"Vi vil meget gerne have henvendelser fra borgere, der finder problemer i vores systemer. De skal ikke være bange for at henvende sig".
Sådan udtaler Mette Kaagaard, koncerndirektør i KMD.
Hun har været centrum i en mindre mediestorm, siden det i sidste uge kom frem, at virksomheden har politianmeldt en borger, der har fundet en alvorlig sikkerhedsbrist i KMD-system.
Computerworld har bedt direktøren forklare, hvad man konkret skal gøre, hvis man som it-kyndig borger finder et sikkerhedshul i et af KMD's mange systemer. Og ikke vil meldes til politiet.
"Det er vigtigt for mig først lige at pointere, at vi på ingen måde har meldt manden til politiet, fordi han har fundet et sikkerhedshul. Vi har meldt ham, fordi han har sat kode ind i vores system og trukket data ud på en måde, der ikke er meningen. Det opfatter vi som hacking, og derfor har vi et ansvar overfor vores kunder for at reagere. Så må det være op til myndighederne at afgøre, om der er sket noget ulovligt."
Det er så den konkrete borger i den konkrete sag. Men hvis man opdager et sikkerhedshul i et KMD-system, hvad vil du så helt konkret gerne have, at man gør?
"Jeg vil gerne have, at man henvender sig til den kommune eller myndighed, der er kunde hos os, med en beskrivelse af fejlen og screen dump af, hvor man har fundet fejlen. Så kan kunden forsøge at reproducere fejlen og rette henvendelse til os, og hvis kunden ikke kan reproducere fejlen, kan kunden jo rette henvendelse til borgeren igen."
Håber på fælles retningslinjer
Meget af kritikken af KMD er gået på, at denne type politianmeldelse kan afholde velmenende borgere fra at indrapportere sikkerhedshuller i de it-systemer, KMD leverer til det offentlige.
KMD holder dog fast i, at man generelt er positiv over for borgere, der henvender sig.
Du har selv nævnt flere gange, at I meget gerne vil have henvendelser fra borgere, der finder sikkerhedshuller i jeres systemer. Hvordan tror du, at en politianmeldelse påvirker folks motivation for at henvende sig til jer?
"Jeg håber ikke, det har betydet noget. Men samtidig kan jeg selvfølgelig også godt kigge indad, når jeg ser de kommentarer, der har været."
Hvad har I helt konkret lært af denne her sag, og hvordan vil det påvirke den måde, I håndterer lignende sager i fremtiden?
"Vi skal som branche nok blive lidt bedre til at håndtere den slags sager. Det er potentielt ikke sidste gang, vi har set dette her, og derfor mener vi, at branchen har brug for fælles retningslinjer for, hvordan man håndterer det. Derfor har vi foreslået IT-Branchen at lave fælles retningslinjer, så borgerne har noget konkret at forholde sig til."
Læs også: KMD skyder budbringeren med klodset politianmeldelse: Lad os nu få en fælles whistleblower-ordning
