Det er stadig ikke klart for KL, hvordan det lykkedes et ukendt antal hackere at få adgang til de 40.000 brugeres data, som organisationen har fået lækket.
Det skete for et par uger siden, og KL opdagede først, at der var noget galt, da politiet henvendte sig.
Det kan du læse mere om her: KL ramt af kæmpehack - 40.000 danskeres data lækket
Det er brugere af KL-platformene Dialogportalen og kl.dk, der har fået stjålet deres navn, stilling, e-mail, arbejdssted og passwords.
Oplysningerne blev solgt af hackerne i 10 dage på siden shellsec.pw, inden Rigspolitiet fandt oplysningerne og underettede KL.
KL's egen it-afdeling er, sammen organisationens it-leverandør Credocom, i gang med at finde det hul i systemet, der gav hackerne adgang.
Læs også: Roskilde Kommune har mistet 82.500 filer på tusindvis af borgeres sager efter stort KMD-nedbrud
“Vi er stadig i gang med at undersøge, hvordan hackerne har fået adgang til de her data, men vi har faktisk ikke fundet ud af det endnu,” siger Ida Thuesen Nielsen, kommunikationschef i KL.
“V må konstatere, at intet er 100 procent sikkert, hvis nogen vil begå en kriminel handling, som hacking jo er. Men jeg kan ikke sige så meget om det, for vi har simpelthen ikke svaret endnu,” siger hun til Computerworld.
“De fleste data var tilgængelige alligevel”
Efter KL fik kendskab til angrebet, nulstillede man alle passwords og sendte en mail ud til alle brugerne, hvor man bad dem ændre deres password.
De øvrige lækkede oplysninger mener KL ikke, at man kan gøre så meget ved.
“Langt de fleste af de her oplysninger er allerede tilgængelige på nettet for langt størstedelen. Men det alvorlige er særligt det, at der har ligget krypterede passwords,” siger Ida Thuesen Nielsen.
Hos KL lægger man især vægt på, at det ikke er CPR-numre eller bankoplysninger, som hackerne har fået fat på.
“Heldigvis er der ikke tale om personfølsomme oplysninger, men det ændrer selvfølgelig ikke på, at det her er oplysninger, der skulle have været krypteret,” siger Ida Thusesen Nielsen.
KL lægger sig fladt ned
Selv om det er selskabet Dwarf, der som leverandør af den database, der blev hacket, er ansvarlig for sikkerheden af de data, som databasen indeholder, så lægger KL sig fladt ned og tager selv hele ansvaret.
“KL kan ikke fralægge sig ansvaret for det her, og det ønsker vi heller ikke. Vi skal selvfølgelig ikke have ukrypteret materiale liggende. Det er dybt beklageligt, og ærlig talt noget vi er temmelig ærgerlige over og tager ret alvorligt,” siger Ida Thusen Nielsen.
Hun erkender samtidig, at man hos KL ikke kan forhindre, at brugerne igen benytter den samme adgangskode, som er blevet solgt på nettet.
KL har bedt om en redegørelse fra Dwarf, der skal beskrive forløbet, men det er ikke noget´, som KL kommer til at holde Dwarf ansvarlig for.
“Det kommer ikke til at betyde så meget, for vi valgte allerede for et halvt år siden at skifte leverandør på det her område,” siger Ida Thusen Nielsen.
Havde ellers gennemgået it-sikkerhed
Angrebet giver ekstra store panderynker hos KL, der få uger inden angrebet ellers havde fået gennemgået organisationens it-sikkerhed.
“Det er seriøst frustrerende, at vi for en måned siden gennemgik it-sikkerheden med en anden leverandør, og de forslag, der kom, er alle sammen blevet implementeret, inden at det her sker,” forklarer Ida Thuesen Nielsen.
De tiltag, som KL fik implementeret, handler alle sammen om den ydre sikkerhed. Derfor blev de enkelte databaser ikke gennemgået.
“Der er en udpræget skærpet opmærksomhed her i huset på krypterede og ikke-krypterede oplysninger. Men det er i virkeligheden bare et lille hjørne, af den sikkerhedsprocedure, der er i gang,” siger Ida Thuesen Nielsen.