Gå tilbake til:
Du er her:

Sikkerhetshull funnet i bookingløsning

Torsdag 7. mars ble Bergen kommune varslet om et sikkerhetshull i bestillingsløsningen "Aktiv by". Feilen ble rettet umiddelbart. Den gjelder ikke sensitive personopplysninger.

Datatilsynet er varslet om hendelsen. Kommunen ble kjent med avviket etter at sårbarheten ble oppdaget av en privat sikkerhetsekspert. Vedkommende varslet nasjonal datasikkerhetsmyndighet, NorCERT, som igjen sørget for å varsle de berørte kommunene.

Brukt til å booke lokaler og utstyr

"Aktiv by" ("Aktiv kommune") er en selvbetjeningsløsning som kommunene Stavanger, Fjell, Ålesund og Bergen tilbyr sine innbyggere for leie av lokaler og utstyr.

I Bergen kan privatpersoner, lag og organisasjoner bruke løsningen til å booke kulturlokaler, idrettsanlegg, skolelokaler, kano og overnatting.

I forbindelse med registreringen blir privatpersoner bedt om å oppgi personopplysninger som personnummer, navn, adresse, telefonnummer og e-postadresse. Sikkerhetsavviket gjelder disse opplysningene. Dette er ikke å regne som sensitive opplysninger, men opplysningene skal likevel behandles slik at ikke uvedkommende får tilgang til dem.

Ikke sensitive opplysninger

- Opplysningene har ikke vært synlig på nettsiden, men det har vært mulig for datakyndige personer å se opplysninger om hvem som har bestilt de ulike lokalene, sier digitaliseringsdirektør i Bergen kommune, Kjetil Århus.

Etter at varselet om avviket kom torsdag 7. mars klokken 15.30 satte de fire kommunene straks i gang arbeid med å tette avviket. Fredag 8. mars klokken 08.00 var kommunene trygge på at problemet var lukket. Datatilsynet fikk muntlig varsel da avviket ble kjent og er varslet skriftlig i dag.

Har håndtert alle avvik

Alle kjente avvik er håndtert. For Bergen kommunes del kan opplysningene til 3.000 privatpersoner ha blitt berørt av avviket. Sårbarheten har mest sannsynlig vært i systemet siden den ble tatt i bruk i Bergen i oktober 2010.

- Til nå er det ingen tegn som peker på at opplysningene kan ha blitt misbrukt. Sammen med de andre kommunene jobber vi med å avdekke omfanget. Kommunen beklager at dette avviket har skjedd. Siden dette ble kjent, har vi jobbet sammen med de andre kommunene for å sikre løsningen, sier Kjetil Århus.

Som ledd i videre tiltak, har Bergen kommune engasjert eksterne sikkerhetseksperter til å kontrollere løsningen.

- I takt med at samfunnet blir mer digitalt, blir vi også utsatt for sårbarheten dette kan medføre. Vi oppfordrer alle som oppdager slike hull til å varsle oss, sier Kjetil Århus.

Bergen kommune jobber med å varsle de berørte.