Bt.no skrev onsdag morgen at over 180 dokumenter har ligget på et usikret område på nettstedet til bergensbedriften Allegro AS.

Selskapet tilbyr språktjenester og oversettelser til bedrifter og privatpersoner. Blant dokumentene som lå ubeskyttet var pasientjournal, resepter, skilsmissepapirer, dommer fra ting— og lagmannsrett, farskapsattest, utskrift fra Nav, lønnsslipp, vitnemål og attester.

Dokumentene har ligget ubeskyttet siden februar i år, da Allegro gikk over til nye nettsider, driftet av selskapet Synlighet AS.

— Det kom som et jordskjelv for meg, sier styreleder i Allegro AS, Eli Margrete Stølsvik.

Hun fikk beskjed om sikkerhetsfeilen tirsdag kveld.

— Men min første tanke var at jeg ble glad. Det høres kanskje rart ut, men jeg ble glad for at vi får tettet dette hullet. Ingen liker å ha åpne kjellerdører, jeg er takknemlig for at vi har fått mulighet til å lukke den, sier styrelederen.

- Vårt ansvar

Allegro innførte med det nye nettstedet et system der folk kunne sende med dokumenter for å be om en prisvurdering. Avsender mottar deretter en e-post med en link til vedlegget.

— Kundene våre sender inn vedlegg via kontaktskjema. Det nye systemet skulle være sikrere enn e-post, forklarer Ove Steinsvik Pedersen, styremedlem i Allegro.

Men ved å fjerne den siste delen av linken - filnavnet - var det mulig å få tilgang til alle dokumenter som var lastet opp av selskapets kunder siden februar.

— Det verste er at noen føler at noen har sett inn i livet deres, sier Stølsvik.

- Hvordan kunne dette skje?

— Det som har skjedd, er at passordbeskyttelsen har falt bort. Årsaken vet vi ennå ikke. Selv om feilen ligger hos vår leverandør, er det vi som har ansvaret. Det er vårt ansvar at all informasjon blir lagret i samsvar med våre regler, understreker Stølsvik.

Allegro mottok onsdag loggen fra nettleverandøren.

Ifølge Torbjørn Hansen i nettleverandøren Synlighet AS, har det ikke vært aktivitet på området før forrige uke.

— Data ikke spredt

— Vi har studert loggen, og kan ikke se at data er blitt spredt av uvedkommende. Vi skal gjennomgå saken og sørge for at det ikke kan skje igjen, sier Hansen.

Han forteller at de ikke har laget slike systemer for andre kunder.

— Dette er et helt spesielt tilfelle, der flere uheldige omstendigheter har slått til samtidig. Heldigvis har ikke sikkerhetshullet ført til spredning av dataene, sier Hansen.

Ledelsen er lettet over at det nå ser ut til at få personer har sett de sensitive dokumentene. Alle dokumenter er nå sikret.

— Vi er takknemlige for at vi har fått lukket døren. Nå håper vi bare at skadevirkningene er minimale, sier Stølsvik.

- Har dere vurdert å skifte nettleverandør?

— Det har vi ennå ikke diskutert. Foreløpig må vi bare få informert våre kunder om hvilken risiko som har vært. Vi kommer til å ta kontakt med alle de involverte kundene våre, sier Stølsvik.

Tar selvkritikk

Styret hadde hastemøte onsdag. De tar selvkritikk på at ingen reagerte på at passordkravet plutselig forsvant.

— Vi tar selvkritikk på at vi ikke har rutiner som fanget opp at passordet plutselig falt bort, sier Stølsvik.

På styremøtet onsdag ble de enige om at alle berørte skal kontaktes. I tillegg legges informasjon ut på hjemmesiden.

Selskapet vurderer også å endre rutinene for innsendelse av sensitive dokumenter slik at vedlegg slettes umiddelbart, eller at de blir liggende på selskapets server og ikke på nettstedets server.

— Vi ser på hele prosessen nå og vurderer å endre rutinene for kontaktskjemaet vårt. Bevisstheten vår rundt passord må styrkes, sier Ove Steinsvik Pedersen.

JOURNAL: En legejournal og en tingrettsdom var blant de over 180 dokumentene som lå ubeskyttet.
TAR SELVKRITIKK: - Vi tar selvkritikk på at vi ikke har rutiner som fanget opp at passordet plutselig falt bort, sier styreleder Eli Margrete Stølsvik.
LIV SKOTHEIM
SER PÅ RUTINENE: - Bevisstheten vår rundt passord må styrkes, sier Ove Steinsvik Pedersen.
LIV SKOTHEIM