Tok bilder da lærer logget på – fikk tilgang til fraværssystem

I mai fortalte NRK at flere elever ved Sandefjord videregående skole var mistenkt etter at fravær ble slettet fra et datasystem.

Ifølge en avviksmelding kom elevene seg inn i systemet etter at de tok bilder da en lærer tastet inn sitt brukernavn og passord.

Datatilsynet ser alvorlig på hendelsen.

– Hvis sikkerheten ikke er sterkere, er det veldig enkelt å få tilgang til personopplysninger, sier kommunikasjonsdirektør Janne Stang Dahl.

Hun sier de har mange saker som handler om svake systemer for pålogging.

Flere pålegg

Tilsynet har nå pålagt fylkeskommunen å bedre datasikkerheten ved skolen.

Ett tiltak er å innføre såkalt tofaktorautentisering. Det betyr at man i tillegg til brukernavn og passord trenger en engangskode for å komme seg inn i systemet.

I tillegg må det gjennomføres risikovurderinger av alle datasystemer som brukes i fylkeskommunen.

Ifølge Dahl er det ingen tvil om hvem som har ansvaret for at noe lignende ikke skjer igjen.

– Ungdom er ungdom. De ser mange muligheter i mye. Her må skolen og fylkeskommunen ta grep.

– Skal ikke skje

Fylkesrådmann Øyvind Sørensen sier at tofaktorautentisering har vært vurdert før, men at det er utsatt i påvente av sammenslåingen med Telemark.

Etter planen skal et slikt system nå være på plass innen 1. november.

Han er enig med Datatilsynet i at dette burde vært innført tidligere, og sier fylkeskommunen jobber med å følge opp påleggene.

– Vi gjør alt vi kan for å sikre at dette ikke skjer igjen.

Nye passord

Det skal ha blitt slettet fravær for åtte elever etter at lærerens brukernavn og passord kom på avveie. Ifølge fylkeskommunen er slettingen trolig gjort for at elevene skal komme under fraværsgrensen på 10 prosent.

Hendelsen førte til at alle ansatte i fylkeskommunen måtte bytte passord i midten av mai.