I flere uger har elever og ansatte på fem skoler i Sønderjylland haft personfølsomme data liggende på nettet, uden de fik at vide, at deres data var blevet lækket i forbindelse med et omfattende hackerangreb.
Hackerangrebet blev opdaget den 31. august.
Den 8. september udsendte IT-Center Syd, der står for de fem skolers it-drift, en meddelelse om, at skolernes data ikke havde været i fare.
Først 22. september informerede man om, at hackerne faktisk havde taget store mængder data.
Datalækket berører de fem skoler EUC Syd, Sønderborg Statsskole, Gråsten Landbrugsskole, Privatskolen-Als og Sønderborg International School.
Der er tale om personfølsomme data, der i mange tilfælde vedrører mindreårige, fortæller Birgitte Kastrup Hansen, der er vicedirektør på EUC Syd.
- Det kan være data, hvor der er cpr-nummer, det kan være data med adresser og telefonnumre, og det kan være notater fra interne samtaler, fortæller hun.
- Vi ser på det med stor alvor, siger Birgitte Kastrup Hansen.
Korrespondent: Usædvanligt følsomme oplysninger
Hackergruppen har lagt dele af de stjålne data ud på Darknet - de mørke afkroge af internettet, som it-kriminelle bruger til at kommunikere anonymt - som en form for bevis i forbindelse med kravet om løsesum.
DR's techkorrespondent, Henrik Moltke, har set eksempler på de data, som er blevet lagt ud.
- Der er tale om usædvanligt følsomme oplysninger, siger han.
- Jeg har set screenshots med henvisninger til udredninger af funktionsnedsættelser, der er kørekort, alle mulige forskellige data, som har med børn og unge at gøre, og det er ikke godt, siger han.
- Det virker på mig som en alvorlig sag, måske en af de mest alvorlige sager, som jeg har set i Danmark, fordi det er børn og så store mængder data, siger Henrik Moltke.
Inficeret computer
Ifølge databeskyttelsesforordningen (GDPR) er der skærpede krav til sikkerhed, når man netop har at gøre med personfølsomme oplysninger for mindreårige.
Hackerangrebet skete ifølge indberetningen til Datatilsynet ved, at en elev sluttede en inficeret computer til netværket.
På den måde lykkedes det hackerne at få adgang til netværket, 71 andre computere, en administratorkonto og dermed fuld kontrol med skolernes it-system.
- Vi opdager det den 31. om morgenen, hvor der ikke er nogen systemer, der kan tilgås, siger Birgitte Kastrup Hansen.
I første omgang var fokus på at få adgang til skolernes it-systemer igen, forklarer vicedirektøren.
Den 8. september udsendte IT-center Syd en pressemeddelelse, hvor det fremgik, at der ikke var blevet lækket data i forbindelse med hackerangrebet:
"Trods situationens alvor og omfang så er der i forhold til GDPR ikke kopieret eller sluppet nogen data ud. Vi har en total backup af alle vores data, og backuppen er beskyttet på en sådan måde, at hackerne ikke har kunnet få adgang til den", forklarede den daværende it-chef i en pressemeddelelse.
Hackere kræver 5 bitcoins
Men få dage senere modtog skolerne skærmbilleder fra hackergruppen Rhysida, som bevis for, at hackerne har de følsomme data.
Omkring en tredjedel af oplysningerne er lagt på nettet, og hackerne kræver en løsesum på fem bitcoin (næsten en million kroner, red.), fortæller Birgitte Kastrup Hansen.
- Det har vi ikke haft planer om at imødekomme, siger hun.
- Hvis vi imødekommer kravet om løsesum, så bidrager vi også til, at organisationen kan arbejde videre, siger hun.
- Jeg ved ikke, om de har angrebet andre i Danmark, men jeg ved, at samme uge, som vi blev hacket, angreb de også 16 hospitaler i USA.
Først den 22. september orienterer IT-Center Syd offentligheden, elever og ansatte om, at der er sket omfattende datalæk.
I mellemtiden er IT-chefen blevet erstattet af en anden.
'Meget usædvanligt'
Henrik Moltke undrer sig over den langsomme reaktion, og at man i første omgang afviste, at der var sket et datalæk.
- Det undrer mig, at man ikke tidligere går ud og siger, at det her kunne være alvorligt. At man ikke tidligere underretter offentligheden og eleverne, så man kan tage sine forholdsregler, siger han.
Han undrer sig også over forløbet, hvor it-chefen kort efter angrebet, og mens det stadig er uklart, hvad der er sket, vælger at gå på pension.
Ifølge vicedirektøren på EUC Syd, Birgitte Kastrup Hansen, har it-chefens afgang dog intet med hackerangrebet at gøre.
- Der er ingen sammenhæng mellem hackerangrebet og it-chefens ønske om at gå på pension, siger hun.
- Vi har arbejdet mod et generationsskifte i en længere periode, så derfor er det helt naturligt, når ønsket fremkommer, at vores driftschef overtager rollen som it-chef, siger hun.
Hvorfor går der så lang tid, inden elever og ansatte får oplysninger om, at deres data ligger derude?
- Vi går jo i gang med at undersøge hos Datatilsynet, hvordan vi skal forholde os. Vi vægter at være i dialog med vores samarbejdsskoler, så skolelederne er orienteret om den nye udvikling i sagen, og så går der her en rum tid, hvor vi arbejder frem mod at få lavet en pressemeddelelse og få lavet beskeden med den direkte underretning til de berørte.
Burde folk ikke have fået information om det her tidligere?
- Jo, det kan man altid ønske. Vi har arbejdet så hurtigt, som det har været muligt, siger Birgitte Hansen.
Hun forklarer, at man blandt andet havde brug for rådgivning fra Datatilsynet, og at det var svært at danne sig et overblik over, hvilken data der var involveret i angrebet.
Vil du vide mere om ransomware-angreb? Blandt andet hvordan du kan beskytte dig? Så se denne korte guide: