Sensitive dokumenter var tilgjengelig – dette er noe av det NRK fant

Rådhuset i Bodø

Rådhuset i Bodø kommune. Bildet er av eldre dato da det nå bygges nytt rådhus i byen.

Foto: Sigurd Steinum / NRK

Dokumenter med sensitive personopplysninger har ligget tilgjengelig på Internett og nettsidene til Bodø kommune (einnsyn.bodo.kommune.no).

Ved å endre på tallene på slutten av nettadressen, kunne NRK få opp en rekke dokumenter.

Mange av dokumentene NRK har søkt opp inneholder informasjon av ufarlig karakter, men noen inneholder også sensitive personopplysninger.

Her er noe av det NRK fikk opp, og viser hva slags type opplysninger det var mulig å finne for personer med litt datakunnskap.

1. Arbeidsavtaler med fødsels- og personnummer

Et søk etter ordet «personnummer» blant de rundt 2000 filene NRK fikk søkt opp før sikkerhetshullet ble tettet, gir 278 treff.

Blant dokumentene finnes arbeidsavtaler med navn, adresse, fødsels- og personnummer, ansattnummer, kontonummer samt informasjon om lønnsvilkår for ansatte.

2. Søknad om fri i forbindelse med begravelse

Noen av dokumentene viser avgitte taushetsløfter i forbindelse med inngåelse om avtale om arbeidsforhold, med underskrift. Mens andre viser arbeidsoppsigelser og søknader om fødselspermisjon.

Flere av dokumentene er permisjonssøknader relatert til både reise-, begravelse-, helse- og familieforhold.

3. Opplysninger om barn

Et dokument NRK har sett omhandler en vurdering av en elev ved en skole.

Dokumentet inneholder opplysninger om elevens behov for spesialundervisning, og bakgrunnen for dette.

Et annet dokument beskriver de språklige utfordringene til et navngitt barn, og hvordan det anbefales å sende barnet til logoped.

4. Arbeidsulykke

Et dokument beskriver hvordan en person kom til skade under kommunalt arbeid.

Et annet dokument beskriver noen av skadene den navngitte personen fikk.

5. Parkeringsbot

Av mindre alvorlig karakter, men kanskje noe man likevel ikke ønsker at hvem som helst kan lese, finnes klage på en parkeringsbot en privatperson har sendt kommunen – med påfølgende korrespondanse og foto av bil med registreringsnummer.

Hvor alvorlig er dette?

Datatilsynet sier til NRK at de ser alvorlig på sikkerhetsbruddet i Bodø kommune, og opplyser at et titalls kommuner har opplevd akkurat det samme de siste årene.

Seniorrådgiver Vidar Sandland hos Norsk senter for informasjonssikring (NorSIS) mener norske kommuner nok gjør så godt de kan for å sikre sine e-tjenester, men at manglende kompetanse og kontrollmekanismer kan utgjøre en utfordring.

Spørsmålet er om enkeltpersoner som opplever at personalia kommer på avveie har grunn til å være bekymret. Og eksperten oppfordrer på generelt grunnlag å være på vakt.

– Heldigvis er det ikke lenger slik at du bare kan ringe banken, oppgi et personnummer og ta opp lån eller opprette et telefonabonnement. Men selvfølgelig – jo mer en kriminell vet om deg, jo større er sjansen for ID-tyveri.

Vidar Sandland, Norsis

Seniorrådgiver Vidar Sandland hos Norsk senter for informasjonssikring (NorSIS).

Foto: Jan Tore Verstad

– Hva er sjansen for å bli utsatt for ID-tyveri?

– Det kreves gjerne en manuell innsats fra den kriminelle over tid, så det er ganske tilfeldig hvem som blir rammet.

Kan brukes som ledd i utpressing

Sitter uærlige sjeler på både navn, adresse, person- og kontonummer har de allerede et godt utgangspunkt. Opplysninger om lønnsforhold kan også være en faktor som veier inn i vurderingen av hvem kjeltringen velger å gå etter, sier Sandland.

I tillegg kan personlige opplysninger brukes som ledd i utpressing, eller for å skaffe seg til veie enda mer informasjon.

– Da vil det være mulig å skreddersy en meget troverdig e-post og lure offer eller arbeidsgiver til å gi fra seg underskrifter eller kanskje kopi av førerkort eller pass. Og da kan man potensielt gjøre større ting, som å ta opp lån.

Han råder derfor personer som opplever at sensitiv informasjon kommer på avveie om å følge ekstra godt med på ting som kontoutskrifter og post.

– Et godt råd generelt er å benytte totrinnsverifisering på e-tjenester der dette er mulig. Som kodebrikke og PIN tilsendt på telefon – i tillegg til vanlig passord.

– Du kan også vurdere å sperre deg for kredittvurdering, noe som for eksempel hindrer oppretting av lån og mobilabonnement, sier Sandland.

– Viktig at man ikke slapper av

IKT-sjef Frode Nilsen i Bodø kommune mener eksemplene med all tydelighet viser hvor viktig det er at man aldri slapper av i arbeidet med informasjonssikkerhet.

IKT-sjef Frode Nilsen i Bodø kommune

IKT-sjef Frode Nilsen i Bodø kommune.

Foto: Kari Skeie / NRK

– Samt at dette bare er en utfordring som vil bli større og større i årene som kommer. Og som vil kreve stadig mer fra oss som kommune.

– Har dere vært for slappe?

– Jeg føler ikke at vi har vært slapp på det, men det er jo åpenbart at denne hendelsen ikke burde ha skjedd. Det må vi sørge for ikke skjer en gang til.

Vil involvere kontrollutvalget

Bodø Arbeiderparti forventer at kontrollutvalget blir involvert etter NRKs avsløringer.

– Vi forventer at dette blir ryddet opp i umiddelbart og at årsaken til sikkerhetsbruddet blir avdekt, sier Morten Melå i Bodø Ap.