Artikel top billede

Fejl-konfigureret server skyld i kæmpe data-skandale

Sundheds-informationer om omkring 800.000 borgere i amerikansk stat faldt i de forkerte hænder. En fejl-konfigureret server skabte en åbning for de kriminelle.

Læs også:

Du skal tvinges til at fortælle om dit firmas databrud

Danske kommune smider om sig med dine data

Millioner af patient-data forsvundet med bærbar pc

At der er huller i alle it-systemer er der intet nyt i. En sag fra den amerikanske stat Utah er dog alligevel noget ud over det sædvanlige.

Deseret News skriver, at data om næsten 800.000 borgere i Utah tidligere på året faldt i de forkerte hænder på grund af en fejl-konfigureret server.

Den ansvarlige it-chef, Stephen Fletcher, blev efterfølgende fyret, og nu fortæller efterfølgeren på posten, Mark VanOrden, at flere menneskelige fejl er forklaringen på, at det kunne gå så galt.

"To, tre eller fire fej blev begået," siger han til Deseret News og peger på, at det er svært for de ansatte at huske mindst 100 siders sikkerheds-politikker.

"90 procent af statens data er placeret bag to firewalls, det var disse informationer ikke. De var ikke krypterede og havde ikke stærke passwords."

Sundhedssystemet, der indeholder helbreds-informationer og behandlings-regninger, var således ikke firewall-beskyttet den 10. marts, da hackere fra østeuropa fik adgang til serveren.

De fik blandt andet fingre i Social Security-numre og kreditkortoplysninger.

Derfor kunne det lade sig gøre

Ifølge Deseret News blev serveren installeret for mere end et år siden af en ekstern leverandør, og proceduren, der skal sikre korrekt monitorering og risiko-styring blev ikke fulgt.

Konsekvensen var blandt andet, at de oprindelige adganskoder fra fabrikken stadig blev anvendt, da angrebet fandt sted.

Det fremhæves også, at det var en fejl, at at data blev opbevaret i så lang tid på serveren og ikke var krypterede, mens de lå der.

Myndighederne er stadig i gang med at underrette de borgere, der er blevet ramt.

Mark VanOrden siger ifølge Deseret News, at der nu vil blive strammet op på sikkerheden. Det inkluderer blandt andet en tjekliste, der skal gennemgås, hver gang der sker ændringer i forhold til delstatens 2.000 servere.

Tidligere på året var også danske myndigheder havnet i lidt af en data-brøler, da det viste sig, at flere kommuner var kommet til at lægge personfølsomme data på nettet - heriblandt CPR-numre og andre følsomme oplysninger.

Så sent som i denne uge har Computerworld skrevet om to it-studerende, der via et stykke simpelt software har dokumenteret, hvor let it-kriminelle kan skaffe sig adgang til CPR-numre på nettet.

Læs også:

Du skal tvinges til at fortælle om dit firmas databrud

Danske kommune smider om sig med dine data

Millioner af patient-data forsvundet med bærbar pc




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Jobindex Media A/S
Salg af telemarketing og research for it-branchen, it-kurser og konferencer

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Cyber Security Summit 2025: Her er truslerne – og sådan beskytter du dine kritiske data

Deltag og få værktøjer til at beskytte din virksomhed mod de nyeste cybertrusler med den rette viden og teknologi.

19. august 2025 | Læs mere


Cyber Security Summit 2025 i Jylland

Deltag og få værktøjer til at beskytte din virksomhed mod de nyeste cybertrusler med den rette viden og teknologi.

21. august 2025 | Læs mere


AI i det offentlige: Potentiale, erfaringer og krav

Hør erfaringerne med at anvende AI til at transformere og effektivisere processer i det offentlige – og med at sikre datakvalitet, governance og overholdelse af retningslinjer.

27. august 2025 | Læs mere