It-eksperter om slettede mails: »En serie af brølere«, men en plausibel forklaring
Sundhedsdatastyrelsens forklaring om, hvordan medarbejderes afsendte mails er blevet slettet, vidner om menneskelige fejl, vurderer to it-eksperter.
En regulær brøler, men en plausibel forklaring og sandsynligvis en menneskelig fejl.
Sådan lyder den umiddelbare vurdering fra to it-eksperter, efter Sundhedsdatastyrelsen er kommet til at slette vigtige mails fra styrelsens medarbejdere samt medarbejdere i Statens Serum Institut.
Sagen har fået Venstres gruppeformand, Karsten Lauritzen, til at antyde, at sletningen kan være sket bevidst, nu hvor Folketinget har besluttet at iværksætte en ekspertundersøgelse af hele regeringens håndtering af coronakrisen.
»Fejl sker, MEN dette er dog lidt for belejligt til at være en tilfældighed!« skriver Lauritzen på Twitter.
En insinuering, som Socialdemokratiet har afvist som ren konspirationsteori.
Sundhedsdatastyrelsen har da også blankt afvist hændelsen som andet end en beklagelig fejl. Faktisk to fejl oven på hinanden:
Først kom en medarbejder til at ændre på en indstilling i styrelsens Micosoft-system, således at afsendte mails blev slettet fra egne systemer efter 30 dage. Indstillingen var før - og blev efterfølgende ændret tilbage til - at mails gemmes for evigt.
Fejlen blev opdaget 22. august, hvorefter styrelsen begyndte at genskabe de tabte mails via en backup.
Fejl nummer to var, at styrelsen fejlagtigt troede, at backuppen var tilgængelig i 30 dage, som det normalt er standard. Den rakte dog kun 14 dage tilbage, og da der skulle genskabes massive mængder data, nåede man ikke at hente alle data ud, inden backuppen udløb.
Peter Kruse, it-sikkerhedsekspert fra CSIS Security Group, godtager umiddelbart forklaringen.
»Det lyder plausibelt,« siger han og uddyber:
»Det er selvfølgelig brandærgerligt, at man har lavet to fejl oven på hinanden, og at man ikke har tjekket backuppens varighed, men jeg havde helt fra begyndelsen en formodning om, at det var en menneskelig fejl,« siger han og beskriver sagen som »en serie af brølere.«
Dermed henviser han til, at opsætningen af mailsystemet er Sundhedsdatastyrelsens ansvar.
Ken Friis Larsen, lektor i datalogi på Datalogisk Institut på Københavns Universitet, er på linje.
»Det lyder rimeligt,« siger han om Sundhedsdatastyrelsens forklaring og tilføjer, at det ikke er unormalt med et 14 dages vindue til at genskabe data fra en backup.
Det meste kan genskabes
Sundhedsdatastyrelsen forventer at kunne genskabe »de fleste« af de interne mails samt eksterne mails, der også har haft en intern modtager på. Men mails, der kun er sendt til eksterne modtagere, står angiveligt ikke til at redde, medmindre man kontakter modtagerne og får dem til at sende materialet retur.
Sagen kan betyde, at Statens Serum Institut (SSI) i nogle tilfælde ikke vil kunne svare fyldestgørende på f.eks. aktindsigtsanmodninger. Herunder også sager relateret til Covid-19.
SSI oplyser dog, at leverance af materiale til Folketingets ekspertudredning om håndteringen af COVID-19 ikke vil blive påvirket, »idet dokumenterne kan findes hos modtagerne af materialet«
Ken Friis Larsen undrer sig over, at Sundhedsdatastyrelsen ikke nåede at genskabe alt, inden backup-fristen udløb.
»Det lyder underligt, at man ikke kan hente det tabte ud af et system. Det formoder jeg skyldes en menneskelig fejl, men det er helt forståeligt, at der kan opstå menneskelige fejl i forbindelse med backupsystemer,« siger han.
Problemet kan måske skyldes, at dataene fyldte så meget, at det tog tid at hente dem ned, eller at Sundhedsdatastyrelsen først blev opmærksom på problemet i sidste øjeblik, inden backuppen udløb, påpeger han.
Hastighed er afgørende
Ifølge Peter Kruse kan der være et hav af forklaringer på, hvorfor man ikke nåede at genskabe alle mails i tide.
»Normalt vil man kunne gendanne det meste, men det handler om at udbedre fejlen så hurtigt som muligt, for så er chancen for at kunne gendanne langt større,« understreger han.
It-sikkerhedseksperten opfordrer styrelsen til omgående – hvis den ikke allerede har gjort det – at kontakte Microsoft, som styrelsen er kunde hos, for at høre, om it-giganten kan hjælpe med at genskabe resten.
»De har typisk nogle backup-systemer, hvor de kan grave data ud eller genskabe mails, der er gået tabt ved en fejl,« siger Peter Kruse.
Sundheds- og Ældreministeriet vil nu iværksætte en ekstern undersøgelse af sagens forløb. Samtidig har Sundhedsdatastyrelsen anmeldt sagen til Datatilsynet.
Og SF vil have en grundig redegørelse fra regeringen for at aflive enhver tvivl om, at mails er blevet slettet for at skjule noget.
Vicedirektør i Sundhedsdatastyrelsen Vibeke van der Sprong beklager de alvorlige fejl.
»Der er tale om en helt utilsigtet hændelse og fejl fra vores side, som vi er oprigtigt kede af. Vi gør alt, hvad vi kan, for at genskabe alt, hvad vi overhovedet kan. Vi har et ønske om, en intention om og en vilje til at genskabe alt, hvad vi kan,« siger hun.