Onsdag opplyste Bergen kommune at uvedkomande har hatt tilgang til å sjå og endra personinformasjon til 35.000 lærarar og elevar.
Uvedkomande skal ha kome seg inn i det elektroniske løysinga eFeide, som er datasystemet kommunen nyttar for å administrera brukarar i skulen.
Sende tullemelding frå rektors konto
Bergen kommune meiner at uvedkomande har fått tak i eller gjetta passordet til ein administratorkonto, eller «superbrukar».
Det kjem fram av avviksmeldinga kommunen har sendt til Datatilsynet. Kommunen meiner at uvedkomande har brukt tilgangen for å gi ut seg for å vera rektor ved ein bergensskule, og sendt e-postar til andre.
I avviksmeldinga omtalar dei forholdet som «rampestrekar».
«Rektor har avkreftet at han har sendt meldingen. Flere tegn kan indikere at hendelsen er «rampestreker» utført av elever, blant annet har inntrengeren lagt til kontaktinformasjon i eFeide som åpenbert er falsk», heiter det i avviksmeldinga.
Torsdag har kommunen enno ikkje oversikt over omfanget eller konsekvensane av avviket. Også Nasjonal sikkerheitsmyndigheit (NSM) bidrar i arbeidet med å få oversikt over avviket.
Melder truleg saka til politiet
Kommunaldirektør Trine Samuelsberg seier kommunen vurderer sterkt å melda saka til politiet.
– Kommunen ser svært alvorleg på dette. Når ordet rampestrekar er blitt brukt i avviksmeldinga, er det meir som ei skildring av situasjonen, ikkje som ei vurdering av alvoret.
Det er enno uklart korleis vedkomande har kome seg inn i systemet. Med omsyn til ei eventuell politimelding, vil ikkje kommunaldirektøren gå i detalj på kva kartlegginga har avdekt.
eFeide er ei skyløysing, som kan loggast på frå kvar som helst ved hjelp av brukarnamn og passord.
Dagleg leiar Eric Lithun i Identum, selskapet som driftar den digitale løysinga, kjenner ikkje til korleis avviket kan ha skjedd, men understrekar at det ikkje er snakk om eit innbrot. Lithun meiner at ein uautorisert person har fått tilgang på systemet gjennom ein superbrukar si innlogging.
– Me er ikkje samde med kommunen, som i pressemeldinga indikerer at dette er ein feil i vårt system. Av 300 kundar, er det berre i Bergen kommune det er rapportert inn avvik. Vårt system er ikkje blitt kompromittert, slik me ser det. Det blir som å skulda på låsesmeden, fordi ein nøkkel er mista, seier Lithun.
Datatilsynet kritisk til tryggleiken
Kommunen planlagde å innføra tofaktor-autentisering ved innlogging i løpet av hausten. Kommunaldirektøren opplyser at det ikkje er gode grunnar til at det ikkje er gjort.
Det reagerer Datatilsynet på.
– Det er grunn til å tru at tryggleiken hos Bergen kommune ikkje har vore god nok, seier kommunikasjonsdirektør Janne Stang Dahl i Datatilsynet.
Datatilsynet har etterlyst meir informasjon utover det som kjem fram i avviksmeldinga.
– Me synest denne skildringa er litt for tynn, og har bede om å få ei nærare utgreiing om kva som har skjedd. Både kva system det er logga på til, kvifor det skjedde og årsaka til korleis det kunne skje.