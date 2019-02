Omdiskuteret test afslørede, at der er "noget at arbejde med", når det gælder datasikkerheden i Nyborg Kommune.

Nyborg: Prueba Security gennemførte i november 2018 tre test af datasikkerheden i Nyborg Kommune. Først en phishing-test, der skulle vise, om kommunens ansatte afholder sig fra at åbne tvivlsomme mails med ukendte afsendere. Dernæst en såkaldt dumping diver-test, hvor sikkerhedskonsulenterne var på jagt efter papirer med personfølsomme og fortrolige i kommunens affaldscontainere. Og til sidst en såkaldt social engineering-test, hvor sikkerhedskonsulenterne under dække af falske identiteter forsøgte at få adgang til at placere usb-stik i de kommunalt ansattes computere. Det var i forbindelse med denne sidste test, ansatte i den pågældende afdeling tog sikkerhedskonsulenterne i at optage medarbejdernes adfærd i det skjulte.

Phishing-testen I forbindelse med phishing-testen sendte Prueba Security en tvivlsom phishing-mail til 2427 medarbejdere i Nyborg Kommune. Mailen gav adgang til en falsk hjemmeside, hvor der mod afgivelse af personlige oplysninger angiveligt var mulighed for at "vinde en præmie med en større pengeværdi", som det hedder i en orientering om Prueba Security-saggen, direktionen har rundsendt til samtlige kommunens medarbejdere. Testen afslørede, at 664 medarbejdere åbnede og læste mailen. 189 gik skridtet videre og klikkede på et link i den falske mail. Og 97 gik endnu videre og ind på hjemmesiden, hvor de mod forlangende afgav oplysninger, der kunne bringe dem nærmere gevinsten i form af præmie med stor pengeværdi.

Dumpster diving-testen Dumpster diving-testen, der blev gennemført ved et par skoler og to andre administrative bygninger, skulle vise, om der er styr på det papiraffald, der ender i kommunens affaldscontainere, Og det var der ikke. I hvert fald ikke i tilstrækkeligt omfang. Som det fremgår af kommunes orientering tog det ikke konsulenterne fra Prueba Security lang tid at finde "en gul post-it med et cpr-nummer, et A4-ark med id-kort til kommunen og nogle A4-ark med login-oplysninger". Sikkerhedskonsulenterne konkluderede, at der som udgangspunkt er godt styr på fortrolige papirer. Men de fandt også nødvendigt at opfordre til et "øget fokus på, at alle medarbejdere fremadrettet er opmærksomme på, at håndskrevne notater med cpr-numre og andre fortrolige oplysninger også skal makuleres".

Social engineering-testen Det var i forbindelse med social engineering-testen, sikkerhedskonsulnterne udgav sig for at være henholdsvis en kommunal it-medarbejder og en borger. Formålet med testen var at afprøve de kommunalt ansattes vilje og evne til at afvise uautoriseret adgang til deres arbejdscomputere. Den falske it-medarbejders og falske borgers anmodning om lov til at sætte medbragte usb-stik i medarbejdernes computere blev i første omgang afvist. I alle tilfælde henviste medarbejderne til sikkerhedsreglerne om, at uautoriserede usb-stik ikke har noget at gøre i kommunens computere. Til sidst lykkedes det dog alligevel en af sikkerhedskonsulenterne at få adgang til at placere et usb-stik i en computer. Og som direktionens orientering til medarbejderne påpeger, kan uautoriserede usb-stik føre til datatyveri fra de kommunale systemer.