Personopplysninger på avveie etter datainnbrudd i Bergen kommune

35.000 elever og lærere kan være rammet.

VIL RYDDE: – Slikt skal ikke skje, sier kommunaldirektør Trine Samuelsberg etter at uvedkommende har fått tilgang til personopplysninger om elever og lærere i Bergen kommune. EIRIK BREKKE (arkiv)

Onsdag ettermiddag sendte Bergen kommune ut en pressemelding om at uvedkommende har fått tilgang til personopplysninger om lærere og elever på skoler i Bergen, etter å ha brutt seg inn i skolenes brukeradministrasjonssytem «e-Feide».

– Dette er en svært alvorlig situasjon, og vi har et stort ansvar med å sikre de personopplysningene vi samler inn. Vi har jobbet systematisk med å følge de nye personvernreglene som har kommet, sier Trine Samuelsberg, som er kommunaldirektør for barnehage, skole og idrett.

35 000 kan være berørt

Datainnbruddet ble oppdaget seint mandag kveld. Samuelsberg forklarer at kommunen onsdag ikke har oversikt over hva vedkommende kan ha sett. Kommunen forholder seg derfor til at 35 000 personer kan være rammet.

– Vi vil selvsagt informere elever og lærere som er utsatt, sier hun.

Den uvedkommende skal ha tatt seg inn i et område i den elektroniske løsningen som bare et fåtall administratorer kommer inn i. Her har vedkommende fått tilgang til fødselsnummer, navn, adresse og kontaktinformasjon til elever og ansatt.

– Denne saken er alvorlig av flere grunner. Det er et stort antall personer som kan være rammet, og mange av dem er barn, sier Magnus Kroken, rådgiver i avdeling for personvern og informasjonssikkerhet i kommunen, til NRK.

Alle tilganger ble umiddelbart stengt og sikkerhetstiltak ble innført.

– Vi registrerer også at leverandøren tar hendelsen alvorlig, og har bidratt positivt til at tiltakene kan settes i verk så snart som mulig, legger han til.

– Vurderte strengere regler

Det er Bergen kommune som skoleeier som står ansvarlig for å sikre elevenes personvern. Etter at de nye personvernreglene trådte i kraft, er straffen for brudd blitt svært strenge. Bøter i millionklassen kan bli gitt ved alvorlige brudd.

– Vi vet ikke hvem som har vært inne eller hva slags motiv som ligger bak. Vi har brukt dagen på å få en oversikt og vi vil fortsette med å innhente informasjon om hva slags konsekvenser dette kan medføre, sier Trine Samuelsberg.

– Hvorfor har ikke kommunen innført totrinnspålogging før?

– Vi startet en diskusjonen om dette før sommeren, men det er ingen årsak til at dette ikke er gjennomført. Vi vurderte strengere regler, men uvedkommende kom oss i forkjøpet, sier Samuelsborg.

Les også

Rapport: Hackere bruker Norge som skalkeskjul

– Feilen ligger hos kommunen

Eric Litun, sjef for selskapet Identum som eier produktet e-feide, ser ikke på datainnbruddet som svært alvorlig.

– Vi vet ikke med 100 prosent sikkerhet hva som har skjedd, men våre systemer og sikkerhet er det ingenting feil med. Det er kun én av 300 kunder som er berørt. Feilen ligger hos Bergen kommune, sier han.

Han forklarer at det er mulig at noen har benyttet seg av en superbruker, det vil si en bruker som har tilgang til all informasjon, hos kommunen.

– Som far til to skoleelever i Bergen er jeg ikke bekymret. Jeg ser ikke på dette som svært alvorlig, selv om det er uønsket, sier Litun.

Han legger til at datasikkerheten alltid kan bli bedre.

– Verden forandrer seg hver dag, og man kan aldri si at man er ferdig med å utvikle datasikkerhet.

– Handlet raskt

Saken er meldt til Datatilsynet. Bergen kommune vurderer også å anmelde saken til politiet.

– Vi kan ikke si så mye foreløpig. Men det er veldig viktig at alle virksomheter har gode rutiner for intern kontroll. Når det skjer datainnbrudd, som det virker som har skjedd her, er det viktig at man konsekvensutreder raskt og lager en tiltaksplan, sier Janne Stang Dahl, kommunikasjonsdirektør i Datatilsynet.

– Hva tenker du om at kommunen ikke har innført totrinnspålogging?

– Nå må vi se hvordan denne avviksmeldingen er vurdert før vi kan kommentere noe mer. Først og fremst må kommunen sikre at dette ikke får store konsekvenser, sier Dahl.

– Trist når det rammer barn

Roy Solberg jobber som systemutvikler og blogger om datasikkerhet. Han synes det er positivt at Bergen kommune rapporterer raskt om hendelsen, informerer om mottiltak og har varslet Datatilsynet. Men, påpeker at det er trist når datainnbrudd rammer barn og unge.

– De er mer sårbare i utgangspunktet, og det kjedelig at personopplysninger allerede fra tidlig i livet kommer på avveie. Det kan jo få konsekvenser på et seinere punkt i livet, sier Solberg.

Ifølge Solberg skjer datainnbrudd imidlertid hele tiden og er ingen overraskelse.

– Jeg håper at Bergen kommune bruker tredjeparter for å teste systemet, hvor man fra utsiden prøver å bryte seg inn etter avtale med kommunen. I tillegg må man la noen på innsiden sjekke sikkerheten, sier Solberg.