Sier opp avtale – hevder leverandør lastet ned sensitive data

Wayscloud sier opp sikkerhetsleverandør, som skal ha brutt deres tillit. Selskapet selv nekter.

En sikkerhetsleverandør skal ha eksportert sensitiv data fra Wayscloud. – Det er fullstendig uakseptabelt, sier Knut Michael Haugland, daglig leder hos Wayscloud. 📸: Skjermdump og Ways
En sikkerhetsleverandør skal ha eksportert sensitiv data fra Wayscloud. – Det er fullstendig uakseptabelt, sier Knut Michael Haugland, daglig leder hos Wayscloud. 📸: Skjermdump og Ways Vis mer

Wayscloud hevder de sist uke fikk et varsel om «uautorisert aktivitet» i sine systemer.

De peker på en ikke navngitt leverandør med spesialisering innen cybersikkerhet, og sier at avtalen nå er sagt opp.

– Det er fullstendig uakseptabelt at en så velrenommert aktør med lang erfaring har brutt den tilliten vi viste dem, sier Knut Michael Haugland i en pressemelding.

Han er daglig leder i Wayscloud.

Selskapet han omtaler nekter på sin side å ha gjort noe galt.

– Smerter oss dypt

Selve hendelsen handler om at leverandøren skal ha lastet ned personopplysninger og bedriftskritiske dokumenter uten godkjenning.

Wayscloud spesifiserer at det er snakk om søknader, CV-er, strategiske dokumenter og informasjon om interne sikkerhetskrav og prosesser, blant annet knyttet til sertifiseringen innen ulike sikkerhetsrammeverk.

Jobbsøkere og samarbeidspartnere skal ha blitt varslet direkte, i løpet av kort tid, skriver Wayscloud.

Dette har påført våre håpefulle kandidater unødvendig bekymring og utfordringer, noe som smerter oss dypt, sier Haugland.

Leverandøren skal ha fått tilgang til et felles filområde administrert av Wayscloud gjennom autentisering, men eksporterte visstnok dataene ut fra dette området. Det var dette som utløste «alarmen».

Svært få hadde tilgang

Wayscloud skriver i pressemeldingen at filene måtte velges, og lastes ned, manuelt.

Internt skal det bare ha vært tre medlemmer av ledelsen i Wayscloud hadde tilgang til dokumentene, samt to konsulenter hos sikkerhetsleverandøren.

I pressemeldingen beskriver Wayscloud hendelsesforløpet:

  • Hendelsen ble oppdaget 21. november, klokka 23.03.
  • Leverandøren fikk beskjed klokka 23.14.
  • Wayscloud satte i gang revisjon og analyse utover natta.
  • Det blir sendt avviksrapport til Datatilsynet samme natt.

Ifølge Wayscloud skal ingen data eller informasjon om underliggende systemer, tilganger eller kundedata blitt delt. De melder også at det ikke er noen indikasjon på at dette er en trussel mot deres systemer eller kunder.

– Grunnløse anklager

Selskapet som er blitt anklaget av Wayscloud, har kommet med en kort uttalelse til kode24 etter å ha blitt stilt en rekke spørsmål om saken.

kode24 velger enn så lenge ikke å identifisere selskapet. Dette kan endre seg senere, i fall ny informasjon kommer fram i forbindelse med saken.

Det aktuelle selskapet svarer gjennom den eksterne kommunikasjonsrådgiveren Karoline Ski.

– Selskapet er svært kritiske til hvordan WAYSCloud har fremmet det vi anser som grunnløse påstander gjennom flere pressemeldinger, og avviser på det sterkeste anklagene, sier hun, og fortsetter:

– I prosjektet opprettet WAYSCloud en mappe i en skytjeneste hvor ansatte fra flere selskap lastet opp/ned dokumenter og disse ble gått gjennom i felles møter. Selskapet har bekreftet at alle dokumenter er slettet og har valgt å terminere avtalen med WAYSCloud.

kode24 har også bedt Datatilsynet om innsyn i avviksmeldingen som skal være sendt inn, men har så langt ikke mottatt dette. Oppdatert: 29.11.24 klokka 15:00.