De siste dagene har dansk presse skrevet mye om en alvorlig sårbarhet i den danske samtaleterapitjenesten GoMentor, hvor en bruker oppdaget at hun kunne få tilgang til fortrolig kommunikasjon mellom andre klienter og deres behandlere. Ifølge DR skal det ha dreid seg klienter med psykiske problemer knyttet til alkohol- og stoffmisbruk, barndomsopplevelser og seksualitet.
Tjenesten har også en norskspråklig side og norske behandlere.
Varslet Datatilsynet i Danmark
Dette er selvfølgelig en oppsiktsvekkende og alvorlig sak. Tjenester som behandler følsomme personopplysninger må være ekstra nøye med å sikre at opplysningene ikke kommer på avveie. Det skal likevel understrekes at klienten som oppdaget sårbarheten, har bred IT-kompetanse.
Klienten varslet Datatilsynet i Danmark i august i år. Tilsynet, som etter å ha fått bekreftet at sårbarhetene var reelle, politianmeldte GoMentor i oktober.
Holdt det hemmelig
Den 21. november fikk Troels Sletved, administrerende direktør i GoMentor, en telefon fra en journalist i DR. Dette var første gang han fikk høre at tjenesten hadde en sårbarhet. Det danske Datatilsynet har altså visst om sårbarheten i tre måneder uten å ta kontakt med GoMentor.
– Da vi fikk saken, overveide vi vår opplysningsplikt, og vi spurte oss selv om vi skulle underrette GoMentor. Det valgte vi ikke å gjøre, fordi det selvfølgelig ville spolere etterforskningen av saken, dersom vi fortalte dem om at vi har en mistanke om at det er et stort sikkerhetshull på deres hjemmeside, forteller tilsynssjef hos Datatilsynet i Danmark, Jesper Husmer Vang, til Version2.
– Da ville de nok temmelig raskt ha fått lukket det. Da ville vi ikke kunne dokumentere at det har vært et brudd, og så ville saken liksom vært død, legger Vang til.
Mangel i koden
GoMentor-direktøren har overfor Version2 bekreftet sårbarheten, som skal ha vært enkel å utnytte. Den var relatert til telefonnummeret som brukerne hadde oppgitt. Den kvinnelige klienten hadde valgt å oppgi et telefonnummer med åtte nuller. Det viste seg også fire andre klienter hadde gjort dette.
Dermed ble dataene til de fem rotet sammen, siden systemet ikke verifiserte at om det oppgitte telefonnummeret også samsvarte med klientens epostadresse.
Ifølge Sletved skal det bare være disse fem klientene som har vært berørt av datalekkasjen.
Skuffet over Datatilsynet
Sletved er svært skuffet over det danske Datatilsynets håndtering av saken.
– Dersom de tilbake i august hadde opplyst oss om at det var et problem, så kunne vi ha løst det med det samme, sier han til Version2.
I stedet ble sårbarheten værende i ytterligere tre måneder.
Sletved får støtte fra organisasjonen IT-Branchen i Danmark, som i en pressemelding skriver at tilsynets brennende ønske om å utstede bøter rammer noen av de mest utsatte borgerne i Danmark.
– Dette tilsvarer jo at politiet oppdaget en bil hvor bremsene ikke virker, og så lot den kjøre rundt i tre måneder for å samle inn bevis for hvor mange ulykker denne kunne begå. Slik bør ingen offentlig instans handle, og slett ikke når det dreier seg om utsatte borgere, sier administrerende direktør IT-Branchen, Birgitte Hass, i pressemeldingen.
Ifølge Version2 har IT-Branchen nylig lansert en sikkerhetskodeks for innrapportering av sikkerhetsbrister. Ett av de viktigste prinsippene i denne er at man må varsle systemeier eller leverandør så raskt som mulig dersom man blir oppmerksom på feil og sikkerhetsbrister.
– Har misforstått sin rolle
I en lederartikkel skriver Version2 at det riktignok er prisverdig at tilsynet sitt ytterste for å straffe slurv og likegyldighet rundt beskyttelse av svært følsomme data.
– Det må aldri bli slik at myndigheter prioriterer å ruste seg til en rettssak framfor å beskytte uskyldige borgere mot at dypt private forhold blir kjente for uvedkommende.
– Saken viser at Datatilsynet fullstendig misforstår det fremste rolle. I den nye personvernforordningen (GDPR) er det høyest prioriterte formålet «å beskytte alle EU-borgere mot krenkelser av privatlivets fred og brudd på datasikkerheten».