IT-ekspert om datainnbrot: – Skremmande dårleg sikkerheit

Bergen kommune risikerer millionbot etter datainnbrotet. – Saka har høg prioritet, seier Datatilsynet.

Bergen rådhus

JOBBAR PÅ SPRENG: Bergen kommune jobbar på spreng for å finna ut meir om det alvorlege datainnbrotet.

Foto: Sissel Rikheim / NRK

Fredag skreiv NRK at det var ein barneskuleelev som stod bak «sikkerheitsavviket» i Bergen kommune. Eleven kom seg inn på ein skulerektor sin brukar, og sende ei melding der han gjorde narr av kommunen sitt IT-system.

Bakgrunnen var irritasjon over at kommunen ikkje hadde fiksa ein alvorleg sikkerheitsfeil som eleven hadde varsla om eit halvt år tidlegare.

Kan få sviande milliongebyr

Måndag jobbar Bergen kommune framleis på spreng for å finna ut kva som har skjedd – og ikkje skjedd – sidan guten gav beskjed om feilen i vår.

Først når Datatilsynet har fått ein skriftleg utfyllande rapport, blir det klart kor vidt kommunen får straff eller ikkje.

– Denne saka har høg prioritet og me kjem til å behandla saka raskt, seier kommunikasjonsdirektør Janne Stang Dahl.

Janne Stang Dahl

KOMMUNIKASJONSDIREKTØR: Janne Stang Dahl i Datatilsynet.

Foto: Ilja C. Hendel / Datatilsynet

Direktøren anslår at dei vil motta Bergen kommune si endelege utgreiing og dokumentasjon mot slutten av denne veka.

Etter innføringa av EU sine nye personvernreglar i sommar har Datatilsynet høve til å gi gebyr i millionklassen om dei meiner kommunen har hatt for dårleg sikkerheit.

– På generelt grunnlag kan eg seia at Datatilsynet har høve til å gi høgare straffegebyr enn før. Det kan vera snakk om straffegebyr på opp mot 20 millionar euro, eller fire prosent av omsetjinga, seier Dahl, som understrekar at det enno er for tidleg å uttala seg om eventuelle sanksjonar.

Skremd over sikkerheitsnivået

Selskapet Identum tok over som leverandør for kommunen sitt id-handteringssystem for sju månader sidan. Noko av det viktigaste som skulle på plass, var å innføra eit totrinns påloggingssystem.

Verkemiddelet, som mellom anna er standard hos alle norske bankar, krev at ein må ta seg gjennom to trinn for å koma inn i systemet. I Bergen sitt tilfelle har brukarnamn og passord vore nok.

– At dette ikkje har vore på plass, er i seg sjølv ein skandale. Alle som driftar eit slikt system, med opplysningar som kan vera ganske konfidensielle for den enkelte, må nytta dei sikkerheitstiltaka som finst, seier seniorrådgjevar Vidar Sandland i Norsk senter for informasjonssikring (NorSIS).

Advarer mot datahackere

SKANDALE: Seniorrådgjevar Vidar Sandal i Norsk senter for informasjonssikring er sterkt kritisk til sikkerheitsnivået i Bergen kommune.

Foto: Juliane Kravik / NRK

Seniorrådgjevaren meiner det er alarmerande at eit slikt system ikkje allereie var på plass i Bergen kommune.

– Når ein ikkje tar i bruk så enkle sikkerheitsmekanismar i eit system med denne type personinfo, er det skremmande, seier Sandland.

Utsette å innføra nytt system

Ifølge dagleg leiar i Identum, Eric Lithun, var selskapet klare til å rulla ut systemet, men kommunen valde å venta til i haust.

Det stadfesta kommunaldirektøren rett før helga.

– På grunn av det store innfasingsarbeidet og tida utrullinga ville krevja, bestemte me oss for å venta til etter sommaren. I etterpåklokskapens namn, ser me at det ikkje var ein god idé.

Trine Samuelsberg

KOMMUNALDIREKTØR: – Me må koma tilbake til kva som ikkje har fungert her, sa kommunaldirektør Trine Samuelsberg til NRK fredag ettermiddag.

Foto: Even Norheim Johansen / NRK

– For Datatilsynet er det berre å finna fram bøteboka med ein gong, sa passordekspert Per Thorsheim, då NRK fortalde at det var ein skuleelev som hadde kome seg inn i skulen sitt system.

Sandland er av same oppfatning.

– Desse brota kan heilt klart medføra gebyr. Med tilgang på rektor sin brukarkonto, har eleven truleg hatt tilgang på informasjon som også kan reknast som sensitiv. Det er alvorleg.

Kommunaldirektør Trine Samuelsberg har ikkje vore tilgjengeleg for kommentar måndag.