Alle elevene bruker samme passord: – Jeg ble rett og slett sjokkert

Barneskolebarn kommer seg lett inn på medelevers skolekontoer. Der får de tilgang til å sende meldinger og endre på innleveringer.

Illustrasjonsbilde av et barn som skal taste inn passord på et skolenettbrett

ENKLE OG LIKE: Mange barneskolebarn får utdelt samme passord som klassekameratene. (Illustrasjonsbilde)

Foto: Henrik Bøe / NRK

Se for deg at du starter i en ny jobb. Første dagen får du utdelt brukernavn og passord.

Brukernavnet er basert på navnet ditt. Passordet er «Jobb123» eller noe lignende. Alle på jobben bruker det samme passordet.

Slik er innloggingssystemet på mange barneskoler i Norge.

Logget seg inn på andres kontoer

Det har skapt problemer, blant annet på Vennerød skole i Sandefjord kommune.

– Noen barn skjønte etter hvert tegninga, sier FAU-leder Andreas Jensen Hofstad.

Elevene har brukernavn og passord for å logge seg inn på forskjellige skoletjenester. Blant annet kommunikasjonsappen Teams, og sider der de kan jobbe med oppgaver.

Brukernavnene følger et fast mønster. Klassen var delt i to grupper, og alle i hver gruppe brukte samme passord.

– Barna har vært i stand til å logge seg inn på hverandres brukere. I våres oppstod det en situasjon der de gjorde akkurat det, sier Hofstad.

FAU-lederen fikk seg en aha-opplevelse.

– Sikkerheten er ikke til stede når det er slik. Vi voksne kunne jo også ha logget oss inn på et vilkårlig barns Teams-konto. Da ville vi fått tilgang til samtaler og annet vi ikke skal ha tilgang til.

Andreas Jensen Hofstad

BEKYMRET: FAU-leder Andreas Jensen Hofstad mener skolen har tatt for lett på IT-sikkerheten.

Foto: Henrik Bøe / NRK

Lover å endre praksis

Elevene i gruppen på Vennerød skole fikk personlige passord etter dette.

Likevel var det fortsatt felles passord i andre klasser på samme skole. Det bekrefter rektor Anne Sofie Nilsen.

Hun forklarer at felles passord har vært en tidsbesparende løsning.

– Mange ganger glemmer elevene hvilket passord de har. Da har det vært en lett løsning å ha det samme passordet i hele klassen.

Nilsen er enig i at sikkerheten har vært for dårlig.

– Vi skal virkelig revurdere vår praksis rundt bruk av passord. Det skal vi ta tak i med en gang.

Vanlig

Men selv om Vennerød skole skjerper sikkerheten, er deling av passord fortsatt vanlig på mange andre skoler.

NRK har ringt FAU-ledere på Østlandet og Sørlandet. Flere bekrefter at alle elever i samme klasse bruker identiske passord.

I Lindesnes kommune ble en barneskoleelevs konto misbrukt til å sende trakasserende meldinger og trusler, ifølge Lindesnes Avis.

Og i Arendal ble Tor Aanonsen opprørt da han så at passordet til sønnens klasse lå åpent på skolens nettsider.

Tor Aanonsen sitter på et bibliotek med en laptop

OPPGITT: Tor Aanonsen synes skolen går foran med et dårlig eksempel når det gjelder sikkerhet.

Foto: Thomas Nikolai Blekeli / NRK

– Fullstendig systemsvikt

For å teste om sikkerheten var så dårlig som han ante, forsøkte han å logge seg inn på en tilfeldig elevs Teams-konto.

– Da kom jeg rett inn, sier Aanonsen.

– Jeg tenkte jo at dette er veldig galt. Jeg ble rett og slett sjokkert over at det kan gå an i 2021.

Aanonsen synes det er rart at felles passord er vanlig.

– Det tenker jeg at er en fullstendig systemsvikt. Det er tydeligvis et behov for å dra dette opp på et nasjonalt plan og lage noen retningslinjer som må følges.

Etter at Aanonsen kontaktet lokalavisen, endret også Arendal kommune praksis.

– Det var én klasse som ikke hadde fulgt kommunens retningslinjer, sier skolesjef i kommunen, Øystein Neegaard.

Alle elevene i Arendal kommune har nå egne passord, ifølge skolesjefen.

NRK forklarer

Slik kan barnas innlogging sikres bedre

Bruk individuelle passord

Helt fra starten av barneskolen bør elevene bruke individuelle passord, mener Stig Oprann i Foreldreutvalget for grunnopplæringen (FUG).

– Barna må lære at dette er et privat område som ingen andre har tilgang til.

Læreren kan ha en liste

For å unngå for mye tidsbruk når elever glemmer passord, kan læreren ha en liste med passord til alle elevene.

Bruk det aktivt i undervisningen

Sikker innlogging er viktig, også senere i livet.

– Dersom barna lærer gode vaner tidlig, er sjansen større for at de fortsetter å bruke sikre brukernavn og passord, sier Hans Marius Tessem i Norsk senter for informasjonssikring (NorSIS).

Bruk tofaktors autentisering

Tessem mener barna på barneskolen også bør bruke to-trinns pålogging.

– Vi ser at flere og flere skoler bruker nettbrett. Det åpner for muligheten til å bruke to-trinns pålogging ved hjelp av nettbrettet.

I strid med personvernregler

Det er kommunene som har ansvar for elevenes IT-sikkerhet.

Ifølge Datatilsynet er det i strid med personvernreglene å ha felles passord for klassen.

– Personvernforordningen stiller krav om sikkerhet som gir tilstrekkelig beskyttelse av elevenes personopplysninger. At alle elever i klassen har samme passord til sine individuelle områder, er ikke tilfredsstillende sikkerhet, sier Buer.

Ved et tilsyn ville kommunen sannsynligvis ha blitt pålagt å endre praksis, ifølge avdelingsdirektøren.

– Det er en stor sårbarhet at alle elever har akkurat samme passord. Så der ville vi gått inn og sagt at dette er ikke godt nok.

Buer sier enkle passordløsninger har vært vanlig i mange år. Hun tror dette er i ferd med å endre seg.

– Mitt inntrykk er at mange endelig begynner å skjønne alvoret i forbindelse med barns personopplysninger. At man er på vei bort fra en naivitet rundt barn og elevers personvern, som kanskje har vært til stede tidligere.

Veronica Jarnskjold Buer

TROR PÅ BEDRING: Veronica Jarnskjold Buer i Datatilsynet mener datasikkerhet for barn er i ferd med å bli tatt mer på alvor.

Foto: Ilja C. Hendel / Datatilsynet

– Bruk det til å lære

Hans Marius Tessem i Norsk senter for informasjonssikring (NorSIS) sier de har hørt om elever som har endret andres innleveringer på grunn av slapp IT-sikkerhet.

De har også hørt om barn som har utgitt seg for å være andre elever.

Tessem mener problemene rundt passord kan snus til en gylden læremulighet.

Den største risikoen når det gjelder informasjonssikkerhet i dag, er nettopp pålogging. Dårlige brukernavn og passord, samme passord overalt. Det er gjerne der det svikter, sier Tessem.

Han påpeker at mange voksne slurver med dette, og sier at det nettopp derfor er viktig å lære barna gode vaner.

Tessem skjønner læreres frustrasjon over å bruke tid på elever som har glemt passord.

– Men det er egentlig vel anvendt tid. En mulighet til å lære barna noe som er utrolig viktig. Noe de må ha med seg resten av livet.