Datainnbrotet: Barneskuleelev varsla om sikkerheitshol for eit halvt år sidan

Eleven på ein barneskule i Bergen oppdaga tilfeldigvis den alvorlege sikkerheitsfeilen i vår. Då han fann same feil før skulestart, bestemte han seg for å avsløra feilen.

Bergen rådhus

AVVIK: Måndag oppdaga Bergen kommune eit «tryggleiksavvik» i skulane sin brukarportal.

Foto: Runa Victoria Engen

Onsdag melde Bergen kommune at personinformasjon om 35.000 elevar og lærarar kan ha blitt spreidd. Leverandøren varsla kommunen om «uønskt aktivitet» i id-handteringssystemet eFeide.

Til Datatilsynet opplyser kommunen at det kan vera snakk om «rampestrekar» utført av elevar.

Barneskuleelev fann «skjult» mappe

Fredag blei saka meldt til politiet. Allereie same ettermiddag har politiet ei klar meining om kva som har skjedd.

– Det ser ut til at ein skuleelev i Bergen har funne eit sikkerheitshol i kommunen sitt persondatasystem, og varsla om dette. Då hans varsel ikkje blei tatt tak i, valde han å logga seg på ein administrasjonsbrukar for å senda ut eit signal, seier Frode Karlsen, politiinspektør og seksjonsleiar ved seksjon for etterforsking av økonomi-, miljø- og arbeidsmarknadskriminalitet i Vest politidistrikt.

Ifølge Karlsen har den datakyndige skuleeleven, innlogga med sin elev-brukar, fylgd ein mappestruktur i systemet og funne ei lagra fil som ikkje burde ligga der. Ifølge eleven inneheldt mappa mellom anna informasjon om alle elevar og tilsette sin brukarinformasjon og passord.

– Eleven gjorde dette funnet for eit halvt år sidan, og opplyser at han gav beskjed til skulen om det han hadde funne. Tysdag denne veka fylgde han den same stien på nytt, og kom over den same fila.

Feide

FEIDE: Felles Elektronisk IDEntitet (Feide) er Kunnskapsdepartementet si valde løysing for sikker identifisering i utdanningssektoren.

Foto: NRK

Irriterte seg over at personinfo ikkje blei fjerna

I rein frustrasjon over at dette ikkje hadde blitt tatt tak i, logga han inn på ein rektor sin brukar og sende ein e-post frå denne brukaren.

Etter det NRK forstår, skal det dreia seg om latterleggjerande kommentarar om sikkerheita i datasystemet til kommunen.

– Det er ikkje grunn til å frykta at brukarinformasjon er hamna på avvege. Dette burde nok dei tilsette ha fylgt opp for lengst. Hadde dei gjort det, hadde me ikkje vore i denne situasjonen, seier Karlsen.

Vil konfiskera datamaskiner

Eleven er under den kriminelle lågalder. Han er ikkje sikta av politiet.

– Det har ikkje vore naudsynt. All etterforsking er gjort på samtykke.

Politiet meiner saka viser at kommunen ikkje har hatt gode nok rutinar for å sikra opplysningane dei er pålagde å ta vare på.

– Viss ein berre kan gjetta seg fram til passordet ditt, kan det få store konsekvensar, spesielt dersom ein har tilgang til andre sine personopplysingar, seier Karlsen.

Politiet har grunn til å tru at dei har sikra seg dei maskinene som eleven har brukt.

Passordekspert Per Øyvind Thorsheim

PINLEG: Passordekspert Per Thorsheim meiner saka avdekker eit pinleg sikkerheitshol i systemet til Bergen kommune.

Foto: Even Norheim Johansen / NRK

– Klar sak for Datatilsynet

Per Thorsheim er sikkerheitsrådgjevar og ein av dei fremste ekspertane i verda på passord- og autentiseringssikkerheit.

Han meiner denne saka avslører eit pinleg hol i systemet og omtalar det som trist at uromeldinga frå eleven ikkje har blitt teke tak i.

– Det er ingen tvil om at det skulle ha blitt tatt alvorleg, sjølv om meldinga kom frå ein elev i barneskulen.

Etter innføringa av EU sine nye personvernreglar i sommar har Datatilsynet høve til å gi gebyr i millionklassen om dei meiner kommunen har hatt for dårleg sikkerheit.

– For Datatilsynet er det berre å finna fram bøteboka med ein gong. For eleven sin del vil eg seia at han fortener kake, og ikkje straff, for å ha sagt ifrå.

Berømmer eleven for at han gav beskjed

Kommunaldirektør Trine Samuelsberg blei først gjort merksam på den nye vendinga i saka då NRK tok kontakt fredag ettermiddag.

– Først vil eg berømma eleven for at han sa ifrå. Trass i at tinga han gjorde i etterkant ikkje er veldig konstruktive, anerkjenner me at han gir oss beskjed.

NRK er kjent med at kommunen sin IT-avdelinga blei varsla av den aktuelle skulen guten var elev ved.

Kvifor blei ikkje denne sikkerheitssvikten gjort noko med då eleven varsla?

– Arbeidet med å finna ut kva som har skjedd, er ikkje kome veldig langt. Me har blitt gjort kjent med dette i ettermiddag og må koma tilbake til kva som ikkje har fungert her.

Samuelsberg seier kommunen no vil oversenda dokumentasjonen til Datatilsynet.

– Me respekterer det regelverket som finst og avventer Datatilsynet si vurdering. Så får me ta dei konsekvensane som eventuelt kjem.