Ålesundkommune logo 246px
Ålesundkommune logo sidestilt 50h

Nyheter fra Ålesund kommune

Sikkerhetshull funnet i bookingløsning

AktivKommune Ålesund på nettbrett 1Torsdag 7. mars ble Ålesund kommune via Bergen kommune varslet om et sikkerhetshull i bestillingsløsningen «Aktiv by/Aktiv kommune». Feilen ble rettet umiddelbart. Den gjelder ikke sensitive personopplysninger.

 


Datatilsynet er varslet om hendelsen. Kommunen ble kjent med avviket etter at sårbarheten ble oppdaget av en privat sikkerhetsekspert. Vedkommende varslet nasjonal datasikkerhetsmyndighet, NorCERT, som igjen sørget for å varsle de berørte kommunene.


Brukt til å booke lokaler og utstyr

«Aktiv by» («Aktiv kommune») er en selvbetjeningsløsning som kommunene Stavanger, Fjell, Ålesund og Bergen tilbyr sine innbyggere for leie av lokaler og utstyr.
I Ålesund kan privatpersoner, lag og organisasjoner bruke løsningen til å booke kulturlokaler, idrettsanlegg, skolelokaler og utstyr.
I forbindelse med registreringen blir privatpersoner bedt om å oppgi personopplysninger som personnummer, navn, adresse, telefonnummer og e-postadresse. Sikkerhetsavviket gjelder disse opplysningene. Dette er ikke å regne som sensitive opplysninger, men opplysningene skal likevel behandles slik at ikke uvedkommende får tilgang til dem.


Ikke sensitive opplysninger

"Opplysningene har ikke vært synlig på nettsiden, men det har vært mulig for datakyndige personer å se opplysninger om hvem som har bestilt de ulike lokalene", sier digitaliseringsdirektør i Bergen kommune, Kjetil Århus.


Etter at varselet om avviket kom torsdag 7. mars klokken 15.30 satte de fire kommunene straks i gang arbeid med å tette avviket. Fredag 8. mars klokken 08.00 var kommunene trygge på at problemet var lukket. Datatilsynet fikk muntlig varsel da avviket ble kjent og er varslet skriftlig i dag.


Har håndtert alle avvik

Alle kjente avvik er håndtert. For Ålesund kommunes del er opplysningene til 16 privatpersoner berørt av avviket. Sårbarheten har mest sannsynlig vært i systemet siden den ble tatt i bruk i Bergen i oktober 2010. Ålesund kommune tok systemet i bruk sommeren 2018.


"Til nå er det ingen tegn som peker på at opplysningene kan ha blitt misbrukt. Sammen med de andre kommunene jobber vi med å avdekke omfanget. Kommunen beklager at dette avviket har skjedd. Siden dette ble kjent, har vi jobbet sammen med de andre kommunene for å sikre løsningen", sier Kjetil Århus.


Som ledd i videre tiltak, har Bergen kommune engasjert eksterne sikkerhetseksperter til å kontrollere løsningen.


I takt med at samfunnet blir mer digitalt, blir vi også utsatt for sårbarheten dette kan medføre. Vi oppdrar alle som oppdager slike hull til å varsle oss.


Kommunene jobber med å varsle de berørte.

 Kontakt oss

Sentralbordet 70 16 20 00 (kl. 08.00 - 15.45)
 
Post: Postboks 1521, 6025 Ålesund
Besøk: Keiser Wilhelms gt. 11, 6003 Ålesund

Åpningstider
Kontaktinformasjon
Organisasjon

Org.nr.  942 953 119