerne med de administrative rettigheder ikke kan slette eller ændre i disse.

Datatilsynet finder på ovenstående baggrund, at Dantherm – ved ikke at sikre, at brugere med administratorrettigheder ikke kunne slette eller ændre logfilerne – ikke har truffet passende tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved Dantherms behandling af personoplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 1.

Datatilsynet finder endvidere, at Dantherm – ved ikke at kunne påvise i hvilke perioder ”AV” kontoen var aktiv, eller ved – på anden vis – har været i stand til, at skabe klarhed over hvordan det skete brud på persondatasikkerheden kunne opstå – ikke har levet op til kravet om, at den dataansvarlige skal kunne påvise en passende sikkerhed ved behandlingen af personoplysninger, jf. databeskyttelsesforordningens artikel 24, stk. 1, jf. artikel 32, stk. 1.

Datatilsynet har herved lagt vægt på, at Dantherm ikke i tilstrækkelig grad har sikret den fornødne dokumentation, der i det konkrete tilfælde kunne belyse om forordningen blev overholdt.

Efter en gennemgang af sagen finder Datatilsynet samlet set, at der er grundlag for at udtale kritik af, at Dantherms behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1 og artikel 24, stk. 1, jf. artikel 32, stk. 1.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).