Sak 02/06/18 Direktørs orientering. Drift og administrasjonsoppgaver. Besøksadresse Ringvegen Tromsø

Transkript

1 Sak 02/06/18 Direktørs orientering Drift og administrasjonsoppgaver

2

3 Sikkerhetshull i datasystem - personopplysninger Remiks har installert datasystemet ISY-Proaktiv som fagsystem for husholdningsrenovasjon og gebyr. Systemet brukes også av Tromsø kommune for innkreving av gebyrer, og det gjøre jevnlig utveksling av data mellom oss og Tromsø og Karlsøy kommuner fra systemene. Systemet er hyllevare, ikke spesialtilpasset Remiks og er et av to dominerende systemer i markedet for gebyr- og kommunale tjenester som har delt markedet omtrent likt mellom seg. I april i år ble Remiks kontaktet av leverandøren av systemet, Norconsult Informasjonssystemer (NOIS), med melding om at de hadde oppdaget at det var en feil i tjenesten som leverte data fra vårt fagsystem til tømmeplan-appen som kundene bruker for å se hvilken dag de har tømming. NOIS meldte at «Det er avdekket at det vil være teknisk mulig for 3.part å trekke ut informasjon fra denne tjenesten dersom man har den dype tekniske innsikten som kreves. Det er viktig å presisere at dette ikke har skjedd, men at vi har satt i verk preventive tiltak.». Leverandøren varslet også at systemet ville bli oppdatert i en av de nærmeste dagene, noe som ville gjøre det teknisk umulig for 3. part å hente ut data. Datatilsynet ble rutinemessig varslet om sikkerhetshullet. Remiks tok informasjonen til orientering, og gjorde ikke ytterligere tiltak i april, da man anså at tiltakene fra leverandøren var tilstrekkelig.

4 I slutten av august ble det publisert en artikkel hvor to systemutviklere kunne fortelle at de hadde avdekket sikkerhetshullet, varslet NOIS om dette og at de involverte kommunene og bedriftene hadde brukt mange måneder på å lukke hullet. Remiks ble kontaktet av itromsø som ville skrive en lokal oppfølgingssak basert på artikkelen, og ga kommentarer til saken. Vi har også delt artikkelen på facebook, samtidig som vi har beklaget ovenfor kundene som har vært utsatt gjennom sikkerhetshullet. Vi har ikke vurdert det som hensiktsmessig å kontakte alle kundene direkte, spesielt siden Datatilsynet har lukket avviket uten pålegg om at de som er rammet skal kontaktes. Ovenfor Remiks har NOIS beklaget sikkerhetshullet på det sterkeste, og har forsikret oss om at de har gjennomgått logger som ikke viser mistenkelig aktivitet utenom det disse to utviklerne har gjort. Sikkerhetstiltaket som ble gjort umiddelbart var å fjerne muligheten til å skaffe seg tilgang til data som var benyttet, mens tilgangen som utviklerne hadde skaffet seg allerede først ble fjernet gjennom en sikkerhetsoppdatering to måneder senere. Remiks har gitt klart uttrykk for at vi ikke er fornøyd med håndteringen, og at vi forventer mer av en seriøs og stor leverandør som NOIS. NOIS har beklaget hendelsen på det sterkeste, har satt i verk tiltak for å styrke fokuset på personopplysninger internt og også tilbudt Remiks en kostnadsfri total gjennomgang av hele gebyrsystemet, for å sikre at alle sikkerhetsaspekter rundt tjenesten er ivaretatt. Det har Remiks takket ja til. I tillegg har Remiks et prosjekt gående med det lokale ITselskapet Diode hvor man kartlegger all håndtering av personopplysninger i forbindelse med innføringen av det nye personverndirektivet (GDPR). Denne saken gjennomgås også i dette prosjektet.

5 Britt Mathisen Limo Adm.dir