IST ApS har tilsluttet sig IT-Branchens Kodeks for Indrapportering af Sikkerhedsbrister.
En af grundforudsætningerne for, at digitaliseringen lykkes, er, at kunder og borgere har tillid til de it-løsninger, der understøtter det digitale Danmark. Med andre ord er god it-sikkerhed en afgørende faktor. Derfor er det vigtigt for os hos IST, at mistanke om eventuelle sikkerhedsbrister bliver indrapporteret og håndteret hurtigst muligt.
Vi vil derfor meget gerne høre fra dig, hvis du bliver opmærksom på fejl eller sikkerhedsbrister i vores systemer, som du mener kan medføre sikkerheds- eller databrud. Du må meget gerne gøre os opmærksomme på problemet hurtigst muligt og uden unødigt ophold. Det er nemlig afgørende, at vi får mulighed for at løse problemet hurtigst muligt.
Vi bestræber os på at håndtere din henvendelse efter de højeste standarder jf. nedenstående retningslinjer. Vi forventer, at du efter bedste evne orienterer dig i nedenstående vejledning og overholder de dele, der vedrører dig som anmelder.
Vejledning til anmeldelse af sikkerhedsbrister
Hvornår skal du henvende dig?
Du skal henvende dig, når der er tale om en sikkerhedsbrist, som du mener kan medføre misbrug af oplysninger, der efter deres natur fremstår som fortrolige. Fx hvis du ser oplysninger om borgere, som du ikke mener, du bør kunne tilgå.
Helt overordnet vil vi gerne høre om utilsigtet adgang til persondata eller virksomhedsfølsomme oplysninger. Fx:
- Hvis du har modtaget eller fået adgang til andre borgeres persondata
- Hvis det er muligt at justere rettigheder eller på anden vis tilgå andres brugerkonti/oplysninger
- Hvis du har fået kendskab til sårbarheder i software eller mulige exploits, der kan udnyttes til at tilgå ellers utilgængelige data.
Hvad har vi brug for at vide?
Vi vil gerne have en så detaljeret beskrivelse som muligt af problemet, som du har oplevet. Din henvendelse må meget gerne indeholde følgende oplysninger:
- Hvilken tjeneste, der er tale om
- Hvordan du blev opmærksom på sikkerhedsbristen
- En beskrivelse af sikkerhedsbristen
- Beskrivelse af hvordan sikkerhedshændelsen blev oplevet
- Send meget gerne screendumps eller anden illustration af sikkerhedshændelsen.
Vi accepterer og respekterer inden for lovgivningens rammer, hvis du gerne vil være anonym, men vi opfordrer dig til at sende os dine kontaktoplysninger. Vi skal bruge dine kontaktoplysninger for at kunne melde tilbage til dig, og for evt. at få uddybet din henvendelse.
Hvad må du ikke?
Du må ikke udnytte fejlen/sikkerhedsbristen, du har observeret, til at tilgå data.
Du kan naturligvis uforskyldt få adgang til data, der ikke vedrører dig. Det afgørende er, at du ikke udforsker sikkerhedsbristen og udnytter det til at tilgå flere data.
Når vi har modtaget din henvendelse, vil vi straks, og afhængig af sikkerhedsbristens omfang og alvorlighed, påbegynde afhjælpningen. Vi appellerer til, at du i mellemtiden ikke selv medvirker til at forværre konsekvenserne ved den konstaterede sikkerhedsbrist – eksempelvis ved at gå til medierne med din viden om sikkerhedsbristen, mens vi behandler din henvendelse. Det gælder også de sociale medier.
Der kan være tale om en sikkerhedsbrist, som kan udnyttes af andre. Det er afgørende, at vi får mulighed for at løse problemet, før det bliver alment kendt. Dette er med henblik på at begrænse skaden – også for eventuelt berørte personer.
Hvis du vælger at medvirke til en spredning af oplysninger, som utilsigtet er blevet tilgængelige som følge af det konstaterede sikkerhedsbrist, kan vi være nødsaget til at betragte dine handlinger som medvirken til hacking, og eventuelt gå videre med en politianmeldelse.
Hvad behøver vi ikke høre om?
- Almindelige programfejl, der ikke medfører utilsigtet adgang til persondata som beskrevet ovenfor.
- Almindelige tekniske henvendelser skal rettes via vores generelle support.
Hvad sker der, efter du har sendt os din henvendelse?
Vi tager din henvendelse seriøst, og vi vil behandle den, så snart vi modtager den. Såfremt du har angivet dine kontaktoplysninger, vil du modtage en kvittering for din anmeldelse umiddelbart efter modtagelsen. Du vil endvidere inden for to uger få en tilbagemelding, der beskriver, hvad vi har gjort med din henvendelse. Her vil det også fremgå, om du skal forvente at høre mere fra os, eller om sagen er lukket.
Der kan være en pligt til at anmelde sikkerhedsbristen/databruddet til Datatilsynet eller andre offentlige myndigheder. Denne pligt påhviler i udgangspunktet den dataansvarlige og databehandleren og ikke dig som anmelder. Når du har gjort os opmærksom på databruddet, går vi videre med en eventuel anmeldelse til Datatilsynet.
