Først var det Nyborg Kommune, der fik ørerne i maskinen, fordi IT-firmaet Prueba havde lavet test af IT-sikkerheden ved at optræde undercover og havde brugt falsk ID og skjult kamera.

En sag, der blandt andet involverede administrationen på et skolekontor. Kort tid efter viste det sig, at Varde Kommune har haft samme type samarbejde.

I begge sager blev aftalen om kontrolforanstaltningen mellem KL, Danske Regioner og Forhandlingsfællesskabet ikke overholdt. 

Efterfølgende har Varde Kommune og Prueba ikke haft samme opfattelse af, hvad der er blevet aftalt.

Kommunalbladet har derfor spurgt IT-chef Lars Peter Mosgaard om kommunens syn på sagen. Desuden har vi spurgt direktøren hos Prueba om deres metoder, etiske overvejelser og uddannelse af agenter.

IT-chef i Varde Kommune, Lars Peter Mosgaard

Har aftalen mellem KL og Forhandlingsfællesskabet været kendt for dig i forbindelse med gennemførelse af kontrolprojektet?

Da testen blev gennemført sidste forår, var jeg beklageligvis ikke opmærksom på aftalen mellem KL og Forhandlingsfællesskabet. Jeg blev først bekendt med aftalen i efteråret. Vores opfattelse af testen var, at det var en test af samme type, som de penetreringstest vi jævnligt gennemfører af mere teknisk karakter, hvor formålet altid alene er at sikre kommunens data, medarbejdere og systemer mod hackere og andre forsøg på at ”snyde” enten systemer eller medarbejdere.

Efterfølgende har vi ændret vores procedure således, at både direktion og HovedMED forud bliver orienteret i fuld overensstemmelse med aftalen mellem KL og Forhandlingsfællesskabet.

Hvem i Varde Kommune har haft ansvaret for projektet?

Jeg har indgået klippekortaftalen med Prueba, hvorunder bl.a. denne test er afregnet. Der er ikke lavet en projektgruppe. Hovedformålet med klippekortaftalen har været hjælp til omlægning af vores sikkerhedspolitik samt penetreringstest af vores Intranet.

Hvem hos Varde Kommune var vidende om, at Prueba ville benytte skjult kamera? Og i givet fald - hvordan blev det oplyst til jer? Altså blev det specifikt sagt/skrevet?

Ingen var vidende om, at der blev benyttet skjult kamera, og intet var skrevet i hverken klippekortaftalen eller i mailkorrespondance, hvilket også er en af baggrundene for, at vi har valgt at afbryde samarbejdet.

Under en præsentation af resultatet blev der vist to korte videoklip til to medarbejdere i IT. Det kom som en overraskelse, og det blev på det tidspunkt drøftet, om vi overhovedet kunne se et formål med at anvende disse to videoklip under forudsætning af, at de var 100% anonymiseret.

Det blev efterfølgende meddelt Prueba, at vi på ingen måde kunne se et formål med disse optagelser, og derfor blev de aldrig udleveret til Varde Kommune, men øjeblikkeligt slettet af Prueba.

Varde Kommune har nu opsagt al samarbejde med Prueba.

Dennis Ellerbæk, direktør i Prueba

Hvad er det, Prueba kan?

Vi kan lave en 360 graders undersøgelse af sikkerheden, og det gælder både i forhold til det menneskelige, det tekniske og det organisatoriske, og der bruger vi en række metoder og værktøjer til at måle og vurdere den.

Hvad er din/jeres overordnede vurdering af datasikkerheden i kommuner og regioner?

Det er heldigvis blevet bedre - ikke mindst pga. de seneste års arbejde med GDPR, men der er stadig store problemer. Det gælder lige fra usikre netværk til, at man stadig mange steder kan gå lige ind ad hoveddøren og nærmest hente personfølsomme oplysninger.

I benytter en lang række metoder. Hvilke etiske overvejelser/grænser har I?

Vi gør os faktisk en række etiske overvejelser, og vi har et kodeks, som siger, at vi skal opføre os pænt. Vi vil aldrig presse medarbejdere til at udlevere oplysninger, vi må ikke virke truende, og vi går ikke efter en bestemt person. Sådan kan det selvfølgelig se ud for den konkrete, der bliver kontaktet, men vi taler jo egentlig bare med den første, vi møder. Vi pointerer altid, at en fejl hos en medarbejder betyder, at der ofte er brug for et generelt kompetenceløft til alle kolleger. Hvis der kun ligges fokus på enkelte medarbejdere, så løfter man ikke kompetencerne i fællesskab, som det i vores optik handler om.

Er der noget I fortryder eller vil gøre anderledes på baggrund af de to konkrete sager i Varde og Nyborg?

Ja, helt klart. For det første vil vi fremover forlange, at flere personer på direktionsniveau skriver under på kontrakten, så den er forankret hos den allerøverste ledelse. For det andet vil vi i vores dialog med fx kommunen gå hårdere til dem om, hvad baggrunden er for deres ønske om et tjek. Har de en konkret mistanke, specifikke bekymringer eller oplevelser.

Men er der noget, I vil ændre ift. jeres adfærd, når I er ”i marken”?

Ja, vi skal være hurtigere til at give os til kende, hvis vores konsulent bliver mistænkeliggjort. Selv om der kun gik cirka halvandet minut i Nyborg, så var det alligevel for lang tid. Det når at bringe medarbejderen i en uheldig situation.

Vil I fortsat bruge skjult kamera?

Kameraet er vigtigt som dokumentation, altså om der var ulåste døre, eller hvad der konkret blev sagt og svaret, men vi vil selvfølgelig spørge specifikt, om kommunen fx har brug for den form for dokumentation.

Hvordan kan der opstå misforståelse mellem fx Varde og jer?

Det er svært at sige, og jeg har ikke et godt bud på det. Vi har gjort opmærksom på det, men det understreger vigtigheden af, at den øverste ledelse kender til aftalerne, metodikken og kontrakten.

Hvad med jeres brug af falsk ID-kort?

Hvis vi er blevet bedt om at teste den vinkel, så er det relevant at bruge det/id-kort, for vi oplever, at flere myndigheder netop har fokus på, hvordan medarbejdere sikrer sig, at det er den rette person, de har i telefonen eller som pludselig møder op. Der er nemlig større behov for at tjekke fx id-kort.

Der findes jo et hav af kurser i at blive ”ethical hacker”. Helt ned til et 5-dages kursus. Hvilken uddannelse har jeres hackere?

De certificerede uddannelser er kun en del af vores uddannelse af konsulenter. Hos os er de igennem et forløb på op imod et år, for et kursus er primært teknisk, men når vi er ude, er kommunikation og det at kunne tale med mennesker vigtigt. Derfor gennemgår de et længere forløb.

Så ”jeres mand” i Nyborg var uddannet?

Ja, han var færdiguddannet og var i gang med et efteruddannelsesforløb.