Barneskuleelev sende «tullemelding» til 301 personar: – Visste ikkje at det var ulovleg

Bergenseleven avdekte grov feillagring av persondata, men kommunen gjorde ingenting då guten varsla. – Datautstyret er beslaglagt. Det er ei straff i seg sjølv, seier faren.

På denne adresse fant skoleeleven passord og brukernavn

OPE: Ved hjelp av denne adressa fekk eleven, på Bergen kommune sitt nettverk, direkte tilgang til elevar og lærarar sine brukarnamn og passord, som var lagra i klartekst.

Foto: Even Norheim Johansen / NRK

Først då politiet stod på døra, forstod foreldra til barneskuleeleven i Bergen at det var deira son som stod bak «datainnbrotet» i august.

– Me var sikre på at kommunen hadde tetta holet han varsla om i vår, og blei svært overraska, fortel faren til NRK.

«Jeg har passordet ditt»

«Jeg har passordet ditt. Jeg er en elev. Brukernavnet er ***. Passordet er: ***.»

Denne meldinga blei 14. august sendt frå ein rektor i Bergen sin brukarkonto i læringsplattforma itslearning.

Bak tastaturet sat ein barneskuleelev med høg it-kompetanse – og tilgang til brukarnamn og passord til fleire tusen elevar og lærarar i bergensskulen.

Informasjonen hadde han sjølv tilfeldigvis funne i mai, ved å følga ein mappestruktur på kommunen sitt opne nettverk. Passord og brukarnamn låg lagra i klartekst.

– Han fann filene og gav beskjed til oss og skulen. Han er veldig oppteken av datasikkerheit, så han var ganske oppspilt, seier faren, som gjekk ut frå at mappa straks ville bli sletta.

Men då eleven sjekka igjen før skulestart, låg filene der framleis. Då tok han grep.

I midten av august melde kommunen den ulovlege aktiviteten til Datatilsynet og politiet for å identifisera inntrengaren.

No er det Bergen kommune som i staden risikerer straff for dårleg lagring av persondata.

– Det er synd for innbyggarane som må betala, og skuleeigarane som treng pengane. Men om det er ei bot som må til for at kommunen skal ta lærdom, er det kanskje verdt det, seier faren.

Far til

FAR: Barneskuleeleven sin far seier familien har fått brei støtte. Likevel har guten fått grei beskjed om at det han har gjort er ulovleg. – Han er framleis ung, seier faren.

Foto: Even Norheim Johansen / NRK

Rektor: – Eg hadde ei aning

Meldinga frå «rektor» blei sendt til 301 mottakarar i ein gruppediskusjon på den lukka meldetenesta til itslearning.

– Eg hadde med ein gong ei aning om kven det var, og tenkte på at noko liknande har skjedd før, seier den aktuelle rektoren til NRK.

Foreldra ynskjer å verna om eleven. NRK har difor samtykt i å anonymisera faren og rektoren ved den aktuelle skulen.

I mai kontakta skulen IT-avdelinga i kommunen og la fram varselet som kom frå eleven, opplyser rektoren.

Men varselet blei ikkje gripe fatt i.

– Saka blei undersøkt, men det blei aldri oppretta ei avviksmelding på eleven sin tilbakemelding. Ein har ikkje forstått at det eleven melde om, betydde at han hadde tilgang på eit administratornivå, seier kommunaldirektør Trine Samuelsberg til NRK.

Ho avviser at varselet ikkje blei teke seriøst fordi det kom frå ein elev i barneskulealder.

– Me har stor respekt for at våre elevar har høg kompetanse om IT.

Trine Samuelsberg

KOMMUNALDIREKTØR: Trine Samuelsberg i Bergen kommune.

Foto: Even Norheim Johansen / NRK

Trur ikkje sonen forstod alvoret

Politiet etterforskar hendinga, men ifølge politiet er guten ikkje sikta. Alt data- og mobilutstyr er beslaglagt, i samråd med guten sine foreldre.

– Han har drive mykje med programmering etter at han slutta å spela dataspel, og brukar mykje tid på data. No får han låna ein skule-pc enn så lenge, men beslaga er i seg sjølve ei straff for han, seier faren.

Passordekspertar og Datatilsynet har refsa kommunen for at dei ikkje hadde innført totrinns pålogging i systemet, noko som ville ha forhindra at eleven så enkelt kunne logga seg på.

Eleven skal ha gjetta passordet til rektor, eller funne dette i det opne dokumentet.

– Det store brotet ligg i at denne fila låg ope i utgangspunktet. Om ein aktør som kommunen ikkje har eit system som sørger for at brukarar har meir avanserte passord, er det skummelt å tenka på sikkerheitsnivået.

Far til barneskoleelev som tok seg inn i Bergen kommune sitt datasystem

ALVORLEG: Foreldra meiner sonen har skjønt alvoret at det han har gjort. – Han reagerte på at ingenting blei gjort, men det han gjorde var dumt og alvorleg. Det har han skjønt, seier faren.

Foto: Even Norheim Johansen / NRK

Ifølge faren forstod ikkje eleven alvoret av det han gjorde.

– Han er framleis ung og forstod nok ikkje at det var ulovleg, sjølv om han hadde tippa eller tileigna seg passordet. For vår del er det viktig at han ser omfanget av det han gjorde. Det gjer han når saka no enda med politietterforsking. På same tid er me svært stolte av han, som har hjelpt kommunen med å tette eit svært sikkerheitshol.