En ekspert kalder udtalelser fra EDC for absurde, efter at kæden er blevet udsat for et alvorligt hackerangreb.

Knap 100.000 CPR-numre tilhørende EDC's kunder er blevet lækket på det såkaldte mørke internet af russiske hackere, der angreb kæden 1. november.

Hackerne lykkedes også med at få fingrene i omkring 1300 personers pas, kørekort og sygesikringsbeviser samt oplysninger som telefonnumre og adresser.

Både manglende sikkerhed, der gjorde det muligt for hackerne at lække følsomme oplysninger, og EDC's efterfølgende udtalelser om sagen, møder kritik fra formand i IT-politisk forening, Jesper Lund.

Jesper Lund, formand for IT-Politisk Forening. (Foto: Jesper Lund/handout/Ritzau Scanpix)
Jesper Lund, formand for IT-Politisk Forening. (Foto: Jesper Lund/handout/Ritzau Scanpix) Foto: Jesper Lund/Ritzau Scanpix
Vis mere

Han bemærker først og fremmest, at kundernes mest sensitive oplysninger burde være beskyttet med kryptering – en teknologi, der normalvis bruges til at skjule følsom data.

Har du fået lækket en kopi af dit pas, sygesikringsbevis eller kørekort, da EDC blev hacket? Kontakt journalisten på ofru@bt.dk.

»Når kopier af 1300 personers pas, kørekort og sundhedskort er tilgængelige på dark web, kan vi med sikkerhed konkludere, at oplysningerne ikke har været gemt i krypteret form hos EDC,« skriver han i en e-mail til B.T.

»Hvis EDC havde gjort det, ville konsekvenserne af databruddet ikke være nær så alvorlige.«

Ifølge EDC fik de russiske hackere adgang til en såkaldt backup-fil, der var blevet oprettet ved en menneskelig fejl.

Det havde kryptering forhindret, hvis man spørger den it-politiske formand.

»Hvis de mest følsomme data havde været krypteret,« siger Jesper Lund, havde det »ikke være muligt at oprette en backup-fil ved en menneskelig fejl, som EDC åbenbart undskylder sig med.«

EDC er før blevet kritiseret af ekspert i cybersikkerhed John Foley, der blandt andet siger, at virksomheden ikke har været godt nok beskyttet, når lækket kunne finde sted.

»De har ikke haft den tilstrækkelige modenhed eller kompetencer,« siger han om ejendomsmæglerkæden.

Det bliver kaldt en påstand af informationschef i EDC, Jan Nordmann. Han siger, at EDC's »sikkerhedsniveau var højt før, og det er ekstremt højt nu.«

Det er Jesper Lund tilsyneladende helt uenig i. Han peger på, at det ifølge mediet Version2 var en inficeret mail sendt til en enkelt medarbejder, der gav den russiske hackergruppe adgang til EDC's server.

»Det er absurd, at EDC i medierne påstår at deres »sikkerhedsniveau var højt før«, når de ikke har beskyttet lagrede kopier af pas mv. med kryptering, og når der et eller andet sted i deres IT-netværk, med adgang via internettet, har ligget en kæmpe backup-fil, som ingen hos EDC har undret sig over (eller i hvert fald ikke gjort noget ved),« skriver han i en mail.

Jan Nordmann fra EDC siger, at firmaet »i årevis har kørt rutiner for alle medarbejdere med genkendelse af forsøg på svindel«, og at EDC »hele tiden har haft beredskabsplaner og ekstern konsulentbistand fra det særdeles velrenommerede CSIS«.

Men det er ikke nok, mener Jesper Lund.

»Selvfølgelig kan der ske menneskelige fejl,« tilføjer han, »men god IT-sikkerhed – herunder krav i GDPR artikel 32 mv. – handler i høj grad om at designe IT-systemer og rutiner for håndtering af personoplysninger, så menneskeligt fejl ikke kan få de katastrofale konsekvenser som i denne sag med.«

Ifølge Jesper Lund er virksomheder som EDC »nødt til at indrette it-systemer og it-sikkerheden således, at en lille sikkerhedshændelse som at modtage en inficeret mail ikke kan eskalere til det katastrofale omfang, som vi har set med denne EDC-sag.«

»Sådanne ændringer af den grundlæggende it-sikkerhed tager mere end et par dage eller uger, så EDC's påstande om, at deres sikkerhedsniveau nu er 'ekstremt højt' lyder simpelthen ikke troværdigt.«

Mediet Computerworld har skrevet, at EDC ‘mørklægger’ hackerangrebet og nægter at svare på spørgsmål om det.

B.T. har forelagt kritikken i denne artikel for EDC's informationschef og stillet en række spørgsmål – herunder hvilke fejl, han selv mener, EDC har begået, som har ført til lækket. Derudover hvor alvorligt, han selv mener, angrebet er, og om han vil sige undskyld til de mange kunder, der har fået lækket sine personlige oplysninger til internettet, fordi EDC ikke har krypteret dem.

I et skriftligt svar bemærker han, at »artiklen hviler på udsagn fra Jesper Lund, der desværre ikke har indsigt i, hvad der reelt skete ved hackerangrebet på EDC, og derfor ender i en række forsimplede postulater.«

Han siger, at EDC har arbejdet »systematisk med IT-sikkerheden gennem adskillige år«, og at »systemerne er robuste«, men at »den menneskelige faktor ikke må undervurderes.« »Ingen data, der var opbevaret korrekt, er blevet kopieret, men desværre har der været tilfælde af manglende data fra fælles drev. Naturligt nok skærper vi indsatsen på dette punkt.«

Ifølge mediet har det alvorlige hackerangreb fået forsvarsminister og formand for Venstre, Troels Lund Poulsen, ind i sagen. Han er således blevet kaldt i samråd af SF for at redegøre for, hvordan cybersikkerheden i landet styrkes, lyder det.