Barneskoleelev varslet om sikkerhetshull for seks måneder siden

Gutten var frustrert over at feilen ikke ble rettet opp. Han sendte derfor en mail fra en brukerkonto for å vise at IKT-sikkerheten på skolen ikke ble tatt alvorlig.

VIL RYDDE: – Slikt skal ikke skje, sier kommunaldirektør Trine Samuelsberg etter at uvedkommende har fått tilgang til personopplysninger om elever og lærere i Bergen kommune. EIRIK BREKKE (arkiv)

Onsdag ettermiddag sendte Bergen kommune ut en pressemelding om at uvedkommende har fått tilgang til personopplysninger om lærere og elever på skoler i Bergen.

Feilen ble oppdaget ved at selskapet Identum, som drifter id-håndteringssystemet eFeide, fant uregelmessigheter etter en rutinesjekk og deretter varslet kommunen, opplyser Eric Lithun, daglig leder i selskapet.

– Dette er en svært alvorlig situasjon, og vi har et stort ansvar med å sikre de personopplysningene vi samler inn, sa Trine Samuelsberg, som er kommunaldirektør for barnehage, skole og idrett.

Hun rapporterte at så mange som 35.000 elever og lærere kunne være rammet. Så tok saken en ny vending.

Les også

Kommunen beskriver datainnbrudd som «rampestreker»

Barneskoleelev meldte fra

NRK Hordaland var først ute med å melde om at en gutt i barneskolealder varslet om sikkerhetshullet allerede for et halvt år siden.

Da han tirsdag oppdaget at mangelen var der fremdeles, logget han seg inn på en rektors brukerkonto og sendte en melding som latterliggjorde sikkerhetsnivået.

– Kommunen tok kontakt med oss, og vi registrerte en anmeldelse i går kveld. I dag har vi vært ute på en adresse og pratet med foreldrene og en gutt som er under 15 år. Han har forklart at det er han som har gjort det, og litt om omstendighetene rundt, sier Frode Karlsen, politiinspektør og seksjonsleder ved seksjon for etterforskning av økonomi-, miljø- og arbeidsmarkedskriminalitet til Bergens Tidende.

Meldte fra til skolen

Til politiet har gutten forklart at det i rundt et halvt år har ligget en digital sti til en fil med brukernavn og passord til en rekke brukere, og at han meldte fra om dette til skolen.

– Det skjedde ingenting, etter at han rapporterte inn, og tirsdag så han at den samme filen fremdeles lå åpen, sier Karlsen videre.

Les også

Elevers personvern må sikres bedre

Gutten skal deretter ha logget seg på en av brukerkontoene og sendt ut en mail i frustrasjon. Hensikten var å vise at IKT-sikkerheten ikke blir tatt tilstrekkelig alvorlig.

– Han har erkjent at det er en dum måte å understreke poenget på, legger Larsen til.

Ingen opplysninger på avveie

Han sier at politiet er forholdsvis sikre på at de har vært på rett sted, og at de ikke har noen grunn til å tro at personopplysninger er på avveie.

– Gutten sier at han har gjettet seg til et eller flere passord. Fra politiet sitt ståsted er det et poeng at hvis man har tilgang til andres brukersikkerhet så stiller det større krav til sikkerhet. Det er ikke bra at denne filen lå åpent tilgjengelig. Dette handler ikke om svikt i datasystemer, men blant personalet, sier Karlsen.