Trur elevar står bak datainnbrot: Sende tullemelding frå rektors e-post

Datatilsynet meiner IT-tryggleiken i Bergen kommune er kritikkverdig etter omfattande datainnbrot. Sjølv kallar kommunen det «rampestrekar».

Mann ser på PC-skjerm der skolesystemet Feide vises

LOGGA SEG INN: Uvedkommande har kome seg inn i kommunen sitt eFeide-system, der brukarnamn og passord til andre system låg lagra.

Foto: Sindre Vik Helgheim / NRK

Onsdag opplyste Bergen kommune at uvedkomande har hatt tilgang til å sjå og endra personinformasjon til 35.000 lærarar og elevar.

Uvedkomande skal ha kome seg inn i det elektroniske løysinga eFeide, som er datasystemet kommunen nyttar for å administrera brukarar i skulen.

Bergen rådhus

AVVIK: Tilsette på rådhuset i Bergen jobbar på spreng for å finna omfanget av datainnbrotet.

Foto: Runa Victoria Engen

Sende tullemelding frå rektors konto

Bergen kommune meiner at uvedkomande har fått tak i eller gjetta passordet til ein administratorkonto, eller «superbrukar».

Det kjem fram av avviksmeldinga kommunen har sendt til Datatilsynet. Kommunen meiner at uvedkomande har brukt tilgangen for å gi ut seg for å vera rektor ved ein bergensskule, og sendt e-postar til andre.

I avviksmeldinga omtalar dei forholdet som «rampestrekar».

«Rektor har avkreftet at han har sendt meldingen. Flere tegn kan indikere at hendelsen er «rampestreker» utført av elever, blant annet har inntrengeren lagt til kontaktinformasjon i eFeide som åpenbert er falsk», heiter det i avviksmeldinga.

Torsdag har kommunen enno ikkje oversikt over omfanget eller konsekvensane av avviket. Også Nasjonal sikkerheitsmyndigheit (NSM) bidrar i arbeidet med å få oversikt over avviket.

Trine Samuelsberg

KOMMUNALDIREKTØR: Trine Samuelsberg i Bergen kommune.

Foto: Per Christian Magnus / NRK

Melder truleg saka til politiet

Kommunaldirektør Trine Samuelsberg seier kommunen vurderer sterkt å melda saka til politiet.

– Kommunen ser svært alvorleg på dette. Når ordet rampestrekar er blitt brukt i avviksmeldinga, er det meir som ei skildring av situasjonen, ikkje som ei vurdering av alvoret.

Det er enno uklart korleis vedkomande har kome seg inn i systemet. Med omsyn til ei eventuell politimelding, vil ikkje kommunaldirektøren gå i detalj på kva kartlegginga har avdekt.

eFeide er ei skyløysing, som kan loggast på frå kvar som helst ved hjelp av brukarnamn og passord.

Dagleg leiar Eric Lithun i Identum, selskapet som driftar den digitale løysinga, kjenner ikkje til korleis avviket kan ha skjedd, men understrekar at det ikkje er snakk om eit innbrot. Lithun meiner at ein uautorisert person har fått tilgang på systemet gjennom ein superbrukar si innlogging.

– Me er ikkje samde med kommunen, som i pressemeldinga indikerer at dette er ein feil i vårt system. Av 300 kundar, er det berre i Bergen kommune det er rapportert inn avvik. Vårt system er ikkje blitt kompromittert, slik me ser det. Det blir som å skulda på låsesmeden, fordi ein nøkkel er mista, seier Lithun.

Datatilsynet kritisk til tryggleiken

Kommunen planlagde å innføra tofaktor-autentisering ved innlogging i løpet av hausten. Kommunaldirektøren opplyser at det ikkje er gode grunnar til at det ikkje er gjort.

Det reagerer Datatilsynet på.

– Det er grunn til å tru at tryggleiken hos Bergen kommune ikkje har vore god nok, seier kommunikasjonsdirektør Janne Stang Dahl i Datatilsynet.

Datatilsynet har etterlyst meir informasjon utover det som kjem fram i avviksmeldinga.

– Me synest denne skildringa er litt for tynn, og har bede om å få ei nærare utgreiing om kva som har skjedd. Både kva system det er logga på til, kvifor det skjedde og årsaka til korleis det kunne skje.