Ny afgørelse

Københavns Kommune får alvorlig kritik for manglende sikkerhedsforanstaltninger

Dato: 07-05-2024

Datatilsynet har udtalt alvorlig kritik i en sag, hvor ca. 37.500 medarbejdere i Københavns Kommune uberettiget fik adgang til oplysninger om op mod 3,7 mio. personer – herunder følsomme oplysninger om børn.

Journalnummer: 2024-442-4149.

Resumé

I forbindelse med flytning af filer med en større mængde data (diskswap) blev der som følge af en menneskelig fejl givet for brede brugeradgange til det drev, hvor data blev opbevaret. Det resulterede i, at ca. 37.500 medarbejdere i kommunen uberettiget fik adgang til oplysninger om op mod 3,7 millioner personer. Dataene relaterede sig til en såkaldt SAS-installation (format til ledelsesinformation mv.), og det var alene fire SAS datawarehouse-udviklere, der skulle have haft adgang til dataene. For størstedelen af de berørte var der bl.a. tale om navne- og adresseoplysninger, men derudover indeholdt filerne også oplysninger om trivsel, sprogvurdering og oplysninger om tandlæge og sundhedspleje vedrørende børn.

Den brede adgang eksisterede i knap to måneder, indtil Københavns Kommune konstaterede fejlen ved en sikkerhedsmæssig rutinescanning af kommunens åbne drev. Adgangen blev herefter lukket, og hændelsen blev anmeldt til Datatilsynet som et brud på persondatasikkerheden.

Kommunen bemærkede i forbindelse med sagen, at det dog var vurderingen, at der var en meget lille sandsynlighed for, at en almindelig it-bruger skulle støde på drevet, da det krævede særlige forudsætninger at finde det. Netværksregistrering var således slået fra på de enkelte pc’er, og det betød, at medarbejderne ikke ved almindelige søgninger på pc’en kunne finde drevet.  Det betød også at URL’en skulle kendes, eller at der skulle scannes aktivt efter drevet. Kommunens undersøgelser viste, at der ikke havde været anvendt et scanningsværktøj, der havde ledt efter åbne drev i perioden for bruddet. Undersøgelse af den administrative log viste endvidere kun adgange for personer med et arbejdsbetinget behov. Kommunens logs over alle administrative it-brugeres potentielle adgang til drevet gik dog ikke så langt tilbage i tiden, at kommunen endegyldigt kunne konkludere, at ingen andre medarbejdere end dem, der havde et arbejdsbetinget behov, havde tilgået oplysningerne i perioden. Kommunen anførte også, at hovedparten af SAS-filer ikke umiddelbart var læselige for dem, der uberettiget havde fået adgang hertil, og at det krævede, at data først blev bearbejdet i et SAS-program.

Alvorlig kritik af manglende sikkerhedsforanstaltninger

Efter en samlet vurdering af sagens omstændigheder, herunder den tid der er gået siden hændelsen, fandt Datatilsynet grundlag for at udtale alvorlig kritik af, at Københavns Kommunes behandling af personoplysninger ikke var sket i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1, om behandlingssikkerhed. Datatilsynet fandt således ikke, at kommunen havde truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved myndighedens behandling af personoplysninger.

Datatilsynet lagde herved vægt på, at kommunen ikke havde sikret, at kun medarbejdere med et arbejdsbetinget behov havde adgang til drevet, at der var et set-up, hvor en enkelt medarbejders fejl kunne resultere i et brud, der omfattede 3,7 mio. personer, og at det ikke umiddelbart efter flytningen af oplysningerne var blevet testet, om rettighederne til drevet var korrekte, hvilket straks ville have afsløret fejlen, da alle administrative medarbejdere havde fået adgang hertil.

Datatilsynet har generelt den opfattelse, at der ved nyudvikling af applikationer eller flytning af fildrev, indledningsvist skal vurderes, om det fremadrettet er nødvendigt, at flytte og opbevare oplysningerne i personhenførbar form. Såfremt det er nødvendigt for formålet ved behandlingen, kan en mulig sikkerhedsforanstaltning være, at den dataansvarlige sikrer, at oplysningerne er krypteret sådan, at kun en adgangsberettiget person kan læse og låse op for oplysningerne. Et proprietært dataformat (som f.eks. et SAS-format) kan ikke sidestilles med kryptering, da der ofte findes viewere eller plugins, der gør det relativt let at kunne læse de pågældende fil-formater.

Ved alle udviklings- og vedligeholdelsesopgaver er det endvidere væsentligt, at der som et led i changeprocessen stilles krav om, at dem, der er bemyndiget hertil af den dataansvarlige, kontrollerer, at den tilsigtede adgangsstyring, kontrol og logning virker, inden ændringen frigives til drift.   

Datatilsynet noteret sig i øvrigt i afgørelsen, at kommunen foretog periodiske (kvartalsvise) netværksscanningerne efter fællesdrev med korrekte rettigheder, og at kommunen oplyste at ville iværksætte en række foranstaltninger for at undgå, at en lignende situation opstår igen. Datatilsynet bemærker dog samtidig, at Københavns Kommune efterfølgende ses at have anmeldt flere brud på persondatasikkerheden, som består i, at medarbejdere har fået adgang til personoplysninger, som de ikke har et arbejdsbetinget behov for at kunne tilgå, og at tilsynet derfor forudsætter, at der hos Københavns Kommune fortsat og løbende er fokus på at sikre, at der er implementeret passende sikkerhedsforanstaltninger for at nedbringe risikoen for sådanne brud og for at sikre, at brud opdages hurtigt.

Afgørelse 

Datatilsynet vender hermed tilbage til sagen, hvor Københavns Kommune den 17. juni 2021 har anmeldt et brud på persondatasikkerheden til Datatilsynet. Anmeldelsen har følgende referencenummer:

ab0615a02eb16368f8f79143b90e83daae7ac961.

1. Afgørelse

Efter en samlet vurdering af sagens omstændigheder, herunder den tid der er gået siden hændelsen, finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Københavns Kommunes behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, stk. 1.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Københavns Kommune har den 17. juni 2021 anmeldt et brud på persondatasikkerheden til Datatilsynet.

Datatilsynet modtog en opfølgning på anmeldelsen den 10. juli 2021.

Ved brev af 30. juli 2021 anmodede Datatilsynet om yderligere oplysninger i sagen. Københavns Kommune fremkom på den baggrund den 20. august 2021 (dateret den 13. august 2021) med en udtalelse i sagen.

Det fremgår af det fremsendte materiale, at det i forbindelse med en rutinescanning den 15. juni 2021 af Københavns Kommunes åbne fildrev blev konstateret, at der var adgang til et normalt lukket drev indeholdende data, herunder personoplysninger, relateret til en SAS-installation[2]. Grundet fejlen var det muligt for medarbejdere at fremsøge og åbne det pågældende site. Adgangen blev lukket umiddelbart efter, at fejlen var konstateret.

Det fremgår videre, at undersøgelser har vist, at bruddet skyldtes en menneskelig fejl, hvor en medarbejder med administratoradgang ved en fejl gav for bred adgang til drevet. Det antages, at fejlen er opstået i forbindelse med, at data blev flyttet til en større disk den 17. april 2021.

Følgende fremgår om de berørte oplysninger:

”Det samlede antal af personer, der har været berørt af hændelsen, er max. 3.750.000.

På berørte E-drev er der bl.a. følgende oplysninger:

  • P-data Adresseoplysning max 3.750.000 cpr-nr.
  • Oplysninger om elever inkl. Udmeldte elever ca. 504.000 cpr-nr.
  • Oplysninger om elevers forældre ca. 480.000 cpr-nr.
  • Oplysninger om børn i dagtilbud inkl. udmeldte børn ca. 303.000 cpr-nr.
  • Oplysninger om børnenes forældre ca. 120.000 cpr-nr.
  • Stamoplysninger om personale ca. 126.000 cpr-nr.

Bemærk – ovenstående er alene unikke cpr-nr. inden for den enkelte type af oplysninger – dvs. antallet af cpr-nr. kan ikke lægges sammen. Eksempelvis indgår de 504.000 elevers cpr-nr. også i P-data Adresseoplysning datasættet.”

Det fremgår af videre, at der for størstedelen af de berørte registrerede er tale om navne- og adresseoplysninger, men derudover indeholder filerne også oplysninger om institution/skole, familierelationer for gruppen af børn/forældre i kommunen samt i nogle tilfælde oplysninger om trivsel, sprogvurdering og oplysninger om tandlæge og sundhedspleje.

Københavns Kommune har oplyst, at adgangen har været for bred i perioden fra den 19. april 2021 til den 15. juni 2021, og at der har ikke været adgang for personer uden for Københavns Kommune.

Drevet har i perioden været åbnet for alle administrative it-brugere i kommunen. På tidspunktet for bruddets konstatering var der i alt ca. 37.500 administrative it-brugere i Københavns Kommune.

Adgangen skulle have været begrænset til en brugergruppe (AD sikkerhedsgruppe) i Børne- og Ungdomsforvaltningen. Brugergruppen giver adgang til i alt fire SAS Datawarehouse udviklere ved Digitalisering og Data i Børne- og Ungdomsforvaltningen.

Da bruddet blev konstateret, søgte Koncern IT efter spor i den administrative log, som går 35 dage tilbage i tiden. Søgningen viste kun adgange fra specifikke og identificerede personer med et autoriseret arbejdsbetinget behov for at tilgå serveren og drevet. Kommunens logs over alle administrative it-brugeres potentielle adgang til drevet går dog ikke så langt tilbage i tiden, at kommunen endegyldigt kan konkludere, at ingen andre medarbejdere end dem, der har et arbejdsbetinget behov, har tilgået serveren i perioden.

Københavns Kommune har anført, at sandsynligheden for, at en ordinær administrativ it-bruger i kommunen skulle støde på drevet, er meget lille, da det ville kræve særlige forudsætninger for en almindelig bruger at finde drevet. Kommunen har i den forbindelse anført, at netværksregistrering er slået fra på de enkelte pc’ere i kommunen. Det kan ikke aktiveres af en almindelig it-bruger uden særlige adgange eller rettigheder. Det betyder, at medarbejderne via almindelige søgninger på pc’en ikke kan finde serveren. Det betyder også, at URL’en skal kendes, eller der skal scannes aktivt efter drevet. Sikkerhed i Koncern IT scanner periodisk for åbne drev, da det er det, en ekstern angriber ville gøre, og på den måde blev den brede adgang identificeret. URL’en fremgår af systemets dokumentation, men det kræver en intention om at finde den og kopiere den over i en stifinder. Københavns Kommune har derfor vurderet, at en almindelig it-bruger i kommunen ikke har haft indsigten til at finde den åbne server.

Københavns Kommune har også påvist, at der ikke er brugt et scanningsværktøj, der har ledt efter åbne drev i perioden for den brede adgang.

Herudover har Københavns Kommune oplyst, at det er en meget lille delmængde af den samlede datamængde, der har været tilgængelig i klartekst (0,2%). Den resterende del af datamængden (99,8%) er SAS-filer[3], der kræver, at data bearbejdes i et SAS-program, og denne data har dermed ikke været læsbar for en tilfældig administrativ bruger i Københavns Kommune. Københavns Kommune har oplyst, at den samlede datamængde, hvoraf 0,2% har været tilgængelig i klartekst, udgjorde 1.827 gigabyte opgjort den 10. august 2021. I den forbindelse har Københavns Kommune bemærket, at datamængden ændrer sig dagligt i forbindelse med løbende datakørsler/opdateringer.

De 0,2% af den samlede datamængde bestod af 8.424 filer fordelt på filtyperne xsl, xlsx, xlsb og txt. Indholdet i disse filer stammer fra en række administrative systemer og fagsystemer og består i høj grad af skole og institutionsdata og i mindre grad af oplysninger fra den kommunale børnetandpleje og sundhedsplejens fagsystemer i Københavns Kommune.

Hertil har Københavns Kommune oplyst, at for de data, der indeholder personoplysninger, gør det sig gældende, at størstedelen vil indeholde oplysninger om børn.

En del af de 0,2% er dog også forskellige typer af aggregerede rapportdata og støttedata eksempelvis organisationsdata, der anvendes til ledelsesinformation.

Københavns Kommune har oplyst, at data kunne tilgås via en anden SAS-installation. I den sammenhæng har kommunen bemærket, at kommunens samlede netværksinstallation monitoreres med cybersikkerhedsproduktet ”Darktrace”, som ville have opdaget og alarmeret, hvis der havde været forsøg på at hente disse SAS-filer.

Følgende fremgår om Københavns Kommunes foranstaltninger før hændelsen:

  • ”Rettighedsstyring til løsningen foregår gennem AD grupper. Medarbejdere med et arbejdsbetinget behov, kan således via medlemskab af en eller flere såkaldte AD-sikkerhedsgrupper tildeles adgang til områder med personoplysninger på cpr.nr-niveau.
  • Der foretages periodiske (kvartalsvise) netværksscanninger efter fællesdrev med korrekte rettigheder.
  • Der sker realtids netværksovervågning med tilhørende incident-håndtering, der fx detekterer flytning af store datamængder og usædvanlig brugeradfærd.
  • Der foreligger brugerinstrukser for datahåndtering i form af intern vejledning, og der sker undervisning af medarbejdere.
  • Af mere standard tekniske foranstaltninger, kan nævnes:
  • Perimetersikring i form af firewalls og VPN med to-faktor autentifikation.
  • Netværksisolation af servere, både med interne firewall og microsegmentering.
  • Adgangsbegrænsning på servere i form af access control-lister.
  • Central serverlogopsamling i SIEM-system.”

Følgende fremgår om Københavns Kommunes foranstaltninger efter hændelsen:

”Fremadrettet har Københavns Kommune bl.a. iværksat følgende initiativer for at undgå, at en lignende situation opstår igen:

  • Sikret at det fremover logges til SIEM (SIEM står for Security Information & Event Management og er en fællesbetegnelse for et system, der kan opsamle logs fra mange forskellige systemer og benyttes til at opsætte automatiseret logopfølgning), når der ændres på servernes rettigheder og præcise ændringer dermed kan spores og ikke kræver interviews med medarbejdere.
  • Der udsendes instruks til alle medarbejdere i kommunens Koncern IT om, at der ikke må ændres i rettigheder på shares eller drev, uden at der foreligger en bestilling fra systemejer.
  • Der udarbejdes en fællesadministrativ forretningsgang, som beskriver regelsæt og ansvar i forbindelse med oprettelse af shares på servere. I forlængelse af forretningsgangen instruerer Børne- og Ungdomsforvaltningen også medarbejdere og eksterne konsulenter om, at alle ændringer i rettigheder på shares og drev skal oprettes som bestillinger i ServiceNow.
  • Børne- og Ungdomsforvaltningen genbesøger risikovurderingen for behandlingen af personoplysninger på serveren.”

3. Begrundelse for Datatilsynets afgørelse

Datatilsynet lægger på baggrund af det Københavns Kommune har oplyst til grund, at ved en menneskelig fejl gav en medarbejder i Københavns Kommune med administratoradgang en for bred adgang til et drev i forbindelse med diskswap den 17. april 2021, hvorved alle ca. 37.500 medarbejdere i kommunen uberettiget fik adgang til oplysninger om op mod 3,7 mio. registrerede, herunder oplysninger om trivsel, sprogvurdering og oplysninger om tandlæge og sundhedspleje vedrørende børn.

Datatilsynet lægger på den baggrund til grund, at der er sket uautoriseret adgang til personoplysninger, hvorfor tilsynet finder, at der er sket et brud på persondatasikkerheden, jf. databeskyttelsesforordningens artikel 4, nr. 12.

3.1. Databeskyttelsesforordningens artikel 32

Det følger af databeskyttelsesforordningens artikel 32, stk. 1, at den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Der påhviler således den dataansvarlige en pligt til at identificere de risici, den dataansvarliges behandling udgør for de registrerede og til at sikre, at der indføres passende sikkerhedsforanstaltninger, der beskytter de registrerede mod disse risici. Som eksempel på relevante foranstaltninger fremhæves der i bestemmelsen bl.a. pseudonymisering og kryptering, evne til at sikre vedvarende fortrolighed og procedurer for regelmæssig afprøvning og vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed, jf. artikel 32, stk. 1, litra a, b og d.

Det følger videre af artikel 32, stk. 2, at der ved vurderingen af, hvilket sikkerhedsniveau der er passende, navnlig tages hensyn til de risici, som behandlingen udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Det er Datatilsynets opfattelse, at kravet jf. artikel 32 om passende sikkerhed normalt vil indebære, at der i systemer med et stort antal fortrolige oplysninger om et stort antal brugere, skal stilles højere krav til den dataansvarliges omhyggelighed ved sikring af, at der bl.a. ikke sker uautoriseret adgang til personoplysninger.

Københavns Kommunes håndtering af personoplysninger om op mod 3,7 mio. personer, herunder fortrolige og følsomme oplysninger, stiller derfor store krav til kommunens omhyggelighed i forhold til bl.a. at sikre, at der ikke sker uautoriseret adgang til oplysningerne. Det gælder bl.a. ved en behandlingsaktivitet, hvor sådanne personoplysninger lagres på et drev, og hvor det således skal foregå på en måde, hvor det sikres, at kun medarbejdere med et arbejdsbetinget behov har adgang til oplysningerne.

Det er endvidere Datatilsynets opfattelse, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige ved en efterfølgende ændring/flytning af data om et stort antal registrerede, og hvor mange medarbejdere ved en enkelt menneskelig fejl kan få uberettiget adgang til oplysningerne, i umiddelbart forlængelse af en sådan ændring/flytning tester om adgangsrettigheder er begrænset til de relevante brugere og til de personoplysninger, som er nødvendige og relevante for de pågældende brugeres arbejdsbetingede behov, eller hvis der er bredere adgang, at den dataansvarlige foretager kryptering af personoplysninger. Det er således Datatilsynets opfattelse, at den dataansvarlige ved diskswapping skal indføre foranstaltninger til at verificere, at rettigheder på mapper og filer på den nye disk er sat identisk med rettighederne på den tidligere disk.

Datatilsynet finder på baggrund af det ovenstående og efter en samlet vurdering af sagens omstændigheder, herunder den tid der er gået siden hændelsen, at der er grundlag for at udtale alvorlig kritik af, at Københavns Kommune behandling af personoplysninger – ved ikke at have sikret, at kun medarbejdere med et arbejdsbetinget behov havde adgang til drevet, ved at have et set-up, hvor en enkelt medarbejders fejl kunne resultere i et brud, der omfattede 3,7 mio. personer, og ved ikke umiddelbart efter flytningen af oplysningerne at have testet, om rettighederne til drevet var korrekte, hvilket straks ville have afsløret fejlen, da alle administrative medarbejdere havde adgang – ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1. Som følge af det ovenstående findes der således ikke at være truffet passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved myndighedens behandling af personoplysninger.

Datatilsynet finder i øvrigt ikke, at en omstændighed, at de fleste af dataene (99,8 %) krævede en SAS-installation for at blive læsbare, kan føre til en anden vurdering, da det er relativt nemt at hente en SAS-installation på nettet og dermed udnytte data. Datatilsynet har noteret sig, at der efter det oplyste bl.a. foretages periodiske (kvartalsvise) netværksscanningerne efter fællesdrev med korrekte rettigheder, og at det netop var sådan en scanning, som bevirkede, at Københavns Kommune selv opdagede bruddet, og at varigheden heraf blev begrænset til ca. 2 måneder. Datatilsynet har endvidere noteret sig, at Københavns Kommunen ville iværksætte en række foranstaltninger for at undgå, at en lignende situation opstår igen. Datatilsynet bemærker dog samtidig, at Københavns Kommune efterfølgende ses at have anmeldt flere brud på persondatasikkerheden, som består i, at medarbejdere har fået adgang til personoplysninger, som de ikke har et arbejdsbetinget behov for at kunne tilgå, og at tilsynet derfor forudsætter, at der hos Københavns Kommune fortsat og løbende er fokus på at sikre, Side 1 af 2 at der er implementeret passende sikkerhedsforanstaltninger for at nedbringe risikoen for sådanne brud og for at sikre, at potentielle brud opdages hurtigt.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] En SAS-installation er et særligt format til ledelsesinformation og databaser

[3] SAS-filer er også læsbare for dem, der har installeret den rigtige software, som er tilgængeligt på nettet, dvs. hvis man har downloaded den rigtige ”viewer”.