Vägledning för anmälan av säkerhetsbrister

 

En av förutsättningarna till att digitaliseringen ska lyckas är förtroende för IT-lösningarna. IT-säkerheten är därför en avgörande faktor. Liga vill gärna hör från dig om du uppmärksammar fel eller säkerhetsbrister i våra IT-system, som kan medföra säkerhets- eller dataintrång.

Vi ber om att du läser nedanstående vägledning, och följer de delar som berör dig som anmäler.

 

När ska du kontakta oss?

  • När det er fråga om en säkerhetsbrist, som du tror kan leda till misbruk av personppgifter, som kan anses vara konfidentiella. Det kan tex vara om du ser andra personers uppgifter som du inte borde se eller ha tillgång till.
  • I almänhet vill vi få reda på oavsiktlig tillgång till personuppgifter eller företagskänsliga uppgifter. Det kan tex vara:
    • Om Du har mottagit eller fått tillgång till andra personers uppgifter.
    • Om det är möjligt att ändra rättigheter eller på annat sätt få tillgång till andra användares konto eller uppgifter..
    • Om du har fått kännedom om sårbarheter i mjukvara eller möjliga exploits som kan utnyttjas för att få tillgång till data som annars ska vara otillgänglig.

 

Vad behöver vi få veta?

  • Vi vill gärna ha en så detaljerad beskrivning som möjligt av problem/fel som du har upplevt.
  • Din anmälan får gärna innehålla följande upplysningar
    • Hur du upptäckte problemet/felet
    • Vad du anser att felet/säkerhetsbristen är ( Hvad fejlen/sikkerhedsbristen er iflg. Dig)
    • Var problemet/felet/säkerhetsbristen har upplevts
    • Skicka gärna med skärmbilder på problemet/felet/säkerhetsbristen
  • Dina kontaktkontaktuppgifter
    • Vi accepterar och respekterar om du vill vara anonym, men ber om att lämnar dina uppgifter. Vi kan då återkoppla till dig för att ev få kompletterande uppgifter om din förfrågan

 

Vad får du inte göra?

  • Du får inte utnyttja felet/säkerhetsbristen som du har upptäckt för att få tillgång till.
    • Du kan naturligtvis får obehöring tillgång till data som inte berör dig. Det avgörande är att du inte utforskar sökerhetsbristen och utnyttjar det för att få tillgång till data.
  • När vi har mottgit din anmälen kommer vi, beroende på omgång och allvar i säkerhetsbristan, att påbörja arbetet med att avhjälpa felet. Vi ber om att du, medan arbetet pågår, inte själv medverkar till att förvärra konsekvenserna av den konstaterade säkerhetsbristen – till exempel genom att publcera din kunskap om säkerhetsbristen medan vi behandlar din anmälan.
    • Det kan vara fråga om en säkerhetsbrist som kan utnyttjas av andra. Det är av största vikt att vi får möjlighet till att lösa problemet innan det blir allänt känt. Detta för att kunna begränsa skadorna – och med tanke på de ev. berörda personerna.
  • Om du medverkar till spridning av upplysningar, som oavsiktligt blivit tillgängliga till följd av den konstaterade säkerhetsbristen, kan vi bli tvugna till att betrakta dina handlingar som medverkan till hacking och eventiellt få vidare med en polisanmälan.

 

Vart ska du vända dig?

  • Skicka upplysningar till VD Jens Nielsen jn@liga.com, tel. +45 35 36 95 05 och en kopia till support@liga.com
    • Vi ber dig att uppmärksamma oss om problemet snabbas möjligt och utan onödigt dröjsmål. Det är viktigt att vi får möjlighet att lösa problemet så snabbt som möjligt.

 

Vad behövre vi inte få veta?

  • Programfel som inte medför oavsiktlig åtkomst till personupplysning som beskrivits ovanför.
  • Andra teknikska förfrågningar, tex om programfel ska ställas till vår allmäna support support@liga.com

 

Vad händer efter du skickat in din anmälan?

  • Vi tar din anmälan på allvar och vi kommer att hantera den så snart vi mottagit den.
  • Inom 1-2 vardagar får du en kvittens på din anmälan, så du vet att vi mottagit den.
  • Inom 2 veckor får du en återkoppling som beskriver hur vi hanterat din anmälan. Det framgår också om du ska förvänta dig att höra mer av oss eller om ärendet har avslutats.
  • Det kan vara anmälningspliktigt att rapportera säkerhetsbristen/datainrtånget till Datainspektionen. Denna plikt ligger på den datasnvarige och databehandlaren och inte på dig. När du har gjort oss uppmärksamma på dataintrånget får vi vidare med en ev. anmälan till Datainspektionen.

Anmeld sikkerhedsbrist