Sektar Mentor um 3,5 milljónir vegna öryggisbrestsins Atli Ísleifsson skrifar 4. maí 2021 11:27 Vegna veikleika í kerfinu gátu tveir aðilar, einn á Íslandi og annar í Svíþjóð, nálgast kennitölur og myndir, svokallaða avatars, samtals 424 barna án þess að hafa til þess heimild. Vísir/Samsett Persónuvernd hefur lagt 3,5 milljóna króna stjórnvaldssekt InfoMentor ehf. vegna öryggisbrests sem átti sér stað í vefkerfinu Mentor í febrúar 2019. Vegna veikleika í kerfinu gátu tveir aðilar, einn á Íslandi og annar í Svíþjóð, nálgast kennitölur og myndir, svokallaða avatars, samtals 424 barna án þess að hafa til þess heimild. Frá þessu segir á vef Persónuverndar. Þar segir að veikleikinn hafi falist í því að sex stafa kerfisnúmer nemenda hafi verið sýnileg í vefslóð tiltekinnar síðu í Mentor-kerfinu og unnt hefði verið að nálgast þær persónuupplýsingar sem þar var að finna með því einu að breyta tölum í viðkomandi vefslóð. „InfoMentor ehf. gekkst við því að mannleg mistök hefðu orðið til þess að lagfæringu veikleikans hefði ekki verið lokið að fullu, þrátt fyrir að fyrirmæli hefðu verið gefin þar um. Þannig hafði lausn þegar verið þróuð, en ekki innleidd í kerfið fyrr en eftir að fyrirtækinu varð kunnugt um öryggisbrestinn. Taldi Persónuvernd að koma hefði mátt í veg fyrir öryggisbrestinn með fullnægjandi eftirfylgni og prófunum öryggisráðstafana.“ Sendu líka kennitölur barnanna til rangra skóla og persónuverndarfulltrúa Persónuvernd komst að þeirri niðurstöðu að InfoMentor hefði ekki tryggt öryggi persónuupplýsinga innan Mentor-kerfisins með þeim hætti sem áskilið er persónuverndarlögum. Persónuvernd taldi sömuleiðis að InfoMentor hafi ekki tryggt fullnægjandi öryggi persónuupplýsinga þeirra skráðu einstaklinga sem urðu fyrir áhrifum öryggisbrestsins þegar fyrirtækið sendi kennitölur hlutaðeigandi einstaklinga í nokkrum tilvikum til rangra skóla og persónuverndarfulltrúa. Helga Þórisdóttir er forstjóri Persónuverndar.Vísir/Egill „Við ákvörðun stjórnvaldssektarinnar var einkum horft til fjölda þeirra skráðu einstaklinga sem öryggisbresturinn hafði áhrif á og sem hefðu getað orðið fyrir áhrifum hans með tilliti til fjölda notenda Mentor-kerfisins. Einnig hafði mikla þýðingu að um var að ræða persónuupplýsingar barna sem njóta sérstakrar verndar laga nr. 90/2018 og reglugerðarinnar. Þá taldi Persónuvernd þurfa að gera enn ríkari kröfur en ella til InfoMentors ehf. sem vinnsluaðila í ljósi þess að meginstarfsemi fyrirtækisins felst í þróun og rekstri vefkerfis sem er sérstaklega ætlað fyrir vinnslu persónuupplýsinga um börn. Á hinn bóginn benti ekkert til þess að skráðir einstaklingar hefðu orðið fyrir tjóni vegna öryggisbrestsins, auk þess sem InfoMentor ehf. lagði fram gögn sem sýndu fram á ýmsar ráðstafanir sem fyrirtækið hafði gripið til með það að markmiði að tryggja öryggi persónuupplýsinga í Mentor-kerfinu. Þótti stjórnvaldssektin því hæfilega ákveðin kr. 3.500.000,“ segir á vef Persónuverndar. Persónuvernd Skóla - og menntamál Grunnskólar Mest lesið Kílómetragjaldið mögulega fórnarlamb stjórnarslita Neytendur Skúli og félagar sýknaðir en þrotabúið fær 750 milljónir Viðskipti innlent Brá sér frá í sauðburð og kvíðinn ferðamaður flúði Neytendur „Reglugerðin tekur gildi hvort sem menn hafa þetta hugrekki eða ekki“ Atvinnulíf Þurfti ekki að sýna fram á að greitt hafi verið fyrir duldar auglýsingar Neytendur Allt í steik: Samtalið við yfirmanninn Atvinnulíf „Græni punkturinn“ allt að helmingi dýrari en í Bónus og Prís Neytendur Máttu rukka íslenska konu um 1,2 milljónir fyrir dvöl á spítalanum Neytendur Linkedin sektað um tugi milljarða Viðskipti erlent Nebraska heyrir sögunni til Viðskipti innlent Fleiri fréttir Skúli og félagar sýknaðir en þrotabúið fær 750 milljónir Hafna ásökunum um smánarlaun Segja gjald á nikótínpúða leiða til aukinna reykinga „Þið hafið efni á þessari kauphækkun, borgið hana núna“ Staðfesta dóm héraðsdóms en lækka bætur til Vinnslustöðvar Þrír nýir stjórnendur hjá Wisefish Nebraska heyrir sögunni til Smána Bakkavararbræður fyrir greiðslu „fátæktarlauna“ Stækka gagnaverin á Akureyri og í Reykjanesbæ Í beinni: Kosningafundur atvinnulífsins Sætanýtingin aldrei verið betri í október ECIT AS kaupir meirihluta í Bókað frá KPMG Manneskja með von á bakvið hverja einustu umsókn Aukning í ferðalögum til landsins Breytingar í framkvæmdastjórn Origo Linda ráðin framkvæmdastjóri háttsemiseftirlits Ráðinn framkvæmdastjóri Marel Fish Daði og Hrefna nýir deildarstjórar hjá Veitum Skipti máli fyrir rekstur iðnfyrirtækja að lækka vexti og verðbólgu Um 550 milljónum deilt til 27 einkarekinna fjölmiðla Byggja hótel og 1.500 fermetra baðlón í Vestmannaeyjum Eybjörg Helga ráðin forstjóri Eirar, Skjóls og Hamra Akademias tekur yfir rekstur Avia Fjögur ráðin í stjórnendastöður hjá Íslandsbanka Lyfjastofnun Evrópu tekur umsókn Alvotech til umsagnar Spá auknu atvinnuleysi og hagvexti Snúrunni lokað fyrir fullt og allt Misboðið hvernig staðið var að uppsögnum hjá nýjum eiganda Engin tilkynning um hópuppsögn í október Horyn nýr forstjóri kísilverksmiðjunnar á Bakka Sjá meira
Frá þessu segir á vef Persónuverndar. Þar segir að veikleikinn hafi falist í því að sex stafa kerfisnúmer nemenda hafi verið sýnileg í vefslóð tiltekinnar síðu í Mentor-kerfinu og unnt hefði verið að nálgast þær persónuupplýsingar sem þar var að finna með því einu að breyta tölum í viðkomandi vefslóð. „InfoMentor ehf. gekkst við því að mannleg mistök hefðu orðið til þess að lagfæringu veikleikans hefði ekki verið lokið að fullu, þrátt fyrir að fyrirmæli hefðu verið gefin þar um. Þannig hafði lausn þegar verið þróuð, en ekki innleidd í kerfið fyrr en eftir að fyrirtækinu varð kunnugt um öryggisbrestinn. Taldi Persónuvernd að koma hefði mátt í veg fyrir öryggisbrestinn með fullnægjandi eftirfylgni og prófunum öryggisráðstafana.“ Sendu líka kennitölur barnanna til rangra skóla og persónuverndarfulltrúa Persónuvernd komst að þeirri niðurstöðu að InfoMentor hefði ekki tryggt öryggi persónuupplýsinga innan Mentor-kerfisins með þeim hætti sem áskilið er persónuverndarlögum. Persónuvernd taldi sömuleiðis að InfoMentor hafi ekki tryggt fullnægjandi öryggi persónuupplýsinga þeirra skráðu einstaklinga sem urðu fyrir áhrifum öryggisbrestsins þegar fyrirtækið sendi kennitölur hlutaðeigandi einstaklinga í nokkrum tilvikum til rangra skóla og persónuverndarfulltrúa. Helga Þórisdóttir er forstjóri Persónuverndar.Vísir/Egill „Við ákvörðun stjórnvaldssektarinnar var einkum horft til fjölda þeirra skráðu einstaklinga sem öryggisbresturinn hafði áhrif á og sem hefðu getað orðið fyrir áhrifum hans með tilliti til fjölda notenda Mentor-kerfisins. Einnig hafði mikla þýðingu að um var að ræða persónuupplýsingar barna sem njóta sérstakrar verndar laga nr. 90/2018 og reglugerðarinnar. Þá taldi Persónuvernd þurfa að gera enn ríkari kröfur en ella til InfoMentors ehf. sem vinnsluaðila í ljósi þess að meginstarfsemi fyrirtækisins felst í þróun og rekstri vefkerfis sem er sérstaklega ætlað fyrir vinnslu persónuupplýsinga um börn. Á hinn bóginn benti ekkert til þess að skráðir einstaklingar hefðu orðið fyrir tjóni vegna öryggisbrestsins, auk þess sem InfoMentor ehf. lagði fram gögn sem sýndu fram á ýmsar ráðstafanir sem fyrirtækið hafði gripið til með það að markmiði að tryggja öryggi persónuupplýsinga í Mentor-kerfinu. Þótti stjórnvaldssektin því hæfilega ákveðin kr. 3.500.000,“ segir á vef Persónuverndar.
Persónuvernd Skóla - og menntamál Grunnskólar Mest lesið Kílómetragjaldið mögulega fórnarlamb stjórnarslita Neytendur Skúli og félagar sýknaðir en þrotabúið fær 750 milljónir Viðskipti innlent Brá sér frá í sauðburð og kvíðinn ferðamaður flúði Neytendur „Reglugerðin tekur gildi hvort sem menn hafa þetta hugrekki eða ekki“ Atvinnulíf Þurfti ekki að sýna fram á að greitt hafi verið fyrir duldar auglýsingar Neytendur Allt í steik: Samtalið við yfirmanninn Atvinnulíf „Græni punkturinn“ allt að helmingi dýrari en í Bónus og Prís Neytendur Máttu rukka íslenska konu um 1,2 milljónir fyrir dvöl á spítalanum Neytendur Linkedin sektað um tugi milljarða Viðskipti erlent Nebraska heyrir sögunni til Viðskipti innlent Fleiri fréttir Skúli og félagar sýknaðir en þrotabúið fær 750 milljónir Hafna ásökunum um smánarlaun Segja gjald á nikótínpúða leiða til aukinna reykinga „Þið hafið efni á þessari kauphækkun, borgið hana núna“ Staðfesta dóm héraðsdóms en lækka bætur til Vinnslustöðvar Þrír nýir stjórnendur hjá Wisefish Nebraska heyrir sögunni til Smána Bakkavararbræður fyrir greiðslu „fátæktarlauna“ Stækka gagnaverin á Akureyri og í Reykjanesbæ Í beinni: Kosningafundur atvinnulífsins Sætanýtingin aldrei verið betri í október ECIT AS kaupir meirihluta í Bókað frá KPMG Manneskja með von á bakvið hverja einustu umsókn Aukning í ferðalögum til landsins Breytingar í framkvæmdastjórn Origo Linda ráðin framkvæmdastjóri háttsemiseftirlits Ráðinn framkvæmdastjóri Marel Fish Daði og Hrefna nýir deildarstjórar hjá Veitum Skipti máli fyrir rekstur iðnfyrirtækja að lækka vexti og verðbólgu Um 550 milljónum deilt til 27 einkarekinna fjölmiðla Byggja hótel og 1.500 fermetra baðlón í Vestmannaeyjum Eybjörg Helga ráðin forstjóri Eirar, Skjóls og Hamra Akademias tekur yfir rekstur Avia Fjögur ráðin í stjórnendastöður hjá Íslandsbanka Lyfjastofnun Evrópu tekur umsókn Alvotech til umsagnar Spá auknu atvinnuleysi og hagvexti Snúrunni lokað fyrir fullt og allt Misboðið hvernig staðið var að uppsögnum hjá nýjum eiganda Engin tilkynning um hópuppsögn í október Horyn nýr forstjóri kísilverksmiðjunnar á Bakka Sjá meira