Nej bare rolig, dette var et kontrolleret hacker angreb, som Haderslev Kommune selv havde givet tilladelse til og som blev udført af hackere fra rådgivningsfirmaet KPMG.
Årsagen til angrebet var teste de danske kommuners it sikkerhed, derfor blev alle kommuner spurgt, men kun Haderslev og Bornholms Regionskommune indvilgede i at deltage i eksperimentet, som torsdag kan ses på TV2 som dokumentaren “Hackerne angriber os”.
For at kunne få adgang til de fortrolige data, benyttede hackerne at et password ikke var skiftet til et konferencesystem, hvor medarbejdernes navne og mails lå.
Herefter sendte de en såkaldt phishing-mail til alle medarbejderne, om at der var drillenisser på spil. Når medarbejderne loggede på intranettet ville der være en lille chance for at nisserne havde pillet ved noget der og man ved at logge ind kunne se om man var blevet drillet.
Ialt 25 medarbejdere klikkede på det link der var i den udsendte mail, men det var et falsk link, så man kom til en side hvor der skulle logges ind med mailadresser og koder som hackerne herefter havde adgang til.
Nu var det muligt at se og læse mails, samt sende mails ud for den enkelte medarbejder.
En af de ramte medarbejdere var Bent-Ole Østerby, daglig er leder af Pædagogik og Læring, han fortæller til TVSyd: “Det er da dybt ubehageligt, at de har kunnet logge sig ind og sende mails på vegne af mig og organisationen. Ikke kun for mig personligt, men ligeså meget for kommunen”.
Ikke kun i Haderslev
For kommunens it-chef Anne-Mette Michelsen, var det en form for wakeup call at have hackerne forbi, hun udtaler at der klart skal strammes op, når manf ikke sikrer borgernes data bedre.
Datatilsynet som fører tilsyn med kommunerne, har været på kontrolbesøg i mange kommuner og fandt sikkerheden kritisabel flere steder,da flere ikke havde styr på det.
Noget som teamleder Klaus Agnoletti fra Cybersikkerhed i KPMG også forholder sig til overfor TVsyd: “Vi har ikke set noget, der har overrasket mig. Det er, som jeg havde forventet. Desværre. Medarbejderne er for eksempel ikke bange for at klikke på noget, hvilket er heldigt for os” og fortsætter:
“Kommunerne vidste ikke, hvor ting var. De kendte ikke deres egne netværk. De kunne ikke finde ud af at vedligeholde netværket, og netværket var ikke sikkerhedsmæssigt korrekt brugt, udnyttet eller konfigureret”.