Sikkerhetsbrudd i DFØ-system: Andre kan ha hatt tilgang til NTNU-opplysninger
Universitetet vurderer risikoen som liten, men har meldt hendelsen til Datatilsynet.
Det var systemet DFØ innsikt som ble rammet.
Foto: Skjermdump/DFØ
På grunn av en feil hos Direktoratet for forvaltning og økonomistyring (DFØ) har ledere og fagbrukere ved andre universiteter og høgskoler i en kort periode potensielt hatt tilgang til enkelte personopplysninger om NTNUs ansatte, det skriver universitetet i sin interne kanal Innsida.
NTNU vurderer risikoen for ansatte som liten. Loggene fra datasystemet gir ingen indikasjoner på at personopplysninger har blitt lastet ned av urettmessige personer. Likevel regnes det som har skjedd som et brudd på personopplysningssikkerheten, og NTNU har derfor meldt hendelsen til Datatilsynet.
DFØ er tjenesteleverandør for NTNUs lønn- og personalsystem. Sikkerhetshullet oppstod i tjenesten «DFØ Innsikt» og varte i om lag 2,5 timer om morgenen 24.november, fra kl. 06:20 til 08:54. Da DFØ oppdaget feilen ble tjenesten umiddelbart stengt. Årsaken viste seg å være feil i en oppdatering i datasystemet som var kjørt samme natt.
Feilen førte til at ledere og fagbrukere som var innlogget i tjenesten i det aktuelle tidsrommet potensielt kunne generere rapporter med datagrunnlag fra flere virksomheter, i tillegg til egen institusjon.
NTNU skriver at ettersom sikkerhetsbruddet varte i kort tid og loggene ikke viser at data er kommet på avveie, vurderer NTNU samlet sett hendelsen til å ha en lav personvernkonsekvens.
NTNU forsikrer også om at ledelsen vil følge opp tjenesteleverandøren DFØ for å sikre at lignende avvik ikke skal skje igjen.
