KMD overtrådte GDPR: Hackere ‘minede’ bitcoins på en server med persondata

KMD overtog ansvaret for en udviklingsserver i 2017, men opdagede først i april 2019, at den indeholdt persondata, efter at den blev hacket.

KMD brød GDPR-reglerne, da manglende sikkerhedsforanstaltninger på en server med personhenførbare oplysninger førte til, at serveren blev kompromitteret.

Som Version2 tidligere har afsløret, udnyttede hackere den manglende sikkerhed til såkaldt ‘bitcoin mining’.

Læs også: Voldsom kritik af KMD fra kommuner i sag om persondata på hacket server

Sådan lyder kritikken fra Datatilsynet, der vurderer, at sikkerhedsbruddet kunne være undgået, hvis de mest basale sikkerhedsforanstaltninger var taget i brug.

»Datatilsynet fandt, at bruddet kunne have været undgået, hvis der havde været indført helt almindelige tekniske sikkerhedsforanstaltninger (bl.a. firewall-regler), og at de etablerede sikkerhedsforanstaltninger derfor ikke kunne anses som passende,« lyder kritikken fra Datatilsynet i en pressemeddelelse.

Dermed overtrådte KMD databeskyttelsesforordningens artikel 32 for at have behandlet personoplysninger »uden at have gennemført passende tekniske og organisatoriske foranstaltninger til sikring mod ulovlig behandling af personoplysningerne.«

Hackere ‘minede’ Bitcoins

KMD indgik i 2015 en købsaftale med softwarehuset Avaleo, som KMD fusionerede med i 2017. I den forbindelse blev flere servere underlagt KMD’s ansvar, herunder den kompromitterede server, der indeholdt data fra 68 dataansvarlige, primært kommuner.

Serveren blev klassificeret som en intern udviklingsserver uden persondata, og den blev koblet til internettet. Men det viste sig, at serveren alligevel indeholdt personhenførbare oplysninger.

»Serveren var til brug for udviklingsopgaver opkoblet mod netværk udenfor databehandlerens kontrol (internettet), og den blev flere år efter overtagelsen kompromitteret og benyttet uretmæssigt til at ”udvinde” kryptovalutaen Bitcoin,« står der i pressemeddelelsen.

Bruddet kan have medført, at hackere har haft adgang til borgeres personnumre og eventuelle indikationer på misbrugsproblemer samt oplysninger om medarbejderes navne, personnumre og en testbruger-adgangskode til den tværfaglige sundhedsplatform KMD Nexus, fremgår det af Datatilsynets afgørelse.

KMD: »Vi er enige i Datatilsynets kritik«

KMD erkender blankt den utilstrækkelige sikkerhed på serveren over for Version2.

»Vi er enige i Datatilsynets kritik. Da vi overtager serveren fra Avaleo, er vi ikke opmærksomme på, at der ligger personnumre på den. Det burde vi have været, så den kritik er vi enige i,« siger senior pressekonsulent i KMD, Rasmus Avnskjold, til Version2.

Efter bruddet har KMD gennemført flere foranstaltninger, som indebærer sletning af ændrede data, begrænsning af adgangen ved, at serveren kun kan tilgås fra KMD's IP-adresser, de-aktivering af den software som blev anvendt til at opnå uautoriseret adgang samt flytning af login-oplysninger (brugernavne og adgangskoder) til et dedikeret key management system.

Derudover skal behandlingen af personoplysninger på serveren minimeres.

KMD og Datatilsynet betragter nu sagen som afsluttet.