Bergen kommune oppdaga måndag kveld eit «tryggleiksavvik» i skulane sin brukarportal «eFeide». Uvedkomande har fått tilgang til sensitive opplysingar om både elevar og tilsette, skriv kommunen i ei pressemelding onsdag ettermiddag.
Ifølge kommunen har uvedkomande kome seg inn i eit område i den elektroniske løysinga som berre eit fåtal administratorar har tilgang til.
– Vi er usikre på intensjonen bak dette, og kva man eventuelt kan risikera at informasjonen blir brukt til, seier kommunaldirektør for barnehage, skule og idrett Trine Samuelsberg.
Fekk tilgang til førstegangspassord
Dermed har vedkomande hatt tilgang på fødselsnummer, namn, adresse, kontaktinformasjon og førstegangspassord til elevar og tilsette.
– Vedkomande har hatt lesetilgang til namn, adresse og fødselsnummer. I tillegg har den kunne funne passord til alle brukarane. No er alle passorda nullstilte, så det er ingen aktive passord har hatt tilgang til, seier kommunaldirektør for barnehage, skule og idrett, Trine Samuelsberg til NRK.
Kommunen fryktar at alle elevar og lærarar i Bergen kommune kan vera råka – opp mot 35.000 personar.
– Dette er ei veldig alvorleg sak. Det er eit tryggleiksavvik som me har gjort vårt ytste for at ikkje skulle skje, men som no likevel har skjedd. Me er i ferd med å kartlegga omfanget av konsekvensane, seier Samuelsberg.
Torsdag understrekar Samuelsberg at det er snakk om førstegongspassord, det vil seia passord som brukarane får utdelte ved første innlogging.
– Dersom nokon har valt å ikkje følga prosedyren ved å velja eit nytt passord første gongen dei loggar på, ligg passordet tilgjengeleg. Passord som brukarane sjølve har valt, er krypterte og ikkje synlege.
VURDERER POLITISAK: Kommunaldirektør for barnehage, skule og idrett Trine Samuelsberg, opplyser at saka er meldt Datatilsynet.
Foto: Even Norheim Johansen / NRKeFeide er eit «identitetshandteringssystem» for bedrifter, offentlege institusjonar og skular. Systemet er utvikla av selskapet Identum.
«Feide» (Felles Elektronisk Identitet) er ei teneste for identitetsforvaltning i norsk utdanningssektor. Ifølge selskapet sjølv er eFeide den mest nytta feide-løysinga i Noreg.
– Feil i kommunens handtering
Dagleg leiar i selskapet, Eric Lithun, seier feilen ikkje ligg hos dei, men hos kommunen.
– Formuleringa i pressemeldinga om at det er svakheiter i sikkerheita til «systemet» er ikkje riktig. Det er snakk om «svakheiter i rutinar og system». Det var ein som ikkje skal ha superbrukertilgang som var logga inn på systemet. Det har blitt gjort ting som ikkje er vanleg, som tyder på at det har vore uvedkommande der, seier Lithun.
Han understrekar at det ikkje er snakk om eit innbrot, men at ein person som ikkje er autorisert, har hatt lesetilgang på systemet gjennom ein superbrukar si innlogging.
Samuelsberg seier at ho ikkje kan bekrefte eller avkrefte at feilen ligg hos kommunen endå.
– Vi er open for begge moglegheiter til vi har fått dokumentasjon på kva som har skjedd, seier ho.
Vurderer politisak
Alle tilgangar blei ifølge kommunen stengd med ein gong då hendinga blei oppdaga. Deretter blei det innført forsterka tryggleikstiltak, ifølge pressemeldinga til kommunen.
Onsdag jobbar IKT-avdelinga på rådhuset på spreng for å få oversikt over situasjonen. Bergen kommune opplyser at det no er bestilt såkalla to-faktorsystem, som medfører at ein må identifisera seg to gongar før ein får logga inn.
– Denne saka er alvorleg av fleire grunnar, det er eit stort tal personar som kan vera råka, og mange av dei er barn. Me registrerer også at leverandøren tar hendinga alvorleg, og har bidratt positivt til at tiltaka kan setjast i verk så snart som råd, seier Magnus Kroken, rådgjevar i Avdeling for personvern og informasjonstryggleik i kommunen.
Veit ikkje kven som kan ha fått tilgang
Kommunen har ingen meining om kven som har fått tilgang til informasjonen. Samuelsberg seier det er viktig at alle som nyttar desse systema er oppmerksam om det skulle skje noko ureglementert.
– Om ein skal vera i den situasjonen at ein brukar same passord fleire stader, anbefaler me å endra dei, seier ho.
Saka er meldt til Datatilsynet og kommunen vurderer å melda forholdet til politiet.
Datatilsynet opplyser til NRK onsdag ettermiddag at avviksmeldinga enno ikkje er registrert i arkivet.
– Dette ser ut som eit stort avvik, men først må me vurdera avviksmeldinga. Når det er sagt, er det både bra og viktig at kommunen tar dette på alvor. Det er også viktig at råka partar får beskjed, seier kommunikasjonsdirektør Janne Stang Dahl.
