KMD Anmeldelser 25

Det er helt ude i hampen, at KMD politianmelder en it-kyndig (Esben Warming - som jeg i øvrigt ikke kender, men har hørt om i Radio 24syv), som påpeger et sikkerhedshul (som også er helt ude i hampen i den forstand at det er helt amatøragtigt at lave en så alvorlig og basal fejl) i en af KMD's web-applikationer.

Den eneste seriøse reaktion fra KMD ville være at sige undskyld til os alle og tak for hjælpen, og evt have forgyldt Esben Warming for at have reduceret risikoen for den helt store skandale for KMD - tænk hvis det en dag viste sig, at kriminelle eller en fjendtlig efterretningstjeneste havde høstet alle danske CPR-numre og relaterede data (hvad-ved-jeg).

Direktøren for KMD er tydeligvis inkompetent og/eller paranoid. Under alle omstændigheder ikke for kvik...

Ok, så får jeg sikkert en politianmeldelse på halsen for denne anmeldelse, hvis stilen skal holdes fra KMD's side...

De tager ikke deres sikkerhed alvorligt. De har i 12 år haft et sikkerhedshul hvor man kunne udtrække personfølsomme oplysninger fra et af deres systemer. De bliver så gjort opmærksomme på dette sikkerhedshul og i stedet for at takke og så koncentrere sig om at lukke hullet.. så bruger de tid på at jagte budbringeren.
Det har de gjort ved at politianmelde IT-konsulenten der fandt hullet. Det er efter min mening en forkastelig optræden.
Dokumentation kan findes på dr.dk blandt mange andre nyhedssider.

Vi bruger KMD produkter fra vugge til grav. Derfor har de fleste af os været i berøring med KMD eller Kommunedata, som det hed i gamle dage. Der har været mange problemstillinger, som virksomheden ikke har løst helt smart - ja flere, som er løst dårligt eller slet ikke.

Seneste skud på rækken af fejlhåndteringer er, at KMD er taget med bukserne nede. Pladsanvisningssystemet viser sig gennem en lang årrække at være en CPR-søgemaskine således, at man kan indtaste et CPR-nummer manuelt eller maskinelt og modtage navn på den person, der har netop dette CPR-nummer.

En vaks borger har heldigvis haft kendskab til it-sikkerhed, så han straks følte, at HER var et problem. Han checker så systemet, dokumenterer sine fund og overbringer denne - for KMD - nye viden til sin hjemkommune, Frederiksberg, der som så mange andre kommuner er abonnent på systemet.

KMD skulle, som Google, Appel, Microsoft og alle de andre professionelle virksomheder ville have gjort, have modtaget info om et sikkerhedsbrud med åbne arme. KMD skulle have belønnet den vakse bruger for at finde frem til dette kæmpeproblem, som KMD selv ikke har haft evner til at teste sig frem til. Skam få KMD - også i denne sag.

Jeg forstår, at Datatilsynet pusler med den model, at det er de abonnerende kommuner, der skal klandres for ikke at have sikret sig, at leverencen fra KMD var sikkerhedsmæssigt i orden. Jamen i så fald, skam på datatilsynet.

En leverandør skal selvfølgelig stå inde for, at koden er i orden - ikke kun funktionelt, men også sikkerhedsmæssigt.

Derfor kun en stjerne - med pil nedad.

Tager ikke deres sikkerhed alvorligt, og virker generelt som et firma styret af små børn. Ingen selvindsigt.

Det er pinligt at der ikke findes professionelle folk ansat i dette firma som kan taste korrekte data !
Inkompetent er blot fornavnet på disse personager !!