– Elever hacker lærernes PC for å endre karakterer

Datatilsynet advarer mot svak IT-sikkerhet ved flere videregående skoler. Tilsynet frykter at elever logger seg inn på læreres bruker og endrer karakterer.

HTTPS-grønn hengelås (illustrasjon)

Datatilsynet ber flere videregående skoler øke sin IT-sikkerhet med et mer avansert påloggingssystem.

Foto: Espen Andersen / NRK

– Vi har hørt om elever som har logget seg på som læreren og har endret karakterer til seg og sine medelever, sier senioringeniør i Datatilsynet, Martha Eike.

Datatilsynet mener innlogginssystemet ved mange skoler er så dårlig at elevene kan komme inn på lærernes bruker.

Sensitiv informasjon avsløres

– Dette er alvorlig. Vi påla derfor skoleeierne å innføre sterk autentisering når skolens ansatte har tilgang fra eksterne nett, forklarer Elke.

Ti fylkeskommuner er nå bedt om å redegjøre for hvordan tilgangsstyring for de ansatte håndteres i skolene.

I 2013 og 2014 gjorde Datatilsynet en sjekk av IT-systemene til flere videregående skole, og avslørte flere mangler.

Konklusjonen er at det er et gjennomgående problem at barnehagene og skolene ikke har tilfredsstillende rutiner for å oppfylle pliktene i personopplysningsloven- og forskriftens plikter.

– Et av våre funn var at ansatte ved skolene kun logget seg på med brukernavn og passord til skolens ulike system. Siden de ansatte har tilgang til personopplysninger om mange barn, må tilgangen til disse opplysningene sikres bedre. En av farene er at elever kan få tak i brukernavn og passord, og finne sensitiv informasjon om andre elever og endre karakterer, advarer hun.

– Elever kan ha endret karakterer

Vest-Agder fylkeskommune er et av fylkene som har fått brev fra tilsynet.

– Det kan ha skjedd at noen elever har forandret på karakterene, det erkjenner vi, sier kvalitetssjef i Vest-Agder fylkeskommune, Arne Karlsen.

Tilsynet vil at skolens lærere skal bruke en tofaktorpålogging som mange kjenner igjen fra pålogging til nettbank, med brukernavn eller passord og en kodebrikke, eller en mobiltelefon med en engangskode. Elevene skal kun ha innsyn til egen side med karakterer og personlig informasjon.

– Hvorfor har dere ikke innført systemet ennå?

– Dette jobber vi med, og rent teknisk er det klart, men det må avklares hva lærerne skal ha i godtgjørelse for å bruke mer utstyr for å logge seg på, også innenfor brannmuren. Jeg vil anslå at tofaktorpåloggingen er i bruk tidlig neste år, sier Karlsen.

– Hvilken kostnadsramme har sikringen?

– For at lærerne skal bruke en ekstra mobiltelefon eller brikke, må det kompenseres. Vi har 1200 lærere på videregående trinn, i vårt fylke, så det kan bety en- til to millioner kroner, sier Karlsen.