Torsdag 18. april ble det oppdaget at opp mot 6000 bilder av norske førerkort var eksponert på internett via Hertz bilpool. Fra feilen ble oppdaget til den var rettet, gikk det bare 39 minutter.
– Vi har ingen indikasjoner på at sensitiv informasjon er på avveie, sier administrerende direktør Trygve Simonsen i Hertz Norge til digi.no.
Rettet på 39 minutter
Selskapet ble kontaktet torsdag 18. april av en bruker som hadde oppdaget at det var mulig å manipulere tallrekken i nettadressen.
Svakheten gjorde det dermed mulig å bla i hele kundebasen knyttet til bilpool.
Ifølge Hertz ser hendelsesforløpet slik ut:
- Klokken: 14:11 – Vi blir klar over muligheten for dataeksponering
- Klokken: 14:25 – Problemet blir rapportert til systemleverandøren
- Klokken: 14:40 – Feilen blir identifisert og en løsning utviklet
- Klokken: 14:50 – Ny versjon uten den identifiserte feilen er operativ
– I dette tilfellet er systemet levert av en underleverandør. Jeg kan ikke svare på hvordan de har fikset dette så raskt. Men det er ingen tvil om at vi satt fullt fokus på å rette dette sikkerhetshullet med en gang vi ble gjort oppmerksomme på det, sier han.
Varslet kundene
9. mai sendte selskapet ut en epost som varslet kundene.
«Du mottar denne informasjonen fordi du er medlem av Hertz Bilpool og er berørt av et sikkerhetsbrudd hos oss.»
«Vi verdsetter din integritet og respekterer personvernet og dine personlige opplysninger. Vi ønsker derfor proaktivt å gi deg skriftlig beskjed om en datasikkerhetshendelse som kan knytte seg til dine personlige data.»
– Svært viktig
«Den 18. april ble Hertz Bilpool oppmerksom på at det var en mulighet for at personopplysninger fra enkelte kunder kunne åpnes på en uautorisert måte. De tilgjengelige personopplysningene var bilder av førerkort fra vår database.»
– For oss er det svært viktig å informere kundene når denne type hendelser skjer. Alle sikkerhetsbrudd som rapporteres til Datatilsynet, blir kundene også gjort oppmerksomme på, sier Trygve Simonsen i Hertz til digi.no.
Når GDPR innføres i sommer vil dette være prosedyren alle norske selskaper skal følge når et slik avvik blir oppdaget.
Store bøter med GDPR
Regelverket skulle egentlig innføres allerede 25. mai, men innføringen er nå utsatt på grunn av forsinkelser som følge at Norge ikke ønsker å innføre det nye regelverket før det blir vedtatt i EØS.
Dette skjer nok tidligst i løpet av juni måned. Allikevel er ikke forsinkelsen en sovepute.
Alle virksomheter som ikke følger det nye, strenge regelverket kan straffes med bøter som virkelig svir.
Gebyrene kan være så høye som 180 millioner kroner. Er man virkelig ute og kjører, kan boten settes til fire prosent av den totale omsetningen i det aktuelle driftsåret.
– Vi er avhengige av tillit
– Det listes opp en del faktorer i det nye lovverket som skal oppfylles før de største bøtene kommer, sa Lee Andrew Bygrave til digi.no da vi hadde en omfattende GDPR-sak i februar 2017.
Han er senterleder og professor ved Senter for rettsinformatikk hos Universitetet i Oslo.
– Dermed vil gebyrene variere, og nivået settes ut i fra alvorlighetsgraden, forklarte han den gang.
Ifølge Simonsen i Hertz er de godt forberedt på GDPR, men det nye lovverket er ikke grunnen til at de valgte å varsle kundene sine.
– For oss er tillit til kundene det viktigste. Ved å være transparente om denne type hendelser styrkes dette tillitsforholdet, sier han til digi.no.