Illustrasjonsbilde fra Bergen uten sammenheng. Foto: Bjarte Kvinge Tvedt
WAYSCloud er en skytjenesteleverandør med fokus på åpenhet, tillit og streng lokal håndtering av data i tråd med nordiske regulatoriske krav. Den 21. november 2024 oppdaget vi en alvorlig sikkerhetshendelse.
En tidligere engasjert leverandør, spesialisert innen cybersikkerhet, lastet ned personopplysninger og bedriftskritiske dokumenter uten vår godkjenning.
Leverandøren fikk tilgang til et felles filområde administrert av WAYSCloud gjennom autentisering, men eksporterte dataene ut av dette området. Denne handlingen ble flagget i systemet og utløste et sikkerhetsvarsel, som samtidig bekreftet at våre interne sikkerhetsmekanismer effektivt oppdager og varsler om uautorisert aktivitet.
For å laste ned materialet måtte handlingen utføres manuelt, ettersom automatisk synkronisering til klientmaskiner var deaktivert av sikkerhetshensyn. Filene måtte selektivt velges og lastes ned. Alle dataene lå i et isolert filområde med strengt kontrollerte tilganger, begrenset til tre medlemmer av WAYSClouds ledelse og to konsulenter fra det aktuelle cybersikkerhetsselskapet.
Alvorlig hendelse – åpenhet og trygghet først
Hendelsen ble oppdaget av våre sikkerhetssystemer, som varslet oss om uautorisert aktivitet. Dette understreker viktigheten av robuste overvåkningsmekanismer for å avdekke og håndtere potensielle sikkerhetstrusler.
WAYSCloud har nulltoleranse for brudd på personvern og datasikkerhet, og avtalen med det aktuelle selskapet er opphørt.
Åpenhet og transparens er viktige verdier for oss i WAYSCloud
Vi deler denne informasjonen fordi tillit og trygghet er avgjørende for våre kunder og samarbeidspartnere. Denne åpenheten er en selvfølge for oss – ingen hendelse av denne typen skal hemmeligholdes. Dette er en utfordrende og trist situasjon, både for oss og ikke minst for de berørte, men vår prioritet er alltid å sette sikkerheten først.
De nedlastede dokumentene inkluderte søknader, CV-er og strategiske dokumenter, samt informasjon relatert til interne sikkerhetskrav og prosesser. Dette omfattet særlig innhold knyttet til sertifisering av ulike sikkerhetsrammeverk, med mål om å styrke sikkerhetsstandarder og tilliten til WAYSClouds pågående og økende ekspansjon i hele Norden.
Ingen fare for interne systemer eller infrastruktur
Selv om enkelte dokumenter relatert til virksomhetens infrastruktur var tilgjengelige, var dette begrenset til overordnede policyer som en del av pågående sertifiseringsprosesser.
Ingen data eller informasjon om underliggende systemer, tilganger, kundeinstanser eller kundedata ble delt. Det er heller ingen indikasjoner på at dette utgjør en trussel mot våre systemer eller kunder. Det er viktig å understreke at leverandøren aldri har hatt tilgang til vår infrastruktur eller sensitive kundeopplysninger.
Knut Michael Haugland, CEO i WAYSCloud, uttaler:
– Det er fullstendig uakseptabelt at en så velrenommert aktør med lang erfaring har brutt den tilliten vi viste dem. Dette har påført våre håpefulle kandidater unødvendig bekymring og utfordringer, noe som smerter oss dypt. Denne hendelsen oppleves som et alvorlig tilbakeslag, men vi er fast bestemt på å lære av dette, styrke våre rutiner og sikre at noe lignende aldri skjer igjen. At dette i det hele tatt kunne skje, understreker behovet for enda strengere kontrollmekanismer og klare retningslinjer i samarbeid med eksterne aktører.
Tiltak og håndtering:
• Umiddelbar fjerning av tilgang: Tilgangen til arbeidsområdet for den aktuelle leverandøren ble fjernet umiddelbart og avtalen er terminert. Hendelsen ble oppdaget 21.11.24 kl 23.03. Den aktuelle leverandøren ble kontaktet 23.14 og WAYSCloud igangsatte fullstendig revisjon og analyse utover natten. Hendelsen ble rapportert som avvik til Datatilsynet samme natt.
• Sikkerhetsgjennomgang: Full gjennomgang av delte ressurser og sikkerhetsprosedyrer er gjennomført.
• Forsterkning av sikkerhet: Strengere begrensninger for delte filer, aktiv overvåking av all tilgang i sanntid, og revisjon av retningslinjer for eksterne samarbeid utover det som allerede er etablert.
• Varsling av berørte: Alle berørte jobbsøkere og samarbeidspartnere er varslet direkte, og ble kontaktet samme ettermiddag.
• Juridisk oppfølging: WAYSCloud vil følge opp saken for å sikre at dataene ikke bare er fullstendig slettet, men også at hele prosessen og fremgangsmåten er dokumentert og redegjort for.
Videre oppfølging:
WAYSCloud vil følge opp tett med Datatilsynet og bruke denne hendelsen som en mulighet til å lære, vokse og ytterligere styrke våre prosesser.
