Ærgerlig sikkerhedsbrist for eventdeltagere

Ved en fejl har over 2.000 personers e-mailadresser været tilgængelige for andre, der har været tilmeldt det samme event hos IT-Branchen.

Ærgerligt sikkerhedsbrist for eventdeltagere

I alt 2.218 personers e-mailadresse og 619 telefonnumre har ved en fejl været tilgængelig for andre, der havde tilmeldt sig samme event.

Et gennemsnitligt event har haft omkring 35 deltagere, og det største omkring 300 deltagere, der uberettiget har haft til kontaktoplysningerne på hinanden.

Hullet er nu lukket, sikkerhedsbristen er meldt til Datatilsynet ligesom alle berørte personer er blevet kontaktet.

En fejlindstilling i eventsystemet

En funktion i IT-Branchens eventsystem, der gav eventdeltagerne mulighed for at tilføje eventet til deres egen kalender, var sat forkert op.

Anvendte du som eventdeltager denne mulighed, modtog du et link til et selvbetjeningsmodul, hvor du kunne se og ændre din egen tilmelding, se programmet og slides samt se en navneliste over alle tilmeldte.

En fejlindstilling (et flueben sat forkert) gjorde desværre, at listen over tilmeldte har vist deltagernes e-mailadresse og telefonnummer, hvis disse to informationer var oplyst i forbindelse med tilmelding til eventet.

”Bristen skyldes desværre en menneskelig fejl, som er begået af os selv. Det er en overtrædelse i forhold til persondataforordningen og vores egen politik om, at disse oplysninger ikke er tilgængelige for deltagerne, medmindre det tydeligt fremgår som et vilkår ved tilmelding til eventet,” udtaler Bjørn Borre, direktør for forretning og medlemsservice.

Personer, der ikke har været tilmeldt samme event, har ikke kunnet se kontaktoplysningerne.

Det gjorde vi

Vi blev opmærksomme på fejlen om eftermiddagen torsdag d. 28/3 2019 på baggrund af en henvendelse fra en af vores eventdeltagere.

”Først og fremmest skal der lyde en stor tak til deltageren for at gøre os opmærksom på sikkerhedsbristen. Selvom vi er rigtigt ærgerlige over, at fejlen overhovedet kunne opstå, er vi glade for at blive gjort opmærksom på hullet, så vi kunne lukke det,” siger Bjørn Borre, der samtidig har sendt lidt vin til den pågældende person som tak.

Dagen efter vi blev gjort opmærksom på bristen, lukkede vi hullet, så kontaktdata ikke længere var tilgængelig for eventdeltagere imellem. Samme dag indberettede vi til Datatilsynet, at vi utilsigtet men også uberettiget havde udstillet disse oplysninger.

Alle berørte eventdeltagere har fået besked om sikkerhedsbristen, der har berørt tilmeldte til event i perioden fra 10. januar 2018 til og med 29. marts 2019.

Tilmeld dig branchens kodeks

Når der sker et sikkerhedsbrist, er det ikke ualmindeligt, at det er nogen udenfor ens egen organisation, der først bliver opmærksom på det og giver besked herom.

Du kan ikke løbe fra de fejl du har begået, men du kan derfra gøre dit bedste for at håndtere processen så professionelt som muligt. Og det vil dine kunder formentlig kvittere positivt på – trods den ulykkelige situation.

Derfor er det vigtigt, at I har processerne klar til at håndtere indberetninger af sikkerhedsbrud.

IT-Branchen har udarbejdet et kodeks for indrapportering af sikkerhedsbrister, som vi anbefaler alle virksomheder og offentlige institutioner at tilmelde sig. Vi har naturligvis selv tilmeldt os og følger kodekset.

Her kan du læse mere om Kodeks for indrapportering af sikkerhedsbrister.

Du kan naturligvis også dukke op til vores event “Sådan håndterer du et sikkerhedsbrud, der afholdes i København 5. april og i Viborg 2. maj.

Mere om it-sikkerhed

Har du andre spørgsmål om it-sikkerhed og privacy eller ønsker du at blive medlem af vores udvalg for it-sikkerhed, er du velkommen til at kontakte chefkonsulent og projektleder, Martin Jensen Buch.