Barneskuleelev sende «tullemelding» til 301 personar: – Visste ikkje at det var ulovleg

Først då politiet stod på døra, forstod foreldra til barneskuleeleven i Bergen at det var deira son som stod bak «datainnbrotet» i august.

– Me var sikre på at kommunen hadde tetta holet han varsla om i vår, og blei svært overraska, fortel faren til NRK.

• Bakgrunn: Datainnbrot hos Bergen kommune – fryktar at personinfo til 35.000 er spreidd

«Jeg har passordet ditt»

«Jeg har passordet ditt. Jeg er en elev. Brukernavnet er ***. Passordet er: ***.»

Denne meldinga blei 14. august sendt frå ein rektor i Bergen sin brukarkonto i læringsplattforma itslearning.

Bak tastaturet sat ein barneskuleelev med høg it-kompetanse – og tilgang til brukarnamn og passord til fleire tusen elevar og lærarar i bergensskulen.

• Les også: Datainnbrotet: Barneskuleelev varsla om sikkerheitshol for eit halvt år sidan

Informasjonen hadde han sjølv tilfeldigvis funne i mai, ved å følga ein mappestruktur på kommunen sitt opne nettverk. Passord og brukarnamn låg lagra i klartekst.

– Han fann filene og gav beskjed til oss og skulen. Han er veldig oppteken av datasikkerheit, så han var ganske oppspilt, seier faren, som gjekk ut frå at mappa straks ville bli sletta.

Men då eleven sjekka igjen før skulestart, låg filene der framleis. Då tok han grep.

I midten av august melde kommunen den ulovlege aktiviteten til Datatilsynet og politiet for å identifisera inntrengaren.

• Les meir: Trur elevar står bak: Sende tullemelding frå rektors e-post

No er det Bergen kommune som i staden risikerer straff for dårleg lagring av persondata.

– Det er synd for innbyggarane som må betala, og skuleeigarane som treng pengane. Men om det er ei bot som må til for at kommunen skal ta lærdom, er det kanskje verdt det, seier faren.

Rektor: – Eg hadde ei aning

Meldinga frå «rektor» blei sendt til 301 mottakarar i ein gruppediskusjon på den lukka meldetenesta til itslearning.

– Eg hadde med ein gong ei aning om kven det var, og tenkte på at noko liknande har skjedd før, seier den aktuelle rektoren til NRK.

Foreldra ynskjer å verna om eleven. NRK har difor samtykt i å anonymisera faren og rektoren ved den aktuelle skulen.

I mai kontakta skulen IT-avdelinga i kommunen og la fram varselet som kom frå eleven, opplyser rektoren.

Men varselet blei ikkje gripe fatt i.

– Saka blei undersøkt, men det blei aldri oppretta ei avviksmelding på eleven sin tilbakemelding. Ein har ikkje forstått at det eleven melde om, betydde at han hadde tilgang på eit administratornivå, seier kommunaldirektør Trine Samuelsberg til NRK.

Ho avviser at varselet ikkje blei teke seriøst fordi det kom frå ein elev i barneskulealder.

– Me har stor respekt for at våre elevar har høg kompetanse om IT.

Trur ikkje sonen forstod alvoret

Politiet etterforskar hendinga, men ifølge politiet er guten ikkje sikta. Alt data- og mobilutstyr er beslaglagt, i samråd med guten sine foreldre.

– Han har drive mykje med programmering etter at han slutta å spela dataspel, og brukar mykje tid på data. No får han låna ein skule-pc enn så lenge, men beslaga er i seg sjølve ei straff for han, seier faren.

Passordekspertar og Datatilsynet har refsa kommunen for at dei ikkje hadde innført totrinns pålogging i systemet, noko som ville ha forhindra at eleven så enkelt kunne logga seg på.

Eleven skal ha gjetta passordet til rektor, eller funne dette i det opne dokumentet.

– Det store brotet ligg i at denne fila låg ope i utgangspunktet. Om ein aktør som kommunen ikkje har eit system som sørger for at brukarar har meir avanserte passord, er det skummelt å tenka på sikkerheitsnivået.

Ifølge faren forstod ikkje eleven alvoret av det han gjorde.

– Han er framleis ung og forstod nok ikkje at det var ulovleg, sjølv om han hadde tippa eller tileigna seg passordet. For vår del er det viktig at han ser omfanget av det han gjorde. Det gjer han når saka no enda med politietterforsking. På same tid er me svært stolte av han, som har hjelpt kommunen med å tette eit svært sikkerheitshol.