En it-sårbarhed hos Beredskabsstyrelsen kan potentielt have haft et stort omfang. Nye oplysninger viser således, at sårbarheden kan have givet hackere adgang til CPR-numre, pas, kørekort og vaccinationskort fra 12.800 personer indenfor beredskabet. Sårbarheden har eksisteret siden 2015 og ”der er en sandsynlighed for kompromittering gennem sårbarheden”.
I sidste måned meldte Beredskabsstyrelsen ud, at der var sket et databrud i styrelsens it-systemer. Beredskabsstyrelsen gav kun begrænsede oplysninger om, hvad databruddet egentlig handlede om, men ifølge BeredskabsInfos oplysninger drejede det sig blandt andet om Beredskabsstyrelsens statistikbank og ODIN-systemet, hvor beredskabets udrykninger registreres, samt systemet HERO.
Nu viser nye oplysninger imidlertid, at databruddet kan have været væsentligt større. Beredskabsstyrelsens egen indberetning til Datatilsynet om hændelsen – som BeredskabsInfo er i besiddelse af – viser således, at hele 12.800 personer har været berørt af hændelsen. Samtidig oplyser Beredskabsstyrelsen, at der er tale om data om navn, fødselsdato, CPR-nummer, kopi af pas, vaccinationskort, kørekort, autorisationsbevis, måltagning, uddannelsesdiplom og oplysninger om pårørende.
Ifølge BeredskabsInfos oplysninger har Beredskabsstyrelsen informeret de berørte personer om databruddet, men styrelsen har ikke oplyst om, at der er tale om de meget følsomme kategorier af oplysninger.
Sårbarheden har eksisteret i 3.173 dage
Ifølge Beredskabsstyrelsen skyldes databruddet en udløbet krypteringsprotokol i de pågældende it-systemer. Den kryptering, som Beredskabsstyrelsen anvendte, blev forældet tilbage i 2015, men blev ikke udskiftet.
Først den 31. januar 2024 blev Beredskabsstyrelsens it-leverandør – Forsvarsministeriets Materiel- og Indkøbsstyrelse – opmærksom på problemet. Senere samme dag skiftede Forsvarsministeriets Materiel- og Indkøbsstyrelse til en opdateret krypteringsprotokol. Beredskabsstyrelsen har selv opgjort, at sårbarheden eksisterede i 3.173 dage og 15 timer.
Den hidtil hemmeligholdte indberetning til Datatilsynet viser, at Forsvarsministeriets Materiel- og Indkøbsstyrelse har oplyst, at der kan være risiko for, at en kompromittering har fundet sted i de berørte systemer. Styrelsen oplyste den 5. februar 2024, at de ikke forventer, at de vil kunne hverken be- eller afkræfte, om der reelt er sket en kompromittering. Derfor har man iværksat en udskiftning af passwords hos brugerne på de berørte it-systemer for at forhindre en fortsat kompromittering af data.
Den seneste vurdering fra Forsvarsministeriets Materiel- og Indkøbsstyrelse blev leveret den 6. februar 2024. Her fremgår det, at ”der er en sandsynlighed for kompromittering gennem sårbarheden”. Samtidig vurderer styrelsen dog, at det vil have været relativt komplekst at udnytte sårbarheden til at tilgå Beredskabsstyrelsens data uden om sikkerhedsforanstaltningerne.
