Facebook ikon Twitter logo Print side

Tryggleiksbrot funne i bookingløysning

Torsdag 7. mars vart Bergen, Stavanger, Ålesund og Fjell kommunar varsla om eit tryggleiksbrot i bestillingsløysninga «Aktiv by». Feilen vart retta umiddelbart. Den gjeld ikkje sensitive personopplysingar.



Datatilsynet er varsla om hendinga. Kommunen vart kjend med avviket etter at sårbarheita vart oppdaga av ein privat tryggleiksekspert. Vedkommande varsla nasjonal datasikkerhetsmyndighet, NorCERT, som igjen varsla kommunane som vart ramma.

Brukt til å tinga lokale og utstyr

«Aktiv by» («Aktiv kommune») er ein sjølvbeteningsløysning som kommunane Stavanger, Fjell, Ålesund og Bergen tilbyr sine innbyggjarar for leige av lokale og utstyr.
I Fjell kan privatpersoner, lag og organisasjonar bruka løysninga til å tinga kulturlokale, idrettsanlegg, skulelokalar o.l.

I samband med registreringa vert privatpersonar beden om personopplysningar som personnummer, namn, adresse, telefonnummer og e-postadresse. Tryggleiksavviket gjeld desse opplysningane. Dette er ikkje å rekna som sensitive opplysningar, men opplysningane skal likevel bli behandla slik at ikkje uvedkommande får tilgang til dei.

Ikkje sensitive opplysingar

- Opplysingane har ikkje vore synlege på nettsida, men det har vore mogleg for datakyndige personar å sjå opplysingar om kven som har bestilt dei ulike lokala, seier digitaliseringsdirektør i Bergen kommune, Kjetil Århus.

Etter at varselet om avviket kom torsdag 7. mars klokken 15.30, sette dei fire kommunane straks i gong arbeid med å tetta avviket saman med leverandøren. Fredag 8. mars klokken 08.00 var kommunane trygge på at problemet var lukka. Datatilsynet fekk muntleg varsel då avviket vart kjent, og er varsla skriftleg i dag 12. mars.

Har handtert alle avvik

Alle kjende avvik er handtert. For Fjell kommune sin del kan opplysingane til 628 privatpersoner ha blitt berørt av avviket. Sårbarheita har mest truleg vore i systemet sidan den vart teke i bruk i Bergen i oktober 2010, og sidan februar 2014 i Fjell.

- Til no er det ingen teikn som peikar på at opplysingane kan ha blitt misbrukt. Saman med dei andre kommunane jobbar vi med å få avdekka omfanget. Kommunen beklagar at dette avviket har skjedd. Sidan dette vart kjent, har vi jobba saman med dei andre kommunane for å sikra løysinga, seier Kjetil Århus i Bergen kommune.

Som ledd i vidare tiltak, har Bergen kommune engasjert eksterne tryggleiksekspertar til å kontrollera løysinga.

- I takt med at samfunnet vert meir digitalt, vert vi også utsett for sårbarheita dette kan medføra. Vi oppmodar alle som oppdagar slike hol i system til å varsla oss, seier Kjetil Århus i Bergen kommune.

Kulturjsef i Fjell kommune, Lennart Fjell, opplyser at kommunen jobbar med å varsla dei som kan vera ramma av dette.


Sist endret: 12.03.2019