Undercover-datatjek: Flere institutioner blev filmet med skjult kamera i Nyborg
NYBORG: Det er ikke kun ansatte fra 4kløverskolen i Nyborg, som er blevet filmet med skjult kamera under et kommunalt betalt undercover-besøg, hvor en person fra it-sikkerhedsfirmaet Prueba Cybersecurity har forsøgt at lokke medarbejdere til at give adgang til personfølsomme oplysninger.
Også tre andre kommunale institutioner i Nyborg har fået besøg af en person fra it-firmaet, der - efter bestilling fra kommunen - har udgivet sig for at være en anden med det formål at undersøge datasikkerheden.
I alle tre øvrige tilfælde har der været anvendt skjult kamera, som det ifølge DR skete på 4kløverskolen.
Det bekræfter Nyborg Kommune over for dknyt.
Ifølge it-sikkerhedsfirmaets hjemmeside bliver det under et undercover-besøg blandt andet afprøvet, om det er muligt at få 'uovervåget adgang til computere eller andre systemer'.
Samtidig bekræfter kommunen over for dknyt, at det selvsamme it-firma også har været hyret til at sende falske mails i omløb blandt kommunens ansatte.
Formålet har her været at tjekke, hvor mange medarbejdere, der kunne lokkes til at klikke på links i de såkaldte phishing mails, der eksempelvis kan indeholde falske konkurrencer.
- Det har man gjort for at tjekke, hvor mange der hopper på den, fordi det kan jo være katastrofalt, hvis en medarbejder kommer til at åbne et link, siger Nyborgs kommunaldirektør Lars Svenningsen til dknyt.
Leder blev sygemeldt
Tirsdag afslørede DR, hvordan Nyborg Kommune og it-sikkerhedsfirmaet i en række interne mails har koordineret et undercover-besøg med skjult kamera og falske id-kort på 4kløverskolen.
Her skulle it-firmaets repræsentant teste, om skolelederen kunne lokkes til at udlevere personfølsomme dataoplysninger.
Altsammen blev filmet med skjult kamera. De nye oplysninger viser, at det samme altså også har været tilfældet hos de tre andre institutioner, der ligeledes fik besøg af it-sikkerhedsfirmaet i november sidste år.
Lars Svenningsen tager dog skarpt afstand fra undercover-metoderne med skjult kamera og oplyser, at kommunen har nedsat en arbejdsgruppe, der skal lægge en plan for den fremtidige datakontrol.
- Den måde at arbejde på er ikke i overenstemmelse med de værdier, vi har, og derfor stoppede jeg samarbejdet med firmaet i november, da jeg fandt ud af, hvilke metoder, det brugte, siger han.
Ifølge kommunaldirektøren har kommunen haft en aftale med Prueba Cybersecurity 'i et par år'. Firmaet har modtaget i omegnen af 42.000 kr. i perioden, og en del af aftalen med firmaet har været kontroltjek af datasikkerheden på kommunale institutioner.
Mens besøget på 4kløverskolen fik som konsekvens, at skolelederen efterfølgende blev sygemeldt, har kommunen ikke fået nogen henvendelser efter de tre øvrige undercover-besøg. Derfor konstaterer Lars Svenningsen, at de tre besøg 'er foregået stille og roligt.'
- Selvom det ikke har givet anledning til problemer på de andre institutioner, så er den måde besøgene er foregået på, ikke en metode, der kan accepteres i Nyborg Kommune, og derfor stoppede vi straks besøgene, da vi fik kendskab til det, siger han.
HK: Psykisk terror
Metoden med skjult kamera og falske id-kort er ifølge en ekspert, som DR har talt med, i strid med arbejdsretten, og hos både Skolelederforeningen og HK Kommunal vækker sagen forargelse.
- Det lugter langt væk af mistillid, som kun er med til at skabe frygt og mistro, siger HK Kommunals næstformand Mads Samsing, der betegner undercover-besøg som 'et groft overgreb' og 'psykisk terror'.
- Arbejdsgiverne har en klar pligt til at undersøge, tale med og vejlede de firmaer, de hyrer til den slags. Man kan ikke bare dække sig ind under, at det er et eksternt firma, der har gjort det, siger Mads Samsing.
Ifølge kommunaldirektør Lars Svenningsen var det først i november sidste år, at den øverste direktion i Nyborg fik kendskab til datakontrol-metoderne. Herefter blev kontrakten med firmaet ophævet.
Forinden havde en kommunal it-sikkerhedsgruppe - bestående af blandt andre sekretariatschefen, nogle jurister og it-sikkerhedschefen - besluttet, at datakontrollen skulle rykkes 'ud i marken' og dermed ikke kun bestå af interne, falske mails til medarbejderne.
Men heller ikke her stod det tilsyneladende klart, at der var tale om metoder som skjult kamera og falske id-kort.
- Vi har ikke haft nogen grund til at have mistanke om noget som helst. Selvfølgelig kan man bagefter sige, at det ikke har været helt klarlagt, hvad der præcis foregik, og hvad det var for nogle metoder, som blev brugt. Det burde man selvfølgelig have gjort, men det er altid nemt at være bagklog, siger han.
Lars Svenningsen tilføjer, at det i kommunens kontrakt med it-firmaet ikke fremgår, at undercover-besøgene ville indeholde eksempelvis skjult kamera.
Hvordan kan det være, at I ikke har været klar over, hvad aftalen gik ud på?
- Det kommer an på, hvad der står i kontrakten, og der står simpelthen ikke ret meget i den her kontrakt. Det her er ikke nævnt, for hvis det var, ville det være blevet rejst over for direktionen, og så var det aldrig nogensinde blevet til noget. Det er noget, der først dukker op senere, siger han.
Falske mails til genovervejelse
Nyborg Kommune har endnu ikke taget stilling til, om metoderne med de falske mails, der bliver sendt til medarbejdere, skal fortsætte via en kontrakt med et andet it-sikkkerhedsfirma.
Ifølge kommunaldirektøren har den slags phishing mails, som kommunen har hyret it-sikkerhedsfirmaet til at sende til de ansatte, bl.a. bestået af phishing mails, som påstod at være fra kommunens it-ansatte eller proklamerede, at modtageren kunne vinde en falsk konkurrence, der var opfundet til lejligheden.
Den seneste opgørelse over, hvor mange medarbejdere, der 'hoppede på den', da firmaet sendte de falske mails, viser, at 664 personer ud af de omkring 2.000 ansatte, som modtog den seneste falske mail, har åbnet og læst den, oplyser kommunaldirektøren.
Og det er for mange, mener Lars Svenningsen, der i samme ombæring konstaterer, at sagerne om skjult kamera og falske id-kort har sat fokus på et problem, der ikke altid er helt ligetil for kommunen at finde løsninger på.
- Det er et meget træls clash, hvor vi på den ene side skal prøve at beskytte borgernes dataoplysninger, og hvor vi på den side også har et hensyn til vores medarbejdere. Det handler om at finde den rigtige balance i det, siger han.
