Upplýsingarstjóri Reykjavíkurborgar hefur sent frá sér fréttatilkynningu varðandi öryggisveikleika sem uppgötvaðist í nýju upplýsingakerfi borgarinnar. Við prófanir uppgötvuðu sérfræðingar veikleika í kerfinu sem gerði þeim kleift að komast í gögn og persónuupplýsingar Reykjavíkurborgar án þess að vera auðkenndur notandi.
Segir einnig í tillkynningunni að ekkert bendi til að neinar upplýsingar hafi komist í hendur óviðkomandi aðila.
Fréttatilkynningin er eftirfarandi:
„Öryggisveikleiki í nýju upplýsingastjórnunarkerfi
Öryggisprófanir á nýju upplýsingastjórnunar- og málaskrárkerfi Reykjavíkurborgar leiddu í ljós öryggisveikleika.
Reykjavíkurborg hóf í lok síðasta árs innleiðingu á nýju upplýsingastjórnunarkerfi sem kallað er Hlaðan. Kerfið byggir á GoPro Foris og var keypt í kjölfar samkeppnisviðræðna á síðasta ári. Hugvit hf. er sölu- og þjónustuaðili kerfisins. Hlaðan leysir af hólmi eldra skjalavistunarkerfi sem verið hefur í notkun hjá Reykjavík í um 20 ár. Samkvæmt viðteknu vinnulagi hjá Reykjavíkurborg eru öryggisprófanir hluti af innleiðingarferli kerfa sem geyma gögn og annaðist upplýsingaöryggisfyrirtækið Syndis þær í samráði við borgina að þessu sinni. Við prófanir þann 31. júlí sl. uppgötvuðu sérfræðingar Syndis öryggisveikleika í Hlöðunni sem gerði þeim kleift að komast í gögn og persónuupplýsingar Reykjavíkurborgar og annarra viðskiptavina Hugvits án þess að vera auðkenndur notandi í kerfum Hugvits.
Ekkert bendir til að nokkrar upplýsingar, hvorki frá borginni eða öðrum viðskiptavinum Hugvits, hafi komist í hendur óviðkomandi aðila og frumniðurstöður athugunar Hugvits á veikleikanum staðfesta það. Engu að síður er atvikið litið alvarlegum augum og hefur persónuverndarfulltrúi Reykjavíkurborgar tilkynnt um atvikið sem öryggisbrest í skilningi persónuverndarlaga nr. 90/2018 til Persónuverndar. Fyrsti hluti innleiðingar á Hlöðunni snerti lítinn hluta af starfsemi Reykjavíkurborgar, en unnið var að innsetningu gagna hjá miðlægum skrifstofum þjónustu- og nýsköpunarsviðs og fjármála- og áhættustýringarsviðs.
Óskar Jörgen Sandholt sviðsstjóri Þjónustu- og nýsköpunarsviðs hjá borginni segir þetta sýna mikilvægi þess að öryggisúttektir séu framkvæmdar með þessum hætti við innleiðingu nýrra kerfa. „Við höfum innleitt verklag sem er með þeim hætti að við tökum ekki upp ný kerfi sem geta haft að geyma viðkvæmar persónupplýsingar án þess að láta framkvæma öryggisúttekt af hálfu fagaðila á borð við Syndis. Það getur auðvitað reynst kostnaðarsamt en sá kostnaður bliknar í samanburði við það tjón sem alvarlegur gagnaleki gæti skapað borginni. Reykjavíkurborg leggur mikinn metnað í að vera öruggur vörsluaðili gagna og persónuupplýsinga af öllu tagi enda er eðli starfsemi borgarinnar þannig að okkur er treyst fyrir miklu magni upplýsinga. Við erum mjög sátt við að þetta vinnulag hafi leitt til þess að veikleikinn uppgötvaðist því annars hefði hann verið til staðar og þá ekki einungis hjá okkur heldur einnig öðrum viðskiptavinum Hugvits sem nota kerfið,“ segir Óskar.
Frekari innleiðingu kerfisins innan Reykjavíkurborgar hefur verið frestað á meðan fundin er lausn á veikleikanum en á meðan fer fram önnur nauðsynleg undirbúningsvinna sem tengist innleiðingunni. Þá kynnti starfsfólk þjónustu- og nýsköpunarsviðs málið fyrir borgarráði í morgun.“
