310.000 mennesker er berørt af et databrud på Københavns Universitet, og ifølge dansk it-ekspert gør flere ting situationen alvorlig.

Universitetet beskriver torsdag eftermiddag på sin hjemmeside, at grupper af ansatte i en længere årrække har haft adgang til personoplysninger, herunder cpr-numre, på 310.000 personer, som har været tilknyttet Københavns Universitet.

Og det er et omfattende databrud, konstaterer it-ekspert Peter Kruse fra Kruse Industries over for B.T.

»Når jeg kigger ned i beskrivelsen af, hvad der er foregået, så hæfter jeg mig ved, at oplysningerne blandt andet inkluderer cpr-numre og beskyttede adresseoplysninger,« siger Peter Kruse.

»Københavns Universitet har en interesse i at nedtone den potentielle risiko for, at oplysningerne kan blive brugt til identitetstyveri, men faktum er, at cpr-numre stadig er en risiko,« tilføjer han.

Han peger på, at 310.000 mennesker repræsenterer et stort omfang.

»Volumen på 310.000 er omfattende, og det rykker også situationen opad på alvorlighedsskalaen, at det har stået på tilsyneladende i en periode på adskillige år,« siger Peter Kruse.

»Fordi det har fundet sted over en længere periode, så har de formentlig ikke overblik over, hvem eller hvor mange personer, der risikerer at have downloadet materialet.«

»Problemet med en årelang eksponering er, at man formentlig ikke har et loft på antallet,« forklarer han.

Peter Kruse pointerer dog, at det er en formildende omstændighed, at oplysningerne ikke har været offentligt tilgængelige, men alene tilgængelige for ansatte på universitetet.

»De personer, der har haft adgang, har været underlagt lovgivning i forbindelse med deres ansættelse,« siger Peter Kruse og refererer til, at de pågældende personer har underskrevet fortrolighedserklæringer, der gør, at de ikke må videregive oplysninger, de har haft adgang til i forbindelse med deres ansættelse.

Samtidig konstaterer Peter Kruse, at Københavns Universitet har reageret på den rette måde:

»KU har gjort det, de skulle, da de fandt ud af, at der var et problem, og de har også beskrevet, hvad de har gjort ved det,« siger han.

»Min konklusion er, at det er et problem, som er opstået på grund af en menneskelig fejl, hvor nogen har delt noget på et netværksdrev, som ikke skulle have været lagt der.«

»Det skulle have været på et adgangsbegrænset drev, og det er den fejl, som er begået. Det er en typisk, klassisk fejl, som vi ser i databrudsager i Danmark,« understreger Peter Kruse.