Jeg har brugt de sidste par dage på at tænke over en passende respons på KMD's skandaløse behandling af en person, der tillod sig at gøre opmærksom på, at kejseren ikke havde tøj på.

Der er selvfølgelig tale om Esben Warming Pedersen, der blev politianmeldt efter at have demonstreret et gammelt sikkerhedshul i KMD's pladsanvisningssystem hos Frederiksberg Kommune.

Kort fortalt tillod KMD, at man kunne indtaste tilfældige menneskers CPR-numre og få oplyst deres navn.

Monopolet bider fra sig

Esbens forbrydelse var tilsyneladende, at han skrev et lille script, der hjalp ham med at gøre, hvad han selv kunne have gjort i hånden med lidt tålmodighed. Scriptet dokumenterede i øvrigt, at KMD ikke havde sikret sig mod automatiserede opslag.

KMD's systemer blev ikke forstyrret, og så vidt jeg ved, har han heller ikke ændret i nogen data eller delt de data, han fik adgang til, med andre.

Danmarks Radio blev involveret, da han løb panden mod en mur og blev afvist af Frederiksberg Kommune, og det var tilsyneladende det, der fik KMD til at reagere.

De kontaktede hans arbejdsgiver, muligvis i et forsøg på at true ham til tavshed, miskreditere ham eller sende et signal til andre, der måtte sidde derude og have lyst til at lede efter sikkerhedshuller i KMD's systemer, og de anmeldte ham til politiet, der i dag har sigtet ham for hacking.

Spørgsmålene hober sig op:

Havde KMD reageret, hvis ikke Danmarks Radio havde trukket bukserne af dem?

Har politiet ikke bedre ting at tage sig til, end at genere en person, der åbenlyst ikke havde tænkt sig at hacke KMD?

Er det en overtrædelse af straffelovens § 264 d, når KMD kontakter Esbens arbejdsgiver og forsøger at miskreditere ham på baggrund af en privat strid mellem ham selv og KMD - og hvem sender først en anmeldelse af dette forhold til Københavns Politi?

Er KMD's topchef Eva Berneke den rette person til at lede en virksomhed, der har snablen dybt nede i ikke alene den danske statskasse, men også alle danskeres personlige og fortrolige data?

Uanset hvad er KMD's anmeldelse en typisk reaktion fra en dinosaur, der forlængst har mistet sin berettigelse i det danske samfund.

De er inde i en fase, hvor fremadstormende virksomheder som Netcompany skubber dem væk fra sugerøret i fælleskassen, og det er forståeligt, at det giver ridser i selvforståelsen, når man pludselig vågner op og så småt begynder at indse, at de gode monopoldage er ved at være ovre.

Det er dog ingen undskyldning for at opføre sig som et svin over for folk, der påpeger huller i sikkerheden, og som dansk statsborger, der i mange år har fået mine data uretmæssigt udstillet for omverdenen af KMD, bliver jeg harm over den behandling, de har givet Esben.

Det må stoppe nu - og KMD må lade være med at grave sig dybere ned i hullet.

Giv Esben Warming Pedersen en offentlig undskyldning, træk politianmeldelsen tilbage og send jeres kommunikationsmedarbejdere på kursus i damage-control - jo før, jo bedre.

==============

Dette indlæg har tidligere indeholdt en opfordring til på lovlig vis at finde sikkerhedshuller i KMD's systemer og anmelde dem direkte til Datatilsynet. Efter en henvendelse fra en menig KMD-medarbejder, der følte sig personligt angrebet af mit indlæg, har jeg valgt at fjerne denne opfordring fra indlægget. De enkelte KMD-medarbejdere er givetvis samvittighedsfulde personer, som er uenige med topledelsens håndtering af sagen, og de skal selvfølgelig ikke bære skylden for ledelsens fejl, men det er en utålelig situation, at man som udvikler, der finder sikkerhedshuller og anmelder dem, skal leve med risikoen for at få en politisag på halsen.

Finder du et sikkerhedshul i KMD's systemer, må konklusionen være, at du skal sørge for at være anonym, når du anmelder det, så de ikke kommer efter dig.