Mange nuværende og tidligere medarbejdere i Forsvaret har fået lækket deres cpr-numre og flere andre personlige oplysninger i et større internt datalæk i Forsvarsministeriets Personalestyrelse. Det skriver styrelsen i en mail til de berørte og på sin hjemmeside. Flere af de berørte udtrykker bekymring over sagen.

Mange nuværende og tidligere ansatte modtager i disse dage breve fra Forsvarsministeriets Personalestyrelse (FPS) i deres eBokse. Her kan de læse, at deres navne, CPR-numre, medarbejder-numre samt oplysninger om ansættelsesforhold, bopælskommuner med mere er blevet kompromitteret i et større internt datalæk.

»Personalestyrelsen konstaterede den 26. august et beklageligt internt databrud, hvor CPR-numre og andre personoplysninger på Forsvarsministeriets ansatte har været tilgængelige i et excelark på vores intranet. Excelarket er blevet oprettet i forbindelse med et projektarbejde i 2015. Da projektgruppen ophørte, blev arket ikke samtidig slettet fra sitet, hvilket var en fejl,« skriver FPS på sin hjemmeside og i brevet til de berørte medarbejdere.

Personalestyrelsen oplyser videre, at man har konkret kendskab til fire medarbejdere, der har tilgået excelarket siden januar 2019, men at personoplysningerne formentlig har ligget tilgængelige siden 2015. I perioden mellem 2015 og 2019 ved man ikke, hvem der har tilgået siden. Alligevel lyder beskeden til de berørte medarbejdere, at der ikke er grund til bekymring:

»Vi vurderer, at det er meget begrænset, hvor mange af Forsvarsministeriets ansatte, der har set oplysningerne, da sitet ikke har været synligt fra Forsvarsministeriets intranetsider. Ansatte med intranetadgang har dog kunnet finde frem til det, hvis de har haft kendskab til URL’en, eller hvis de ved søgning på intranettet har fået et match i excelarket,« skriver FPS således.

»Bekymrende arbejdet in mente«

En af de berørte er reserveofficer Klaus Kroll, som selv tidligere har oplevet, hvordan hans personlige oplysninger er havnet på forkerte hænder. Det skete, da Danmark i 2016 ved en fejl udleverede biometrisk data på 400 danske soldater til de irakiske myndigheder. Selvom den aktuelle sag efter alt at dømme er noget mindre alvorlig, bekymrer det ham alligevel, at den har kunnet finde sted.

»Man sidder og tænker ’nu igen?’. Det er jo åbenbart en serie af tåbeligheder. Tilbage i Irak-tiden udleverede man data på vores biometri, som sikkert havnede i Iran i løbet af fem minutter. Nu er det personnumre og alt muligt andet, der sejler rundt. Jeg sidder og tænker: ’Hvor er det, at filmen knækker?’,« siger Klaus Kroll.

Netop Forsvaret og Forsvarsministeriet har en særlig forpligtelse til at tage datasikkerheden meget alvorligt. Det ansvar har man svigtet, mener han.

»Det burde være det fornemmeste sted, hvor man passer på sikkerheden, for det er en sikkerhedsorganisation. Man burde have relativt godt styr på det. Der er et eller andet sted, hvor sikkerhedspolitikkerne ikke er rullet ordentligt ud. Det er lidt bekymrende med arbejdet in mente.«

Også tidligere konstabel Rasmus Heiselberg Porse finder sagen foruroligende.

»Det er hovedrystende, at der ikke er mere kontrol med personellets data. Især i forhold til dem, som er i beredskab og potentielt set er på vej til at sætte deres liv på spil, og så kan man ikke sikre deres personlige data. Da jeg var i Forsvaret, blev vi gjort opmærksomme på, at truslen for statsfinansierede cyberangreb på personel var til stede, så derfor finder jeg databruddet ekstremt bekymrende,« siger Rasmus Heiselberg Porse.

Underretter for at være gennemsigtige

OLFI har på baggrund af sagen fået en stribe af henvendelser fra vores læsere. I brevet til de berørte understreger FPS dog, at der formentlig ikke er grund til at frygte, at personlysningerne er endt hos nogen med onde hensigter. Oplysningerne har alene været tilgængelige på Forsvarets Integrerede Informatik Netværk (FIIN), og det er formentlig kun de få, som har arbejdet med de pågældende data, der reelt har tilgået dem, skriver FPS i sit brev til medarbejderne:

»For at kunne tilgå teamsitet kræver det, at man er ansat i Forsvaret og har haft adgang til Forsvarets Integrerede Informatik Netværk (FIIN). Ud over log-in krav (brugernavn og password), er der netværkskryptering på det samlede netværk. Vi vurderer, at risikoen ved databruddet er begrænset. Ud fra en forsigtighedsbetragtning, og for at være gennemsigtige overfor de berørte personer, vælger vi hermed at underrette dig.«

FPS oplyser videre, at Datatilsynet i overensstemmelse med gældende regler er informeret om datalækkert.

OLFI har på baggrund af adskillige henvendelser fra vores læsere stillet Forsvarsministeriets Personalestyrelse en række spørgsmål til sagen. Blandt andet vil vi gerne høre, hvor mange nuværende og tidligere medarbejdere, der er berørt af datalækket. Artiklen opdateres – eller følges op af en ny – når styrelsen vender tilbage med svar.