Sektar Mentor um 3,5 milljónir vegna öryggisbrestsins Atli Ísleifsson skrifar 4. maí 2021 11:27 Vegna veikleika í kerfinu gátu tveir aðilar, einn á Íslandi og annar í Svíþjóð, nálgast kennitölur og myndir, svokallaða avatars, samtals 424 barna án þess að hafa til þess heimild. Vísir/Samsett Persónuvernd hefur lagt 3,5 milljóna króna stjórnvaldssekt InfoMentor ehf. vegna öryggisbrests sem átti sér stað í vefkerfinu Mentor í febrúar 2019. Vegna veikleika í kerfinu gátu tveir aðilar, einn á Íslandi og annar í Svíþjóð, nálgast kennitölur og myndir, svokallaða avatars, samtals 424 barna án þess að hafa til þess heimild. Frá þessu segir á vef Persónuverndar. Þar segir að veikleikinn hafi falist í því að sex stafa kerfisnúmer nemenda hafi verið sýnileg í vefslóð tiltekinnar síðu í Mentor-kerfinu og unnt hefði verið að nálgast þær persónuupplýsingar sem þar var að finna með því einu að breyta tölum í viðkomandi vefslóð. „InfoMentor ehf. gekkst við því að mannleg mistök hefðu orðið til þess að lagfæringu veikleikans hefði ekki verið lokið að fullu, þrátt fyrir að fyrirmæli hefðu verið gefin þar um. Þannig hafði lausn þegar verið þróuð, en ekki innleidd í kerfið fyrr en eftir að fyrirtækinu varð kunnugt um öryggisbrestinn. Taldi Persónuvernd að koma hefði mátt í veg fyrir öryggisbrestinn með fullnægjandi eftirfylgni og prófunum öryggisráðstafana.“ Sendu líka kennitölur barnanna til rangra skóla og persónuverndarfulltrúa Persónuvernd komst að þeirri niðurstöðu að InfoMentor hefði ekki tryggt öryggi persónuupplýsinga innan Mentor-kerfisins með þeim hætti sem áskilið er persónuverndarlögum. Persónuvernd taldi sömuleiðis að InfoMentor hafi ekki tryggt fullnægjandi öryggi persónuupplýsinga þeirra skráðu einstaklinga sem urðu fyrir áhrifum öryggisbrestsins þegar fyrirtækið sendi kennitölur hlutaðeigandi einstaklinga í nokkrum tilvikum til rangra skóla og persónuverndarfulltrúa. Helga Þórisdóttir er forstjóri Persónuverndar.Vísir/Egill „Við ákvörðun stjórnvaldssektarinnar var einkum horft til fjölda þeirra skráðu einstaklinga sem öryggisbresturinn hafði áhrif á og sem hefðu getað orðið fyrir áhrifum hans með tilliti til fjölda notenda Mentor-kerfisins. Einnig hafði mikla þýðingu að um var að ræða persónuupplýsingar barna sem njóta sérstakrar verndar laga nr. 90/2018 og reglugerðarinnar. Þá taldi Persónuvernd þurfa að gera enn ríkari kröfur en ella til InfoMentors ehf. sem vinnsluaðila í ljósi þess að meginstarfsemi fyrirtækisins felst í þróun og rekstri vefkerfis sem er sérstaklega ætlað fyrir vinnslu persónuupplýsinga um börn. Á hinn bóginn benti ekkert til þess að skráðir einstaklingar hefðu orðið fyrir tjóni vegna öryggisbrestsins, auk þess sem InfoMentor ehf. lagði fram gögn sem sýndu fram á ýmsar ráðstafanir sem fyrirtækið hafði gripið til með það að markmiði að tryggja öryggi persónuupplýsinga í Mentor-kerfinu. Þótti stjórnvaldssektin því hæfilega ákveðin kr. 3.500.000,“ segir á vef Persónuverndar. Persónuvernd Skóla - og menntamál Grunnskólar Mest lesið Dagatalsmenningin: Rosa töff að vera með yfirbókaða dagskrá Atvinnulíf Vogue og forsetafrúin kveiktu strax en íslenski vinnumarkaðurinn með hindranir Atvinnulíf Ný útgáfa af konungi jeppans kominn til landsins Samstarf Reykskynjara vantar of víða – Eldvarnarátak stendur nú yfir Samstarf Vilja þvinga Google til að selja Chrome Viðskipti erlent Lækka innlánsvexti um heilt prósentustig Viðskipti innlent Bjarni ráðinn framkvæmdastjóri vinds og jarðvarma hjá Landsvirkjun Viðskipti innlent Inngildingin: „Íslenska töluð með hreim er samt íslenska“ Atvinnulíf Máttu ekki fullyrða að eldsneytið væri kolefnisjafnað Neytendur Gæðin að batna og nóg af klementínum eftir helgi Neytendur Fleiri fréttir Bjarni ráðinn framkvæmdastjóri vinds og jarðvarma hjá Landsvirkjun Lækka innlánsvexti um heilt prósentustig Opna verslanir í Kringlunni á ný Nýtt veitingasvæði rís í Smáralind Kristján ráðinn til Advania Bein útsending: Raforkuöryggi, fyrir hverja? „Grindavíkuráhrifin“ að fjara út Vilja afnema álag á útsvar í Árborg á næsta ári Rekstur fríhafnarinnar seldur úr landi Vaxtalækkun gleðitíðindi en vextir ennþá „allt of háir“ Rannveig kveður: 124 fundir og „aldrei lognmolla“ Skýr merki um að verðbólga sé að hjaðna Ráðin framkvæmdastjórar hjá Sóltúni Krefst þess að Sorpa stofni hlutafélag Vaxtaákvörðun peningastefnunefndar rökstudd Tilkynnir um breytta vexti nokkrum mínútum eftir stýrivaxtalækkun Stýrivextir halda áfram að lækka Útboð SÍ stöðvað og Intuens fagnar sigri Samtökin '78 selja slotið Allir spá lægri vöxtum Grindvíkingar geta nú gerst „hollvinir“ seldra húsa sinna Samkaup koma inn á bókamarkaðinn með látum Rúnar nýr framkvæmdastjóri hjá Stólpum Gámum Bein útsending: Tillögur um tækifæri til viðskipta með kolefniseiningar Bein útsending: Grænt Ísland til framtíðar – Hver er leiðin áfram? Trausti nýr forstjóri og fimmtíu sagt upp hjá Controlant Uppsagnir hjá Controlant Guðmundi falið að bera ábyrgð á hugverkum Carbfix Vonar að íslenskir verktakar hafi enn áhuga á Grænlandi Kynna nýja samheitaorðbók sem samin er með hjálp gervigreindar Sjá meira
Frá þessu segir á vef Persónuverndar. Þar segir að veikleikinn hafi falist í því að sex stafa kerfisnúmer nemenda hafi verið sýnileg í vefslóð tiltekinnar síðu í Mentor-kerfinu og unnt hefði verið að nálgast þær persónuupplýsingar sem þar var að finna með því einu að breyta tölum í viðkomandi vefslóð. „InfoMentor ehf. gekkst við því að mannleg mistök hefðu orðið til þess að lagfæringu veikleikans hefði ekki verið lokið að fullu, þrátt fyrir að fyrirmæli hefðu verið gefin þar um. Þannig hafði lausn þegar verið þróuð, en ekki innleidd í kerfið fyrr en eftir að fyrirtækinu varð kunnugt um öryggisbrestinn. Taldi Persónuvernd að koma hefði mátt í veg fyrir öryggisbrestinn með fullnægjandi eftirfylgni og prófunum öryggisráðstafana.“ Sendu líka kennitölur barnanna til rangra skóla og persónuverndarfulltrúa Persónuvernd komst að þeirri niðurstöðu að InfoMentor hefði ekki tryggt öryggi persónuupplýsinga innan Mentor-kerfisins með þeim hætti sem áskilið er persónuverndarlögum. Persónuvernd taldi sömuleiðis að InfoMentor hafi ekki tryggt fullnægjandi öryggi persónuupplýsinga þeirra skráðu einstaklinga sem urðu fyrir áhrifum öryggisbrestsins þegar fyrirtækið sendi kennitölur hlutaðeigandi einstaklinga í nokkrum tilvikum til rangra skóla og persónuverndarfulltrúa. Helga Þórisdóttir er forstjóri Persónuverndar.Vísir/Egill „Við ákvörðun stjórnvaldssektarinnar var einkum horft til fjölda þeirra skráðu einstaklinga sem öryggisbresturinn hafði áhrif á og sem hefðu getað orðið fyrir áhrifum hans með tilliti til fjölda notenda Mentor-kerfisins. Einnig hafði mikla þýðingu að um var að ræða persónuupplýsingar barna sem njóta sérstakrar verndar laga nr. 90/2018 og reglugerðarinnar. Þá taldi Persónuvernd þurfa að gera enn ríkari kröfur en ella til InfoMentors ehf. sem vinnsluaðila í ljósi þess að meginstarfsemi fyrirtækisins felst í þróun og rekstri vefkerfis sem er sérstaklega ætlað fyrir vinnslu persónuupplýsinga um börn. Á hinn bóginn benti ekkert til þess að skráðir einstaklingar hefðu orðið fyrir tjóni vegna öryggisbrestsins, auk þess sem InfoMentor ehf. lagði fram gögn sem sýndu fram á ýmsar ráðstafanir sem fyrirtækið hafði gripið til með það að markmiði að tryggja öryggi persónuupplýsinga í Mentor-kerfinu. Þótti stjórnvaldssektin því hæfilega ákveðin kr. 3.500.000,“ segir á vef Persónuverndar.
Persónuvernd Skóla - og menntamál Grunnskólar Mest lesið Dagatalsmenningin: Rosa töff að vera með yfirbókaða dagskrá Atvinnulíf Vogue og forsetafrúin kveiktu strax en íslenski vinnumarkaðurinn með hindranir Atvinnulíf Ný útgáfa af konungi jeppans kominn til landsins Samstarf Reykskynjara vantar of víða – Eldvarnarátak stendur nú yfir Samstarf Vilja þvinga Google til að selja Chrome Viðskipti erlent Lækka innlánsvexti um heilt prósentustig Viðskipti innlent Bjarni ráðinn framkvæmdastjóri vinds og jarðvarma hjá Landsvirkjun Viðskipti innlent Inngildingin: „Íslenska töluð með hreim er samt íslenska“ Atvinnulíf Máttu ekki fullyrða að eldsneytið væri kolefnisjafnað Neytendur Gæðin að batna og nóg af klementínum eftir helgi Neytendur Fleiri fréttir Bjarni ráðinn framkvæmdastjóri vinds og jarðvarma hjá Landsvirkjun Lækka innlánsvexti um heilt prósentustig Opna verslanir í Kringlunni á ný Nýtt veitingasvæði rís í Smáralind Kristján ráðinn til Advania Bein útsending: Raforkuöryggi, fyrir hverja? „Grindavíkuráhrifin“ að fjara út Vilja afnema álag á útsvar í Árborg á næsta ári Rekstur fríhafnarinnar seldur úr landi Vaxtalækkun gleðitíðindi en vextir ennþá „allt of háir“ Rannveig kveður: 124 fundir og „aldrei lognmolla“ Skýr merki um að verðbólga sé að hjaðna Ráðin framkvæmdastjórar hjá Sóltúni Krefst þess að Sorpa stofni hlutafélag Vaxtaákvörðun peningastefnunefndar rökstudd Tilkynnir um breytta vexti nokkrum mínútum eftir stýrivaxtalækkun Stýrivextir halda áfram að lækka Útboð SÍ stöðvað og Intuens fagnar sigri Samtökin '78 selja slotið Allir spá lægri vöxtum Grindvíkingar geta nú gerst „hollvinir“ seldra húsa sinna Samkaup koma inn á bókamarkaðinn með látum Rúnar nýr framkvæmdastjóri hjá Stólpum Gámum Bein útsending: Tillögur um tækifæri til viðskipta með kolefniseiningar Bein útsending: Grænt Ísland til framtíðar – Hver er leiðin áfram? Trausti nýr forstjóri og fimmtíu sagt upp hjá Controlant Uppsagnir hjá Controlant Guðmundi falið að bera ábyrgð á hugverkum Carbfix Vonar að íslenskir verktakar hafi enn áhuga á Grænlandi Kynna nýja samheitaorðbók sem samin er með hjálp gervigreindar Sjá meira