– Vi tok kontakt med Antidoping Norge fordi vi hadde spørsmål ved sikkerheten i ADAMS som system, og for å få avklaringer om hvem som hadde ansvaret for behandlingen av helseopplysningene, sier avdelingsdirektør Helge Veum i Datatilsynet til NRK.
ADAMS er datasystemet hos det internasjonale antidopingbyrået Wada, som etter alt og dømme nå har blitt hacket.
Tirsdag ble det kjent at hackere hadde kommet seg inn i denne databasen hvor de har fått tilgang til sensitive opplysninger. Hackerne har også publisert detaljer om helse- og medikamentbruk for fire idrettsstjerner fra USA.
Datatilsynets avdelingsdirektør vil ikke på nåværende tidspunkt slå fast om svakhetene de påpekte kan ha vært inngangen for hackerne.
Påpekte mangel på sikkerhetsfunksjon
Avdelingsdirektør Helge Veum i Datatilsynet forteller til NRK at de var i dialog om manglende sikkerhet.
Foto: Hans Fredrik Asbjørnsen / Datatilsynet– Da vi var i dialog med Antidoping Norge og Wada hadde vi spørsmål om svak påloggingssikkerhet, og vi så blant annet at systemet ikke hadde to-faktor-autentisering, forteller Veum til NRK.
To-faktor-autentisering er en løsning som sikrer at ondsinnede aktører ikke skal kunne komme inn i et system – bare ved hjelp av å stjele et sett med brukernavn og passord.
Skal man inn i et system med slik sikkerhetsløsning må man typisk også ha kontroll på en enhet som gir engangskoder som for nettbank – eller angriperne må finne en annen vei inn.
Akkurat slik to-faktor-autentisering mente sikkerhetsekspert Per Thorsheim i går at ville kunne ha stoppet angrepet.
Thorsheim mente i et intervju med NRK at sikkerhetsmekanismen ville gjort det nesten umulig å komme inn i systemet den veien.
– De burde ha gjort systemene sine bedre fra starten av, men det er selvsagt lettere å si enn å gjøre. Wada er en stor organisasjon, og sikkerhetsoppgraderinger er ikke gjort i en fei, sa Thorsheim til NRK tirsdag kveld.
- Les mer:
Oppdaget i prosess om ansvar for personopplysninger
Svakhetene i datasystemet ADAMS ble påpekt av Datatilsynet i en større prosess rundt behandlingen av helseopplysninger for idrettsutøvere.
Datatilsynet opplyser at de i perioden 2015 til våren 2016 har vært i dialog med både Antidoping Norge og Wada om hvem som har ansvaret for utøvernes helseopplysninger.
– Vi avklarte til slutt at Antidoping Norge formelt sett ikke eide personopplysningene i Wada-databasen. Dermed gjelder ikke norske regler, sier Veum i tilsynet.
Hvilke regler som gjelder for håndtering av personopplysninger styres ofte av hvor databasen er. I dette tilfellet er det snakk om en database i Canada.
– Vet dere om det dere fant ble tatt opp med Wada?
– Ja, vi hadde dialog med Antidoping Norge og Wada. De var absolutt lydhøre om synspunktene våre, sier Veum.
