NRK Meny
Normal

Datatilsynet advarte om svak sikkerhet i Wada

Datatilsynet advarte allerede i fjor om svak sikkerhet i systemene hos Wada for behandling av sensitive helseopplysninger om idrettsutøvere, bekrefter de til NRK.

Antidoping-laboratorium i Brasil

Antidopingarbeidet til Wada er avhengig av datamaskiner og utveksling av informasjon. Her fra et laboratorium brukt under Rio-OL.

Foto: Felipe Dana / Ap

– Vi tok kontakt med Antidoping Norge fordi vi hadde spørsmål ved sikkerheten i ADAMS som system, og for å få avklaringer om hvem som hadde ansvaret for behandlingen av helseopplysningene, sier avdelingsdirektør Helge Veum i Datatilsynet til NRK.

ADAMS er datasystemet hos det internasjonale antidopingbyrået Wada, som etter alt og dømme nå har blitt hacket.

Tirsdag ble det kjent at hackere hadde kommet seg inn i denne databasen hvor de har fått tilgang til sensitive opplysninger. Hackerne har også publisert detaljer om helse- og medikamentbruk for fire idrettsstjerner fra USA.

Datatilsynets avdelingsdirektør vil ikke på nåværende tidspunkt slå fast om svakhetene de påpekte kan ha vært inngangen for hackerne.

Påpekte mangel på sikkerhetsfunksjon

Helge Veum

Avdelingsdirektør Helge Veum i Datatilsynet forteller til NRK at de var i dialog om manglende sikkerhet.

Foto: Hans Fredrik Asbjørnsen / Datatilsynet

– Da vi var i dialog med Antidoping Norge og Wada hadde vi spørsmål om svak påloggingssikkerhet, og vi så blant annet at systemet ikke hadde to-faktor-autentisering, forteller Veum til NRK.

To-faktor-autentisering er en løsning som sikrer at ondsinnede aktører ikke skal kunne komme inn i et system – bare ved hjelp av å stjele et sett med brukernavn og passord.

Skal man inn i et system med slik sikkerhetsløsning må man typisk også ha kontroll på en enhet som gir engangskoder som for nettbank – eller angriperne må finne en annen vei inn.

Akkurat slik to-faktor-autentisering mente sikkerhetsekspert Per Thorsheim i går at ville kunne ha stoppet angrepet.

Thorsheim mente i et intervju med NRK at sikkerhetsmekanismen ville gjort det nesten umulig å komme inn i systemet den veien.

– De burde ha gjort systemene sine bedre fra starten av, men det er selvsagt lettere å si enn å gjøre. Wada er en stor organisasjon, og sikkerhetsoppgraderinger er ikke gjort i en fei, sa Thorsheim til NRK tirsdag kveld.

Oppdaget i prosess om ansvar for personopplysninger

Svakhetene i datasystemet ADAMS ble påpekt av Datatilsynet i en større prosess rundt behandlingen av helseopplysninger for idrettsutøvere.

Datatilsynet opplyser at de i perioden 2015 til våren 2016 har vært i dialog med både Antidoping Norge og Wada om hvem som har ansvaret for utøvernes helseopplysninger.

– Vi avklarte til slutt at Antidoping Norge formelt sett ikke eide personopplysningene i Wada-databasen. Dermed gjelder ikke norske regler, sier Veum i tilsynet.

Hvilke regler som gjelder for håndtering av personopplysninger styres ofte av hvor databasen er. I dette tilfellet er det snakk om en database i Canada.

– Vet dere om det dere fant ble tatt opp med Wada?

– Ja, vi hadde dialog med Antidoping Norge og Wada. De var absolutt lydhøre om synspunktene våre, sier Veum.

Laster innhold, vennligst vent..
Laster innhold, vennligst vent..

SISTE NYTT

Siste meldinger