Ingen personopplysninger har kommet på avveie for renovasjonskundene i Moss, Rygge, Råde, Vestby og Våler. Det er konklusjonen etter grundige undersøkelser i MOVAR IKS. I april i år ble det avdekket et sikkerhetshull i et fagsystem som administrerer kundeinformasjon for hele 75 renovasjonsselskaper i Norge.
- MOVAR IKS ble informert om sikkerhetshullet av vår leverandør Norconsult i april. Da satte vi umiddelbart i gang tiltak, og var en av de første som tettet dette sikkerhetshullet i Norge. Først de siste dagene har vi fått informasjon om at alvorlighetsgraden i hendelsen var høyere enn vi hadde grunn til å forstå. For eksempel at sikkerhetshullet ikke ble avdekket av vår leverandør, men av to som ikke jobber for vår leverandør, forteller administrerende direktør Johnny Sundby.
Svakheten ble avdekket av to personer med svært høy IT-teknisk kompetanse, som gir uttrykk for at de ønsker å sette fokus på informasjonssikkerhet i offentlig sektor. De meldte fra om svakheten til systemleverandøren Norconsult og Datatilsynet.
Følger opp leverandøren tett fremover
MOVAR har analysert all inngående datatrafikk på tjenesten tilbake til november 2016. Undersøkelsene har ikke avdekket annen unormal aktivitet, enn fra de de to personene som har jobbet med å dokumentere svakheten i programvaren fra Norconsult. Konklusjonen er derfor at ingen personopplysninger om våre kunder har kommet på avveie.
- Det er alvorlig når informasjonssikkerheten ikke er god nok, og det er vi de første til å beklage. Personopplysningene lå ikke åpent synlige eller søkbare for folk flest. Personer med særskilt høy teknisk kompetanse kunne allikevel utnytte svakheten i programvaren ISY PA fra Norconsult til å hente ut enkelte personopplysninger gjennom målrettede angrep. Da ville de eventuelt ikke fått ut opplysninger om våre kunders betalingshistorikk. Disse opplysningene er lagret i et annet datasystem, forteller Sundby.
MOVAR vil følger opp leverandøren av programvaren tett fremover, for å forsikre seg om at informasjonssikkerheten er ivaretatt.
Stort fokus på informasjonssikkerhet
MOVAR har hatt et stort fokus på informasjonssikkerhet over tid, og jobber aktivt på dette området. I 2016 engasjerte vi bl.a. et eksternt firma til å teste IT-sikkerheten eksternt og internt, gjennom såkalte penetrasjonstester og målrettede angrep. Rapporten viste at MOVAR IKS har en høy grad av informasjonssikerhet, som følge av systematisk arbeid over tid, gode rutiner og en rekke sikkerhetstiltak.
MOVAR-appen er trygg
Vi lanserer i disse dager MOVAR-appen. Til tross for sikkerhetsbristen hos vår leverandør Norconsult, ville det ikke vært mulig å hente ut andre opplysninger via denne tjenesten, enn adresser, hentetidspunkt og avfallstype fra vår tømmekalender. Dette var tilfelle hos andre renovasjonsselskaper som var rammet av den samme svakheten.
