Glemte at slette GDPR-bombe: Nu undersøger Datatilsynet EDC efter kæmpelæk

Datatilsynet går nu ind i sagen om det massive datalæk, som landets største ejendomsmæglerkæde, EDC, ufrivilligt har udsat op mod 700.000 danskere for i forbindelse med et russisk hackerangreb i november.

Angrebet har nemlig efterfølgende vist, at EDC formentlig ikke har overholdt de såkaldte GDPR-regler omkring korrekt håndtering af personoplysninger, bl.a. fordi EDC ikke har krypteret data eller slettet de mange personfølsomme oplysninger, som kæden ifølge egen vurdering ikke længere havde ret til at opbevare, og som nu er blevet lækket som følge af hackerangrebet.

Det kan i værste fald betyde, at EDC bliver mødt med erstatningskrav og en politianmeldelse, vurderer flere eksperter.

»Generelt ser Datatilsynet med stor alvor på, hvordan folk opbevarer deres personoplysninger. Vi vil gerne have, at man træffer de nødvendige sikkerhedsforanstaltninger,« siger Allan Frank, jurist og it-sikkerhedsspecialist hos Datatilsynet.

Han understreger, at det beror på en konkret vurdering, hvorvidt EDC har overholdt reglerne og passet godt nok på kundernes data i den pågældende sag.

EDC indrømmer dog selv, at de lækkede data burde være blevet slettet, og sammen med den manglende kryptering af de følsomme personoplysninger bringer det selskabet på kant med den såkaldte GDPR-forordning, der kan udløse en bøde på op til 4 pct. af en virksomheds årlige omsætning.

Ifølge Henrik Udsen, der er professor på det juridiske Center for Informations- og innovationsret på København Universitet, fortæller, at det har ført til sager ved domstolene, at virksomheder ikke har haft styr på data.

»Der kører lige nu straffesager ved de danske domstole, hvor man ikke har slettet oplysningerne i tide,« siger Henrik Udsen.

Han peger på, at personer, der er blevet kompromitterede, kan rejse et erstatningskrav.

»Man kan godt forestille sig, at den slags sager bliver til et gruppesøgsmål, for de omfatter mange mennesker. Det er meget hurtigt en potentiel sag, hvis man kan samle nok af de omfattede,« vurderer Henrik Udsen.

En anden ekspert i it-sikkerhed undrer sig over, at EDC ikke som minimum har gjort de mange data ulæselige for andre end EDC selv.

»Det er virkelig mange persondata, der er blevet lækket. EDC er ikke en startup, og nogen burde have fortalt dem, at som bolighandler lever man af tillid. Folk laver deres livs største handler gennem dem, så hvorfor har de ikke som minimum krypteret de her data?« spørger Jan Lemnitzer, lektor på CBS, der netop underviser fremtidens ledere i at håndtere ransomware-angreb.

Spørgsmålet om manglende kryptering er netop et af de emner, som Datatilsynet nu skal afklare med EDC, fortæller Allan Frank fra Datatilsynet, der også vil spørge EDC om, hvorfor den store mængde lækkede data kunne forsvinde ud af selskabet systemer, uden at en sikkerhedsmekanisme stoppede datalækket.

Ifølge EDC er der helt konkret tale om 100.000 cpr-numre og hundredtusindvis af mailadresser og kontaktoplysninger, der møjsommeligt var samlet sammen i én fil i forbindelse med en oprydning i EDC’s systemer, som burde være blevet slettet. Men det skete altså ikke. I stedet endte den kritiske fil på et fællesdrev, og pludselig udgjorde den en GDPR-bombe, da selskabet senere blev hacket.

For takket være denne ene fil og kopier af 1.350 pas, der også lå ubeskyttet et andet sted i selskabets systemer, kunne det russiske hackerkartel Black Basta lægge ekstra pres på EDC.

»Det er en beklagelig, menneskelig fejl, der gjorde, at filen lå på et drev, der ikke havde den samme grad af beskyttelse,« siger Jan Normann, pressechef hos EDC.

Kravet fra hackerne lød på ca. 41 mio. kr., mod at hackerne så ikke offentliggjorde de mange kundedata. Det nægtede EDC at acceptere og fulgte dermed eksperternes råd om ikke at betale løsesum og dermed støtte det kriminelle hackerkartel.

Lektor i it-sikkerhed på IT-Universitetet Willard Rafnsson kritiserer ligeledes, at EDC ikke har haft overblik over, hvilket data de har haft liggende.

»EDC har ikke haft styr på, hvad de har stående af maskiner, og hvad der lå på dem. Der er ingen, der har sat sig ned og undersøgt det, og det bøder deres kunder nu for,« lyder det fra lektoren, der især hæfter sig ved det store antal berørte danskere og alvorligheden af, at oplysninger om op mod 1.350 danskeres pas er endt på russiske hænder:

»Det er helt banale ting, der ikke var styr på.«

Lektor Jan Lemnitzer fortæller, at EDC sandsynligvis har stået over for et dilemma, der er klassisk for mange virksomheder, der løbende skal opveje sikkerhed mod brugervenlighed og økonomi.

»Det virker som et klassisk eksempel på, at man har undladt at investere i sikkerhed, før katastrofen ramte. Der er mange virksomheder, der tænker, at hvis man ikke rammes af et hackerangreb, er alle investeringer i sikkerhed spild af penge,« siger Jan Lemnitzer og understreger, at det naturligvis ikke er sådan, man bør se på dilemmaet.

EDC undskylder sig med, at en del af de lækkede data lå hos en virksomhed, som EDC har opkøbt. Men det er ikke en valid undskyldning, understreger Allan Frank.

»Som køber af en ny virksomhed er det ikke en undskyldning i sig selv, at man har ”købt” datalækket eller fået det i en underleverandørkæde. Det er i så fald stadig den dataansvarlige virksomheds ansvar,« siger Allan Frank.

Sammen med den kritiske fil tyder de mange lækkede billeder af pas, kørekort og sygesikringsbeviser på en løs omgang med data, vurderer Willard Rafnsson.

Jan Normann fra EDC fortæller, at langt de fleste data i det 2.500 gigabytes store læk består af ubrugelige oplysninger.

»99,9 pct. af de mange data er data, der ikke kan bruges til noget. Det er alt, der har ligget på fællesdrevet. Alt fra mine pressemeddelelser gennem 30 år til billeder fra fredagsbarer og så videre. Jo, det er da nogle gode fredagsbarer, vi har. Men det er vigtigt for mig at understrege, at selve kernen af vores systemer, der indeholder de fleste af vores kunders data, ikke er blevet ramt af lækket. Det var vores fællesdrev, der blev ramt, og der lå nogle ting, der skulle have været slettet,« siger Jan Normann.

Han afviser, at EDC ikke tager it-sikkerhed alvorligt, eller at selskabet har underinvesteret i sikkerhed forud for hackerangrebet.

»Vi har haft fokus på it-sikkerhed i årevis, og vores bestyrelse har det som fast punkt på dagsordenen, så det er ikke, fordi vi ikke interesserer os for det,« siger Jan Normann.

»Jeg tror ikke, der er noget af dette, som Datatilsynet ikke ved. Vi har ingen hemmeligheder for det, og jeg forventer en god og fornuftig dialog med tilsynet,« siger pressechefen.