Gå til innhold

Barneskole-elev varslet kommunen om sikkerhetshullet i vår. Da han ikke ble hørt, tok han saken i egne hender

NTB - digi

Anbefalte innlegg

Videoannonse

Videoannonse
Annonse
Gjest Slettet-80wCWpIM

Gjest Slettet-80wCWpIM

Skrevet
Skrevet

"NRK er kjent med at kommunen sin IT-avdelinga blei varsla av den aktuelle skulen guten var elev ved."

 

Vanskelig å ikke la seg imponere når man ser hvor mange instanser som er blitt informert, tilsynelatende uten at noe som helst konstruktivt har skjedd.

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

 

Men kommunen er nok over den kriminelle lavalder - blir de siktet i saken?

 

Nei, det kan de ikke. Men de kan få en kraftig bot. Skal man siktes må man bryte en paragraf i straffeloven, datainnbrudd regnes som innbrudd - feilene til kommunen er omfattet av andre lover.

 

Ellers så er jeg faktisk ikke sikker på at dette er et sikkerhetshull, ut fra det jeg har lest er det her snakk om lagring av informasjon på en måte som ikke skal skje. Trolig en grov menneskelig feil.

  • Liker 1
Lenke til kommentar
  • Populært innlegg
Simen1

Simen1

Skrevet
  • Populært innlegg
Skrevet

Persondata som passord og brukernavn for både ansatte og elever lå åpent. Det forundrer meg om ikke det er et grovt brudd på GDPR. I mine ører lyder "siktet for brudd på GDPR" riktig.

 

En ærlig elev som varsler på riktig måte burde for det første blitt hørt og deretter premiert. At ingen hørte etter er bare de døve ørene sin feil. Han har heller ikke lastet ned eller videresendt persondata, ref. "ingen persondata på avveie". All honnør til eleven! Trist om Identum, eFeide eller Kommunen prøver å vinkle det som varsling er problemet og ikke de selv som har eksponert persondata til 35 000 personer.

  • Liker 12
Lenke til kommentar
007CD

007CD

Skrevet
Skrevet

 

 

Gutten er under den kriminelle lavalder og blir ikke siktet i saken.

Selvsagt ikke - man retter jo ikke baker for smed, som vi lærte på skolen.

 

Men kommunen er nok over den kriminelle lavalder - blir de siktet i saken?

Godt over kriminell lavalder! Så hele kommunen med bygg og land og alt, blir da buret inne i fengsel som resultat av dommen :D

Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

Persondata som passord og brukernavn for både ansatte og elever lå åpent. Det forundrer meg om ikke det er et grovt brudd på GDPR. I mine ører lyder "siktet for brudd på GDPR" riktig.

 

En ærlig elev som varsler på riktig måte burde for det første blitt hørt og deretter premiert. At ingen hørte etter er bare de døve ørene sin feil. Han har heller ikke lastet ned eller videresendt persondata, ref. "ingen persondata på avveie". All honnør til eleven! Trist om Identum, eFeide eller Kommunen prøver å vinkle det som varsling er problemet og ikke de selv som har eksponert persondata til 35 000 personer.

 

Man kan ikke bli siktet for brudd på GDPR. Det er heller ikke noe som heter GDPR i Norge, det heter personopplysningslov og personvernforordningen. Man kan bli ilagt overtredelsesgebyr, tvangsmulkt og erstatning, akkurat som man kunne for brudd på tidligere personopplysningslov. Og det bruddet som skjedde her var omfattet av tidligere lov, fordi det var et konsesjonsbelagt system. Eneste forskjellen er potensielt gebyrnivå.

 

En organisasjon kan heller ikke siktes for noe, det er noe som kun "personer" kan bli.

 

Det å bli siktet eller få en siktelse - er er et begrep i straffeprosessen - med meget klar definisjon - og som medfører en helt spesifikk prosess.

 

Og vi er ikke uenig i realitetene, men la oss for guds skyld være korrekte i begrepsbruken.

 

----

Og Identum og kommunen prøver ikke å vinkle det som om varsling er problemet. Følgende sier ansvarlig kommunaldirektør Trine Samuelsberg.

"– Først vil eg berømma eleven for at han sa ifrå. Trass i at tinga han gjorde i etterkant ikkje er veldig konstruktive, anerkjenner me at han gir oss beskjed."

 

Og som jeg alt har skrevet - realiteten her er trolig ikke et sikkerhetshull, men ekstremt dårlig sikkerhetskultur og rutiner. Det vil være det som Datatilsynet vil bøtelegge. Et sikkerhetshull er ikke i seg selv brudd på personopplysningensloven og forordningen, manglende reaksjon er det.

  • Liker 5
Lenke til kommentar
Tastaturskriver

Tastaturskriver

Skrevet
Skrevet

Det er sikkerhetshull over alt i samfunnet, utelukkende beskyttet av den enkeltes moral. Den lokale rema-butikken der jeg bor burde være ganske enkel å bryte seg inn i, bare ved å kaste en stor nok stein gjennom inngangsdøra. På innsida av butikken skal en ikke se bort fra at det ligger et arkivskap med sensitiv informasjon om de ansatte.

 

For meg er det helt latterlig at enkelte her inne ser ut til å forherlige personer som «kaster stein» og bryter seg inn i IT-systemer, uansett hvilke motiver de måtte ha.

Lenke til kommentar
Simen1

Simen1

Skrevet
Skrevet (endret)

For meg er det helt latterlig at enkelte her inne ser ut til å forherlige personer som «kaster stein» og bryter seg inn i IT-systemer, uansett hvilke motiver de måtte ha.

Analogien din er helt på bærtur. "35 000 legejournaler på fortauet utenfor legekontoret mens legen var på ferie" hadde vært en bedre analogi, bortsett fra at det ikke var helseopplysninger, men brukernavn og passord. Noe som kan eksponere en hel masse sensitiv informasjon. Eleven gikk tjenestevei og varslet om hullet. Eller "Fotgjengeren varslet legekontoret om at legejorunalene på fortauet". Ingen hørte etter eller brydde seg. Så alvorlig tar tar de varsler om brudd på personopplysnings-sikkerhet. Eleven gjorde ikke noe mer med saken, muligens i den tro at de faktisk ordnet opp. "Noen på legekontoret oppdaget senere at fotgjengeren hadde gått forbi legejournalene og visste hva som lå der (uten å ha snoket eller manipulert innholdet)". For å skifte fokus bort fra kommunens kritikkverdige omgang med personopplysninger velger du altså å henge ut varsleren.

 

Kanskje mer forståelig nå? Eleven gjorde rett i å varsle. Kommunen eller dens leverandører gjorde noe alvorlig galt og gjorde ingenting for å rette det opp når de fikk beskjed om hva som var galt. Eleven burde blitt premiert. Kommunen eller dens leverandører burde fått en saftig smell for begge deler (selve sikkerhetsbristen og for å ikke ta varslet på alvor). Eleven gjorde ikke innbrudd. Personopplysningene lå åpent offentlig tilgjengelig på offentlig sted. Det trengs ingen steiner for å plukke opp legejournaler fra fortauet eller personopplysninger fra kommunens vidåpne database.

 

Jeg synes egentlig du viser en ganske skremmende holdning mot folk som varsler om ulovlige, farlige eller på andre måter kritikkverdige forhold. Slike varslere burde premieres for sin gode gjerning. Noen ganger er det kritikkverdige forholdet så alvorlig og tjenesteveien så alvorlig forskrudd at varslere bør formidles på andre måter, sånn som i tilfellet Snowden.

 

Bolson: Jeg tar begrepsbruken til etterretning. Det var faktisk nytt for meg. Både "siktet" og at GDPR heter noe annet eller er innlemmet på andre måter her på berget.

Endret av Simen1
  • Liker 6
Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

Personopplysningene lå åpent offentlig tilgjengelig på offentlig sted. Det trengs ingen steiner for å plukke opp legejournaler fra fortauet eller personopplysninger fra kommunens vidåpne database.

 

Du er upresis. Personopplysningene låg ikke på offentlig sted. Ingenting var på offentlig sted. Det korrekte er følgende!

 

Det var lagret en fil med brukernavn og passord på ansatte og elever på et ikke autorisert sted i en mappestruktur i systemet. Mappestrukturen var tilgjengelig for en vanlig innlogget bruker (var ikke tilgjengelig utenfor systemet). Det var denne eleven fant for 6 mnd siden og varslet om - og som eleven sjekket opp igjen for noen dager siden. Da den fremdeles var der, altså varslet var ikke tatt følge, valgte han å logge seg inn med brukeren til en rektor og sende ut noen "tvilsomme" eposter fra denne brukeren.

 

Derfor blir din analogi feil, legejournalene står ikke på gata. Heller ikke ligger nøklene på gata. Men nøklene til arkivskapet/arkivrommet med legejournalene ligger en plss der de ikke skal, og hvor folk som ikke skal har tilgang.

 

Så juridisk sett gjorde faktisk eleven innbrudd - at han har funnet nøkkelen forandrer ikke dette. Men man kan klart si at hensikten helliget midlet - i og med at det ikke var reaksjon på tidligere varsel.

 

Når det gjelder om varselet kom fram eller ikke - dvs om faktisk de som hadde reell mulighet til å gjøre noe med feilen vet vi ikke noe som helst - det vil videre utredning av denne saken vise. Personlig tror jeg dette varslet har stoppet på veien pga varslers alder.

 

---

Ellers så aner vi ikke noe om det var et sikkerhetshull i tradisjonell forstand. Filen med brukernavn og passord kan ha vært der pga en oppdateringsjobb, glemt en eller annen gang osv. Vet ikke hva slags fil der er, trolig en sql-fil. Det vi vet er:

- Den var lagret et sted alle brukere av systemet har tilgang.

- Den inneholdt passord på en måte som gjorde at de kunne brukes (dvs klartekst eller dårlig hash).

 

Uten at jeg da sitter på alle svar - egentlig svært få så tyder det på:

1. Dårlige rutiner knyttet til systemfiler etc i eFeide.

2. Generelt manglende sikkerhetskultur.

3. Svake varslingsrutiner knyttet til "sikkerhetsbrudd" i datasystem.

 

Men det å glemme en fil med for mye info på et sted man ikke burde tror jeg de fleste har gjort - det er da det er viktig å ha systemer som fanger opp slike ting.

Lenke til kommentar
Eric Lithun

Eric Lithun

Skrevet
Skrevet

Hendelsen er et klassisk brukernavn og passord i klartekst som er kommet på avveier. Handler bare om håndteringssvikt, ikke IT system svikt. Svakeste ledd har feilet.

 

Det var sterkt misvisende i Bergen Kommune (BK) sin første pressemelding at det var et sikkerhetsbrudd knyttet til ett gitt system eFeide vårt FEIDE BAS system. Det ble oppdaget av Identum i vårt system for å administrere FEIDE for BK ja, burde snarere hatt ros. Gutten har ikke varslet til oss, men til BK direkte. "Feilen" startet et annet sted, FEIDE, eFeide og Identum ble trukket siden vi oppdaget og varslet. Lite IT forståelse i media gjorde at vi måtte forklare hva FEIDE er, og hvordan det ble driftet. Det ble dessverre klippet sammen på TV til bare snakk om FEIDE og Uninett. Ser Uninett og eFeide også er brukt som ilustrasjonsbilde. Beklageligvis.

 

Når det er sagt ville altså FEIDE kunne forhindret _deler_ av hendelsen som har vært. Hadde kunden aktiviteter to-faktor tidligere eller når de byttet til Identum som BAS leverandør. Det var endel av den opprinnelige planen, som av BK ble bestemt skulle vente til høsten 2018.

 

Lærdomenne er; at sluttbrukere må læres god egenrutiner på it sikkerhet og passord, at to-faktor MÅ aktiveres for de med utvidete rettigheter i ulike systemer, at det bare bør brukes FEIDE innlogging og ikke i tillegg gamle innloginger på siden, at når vavik avdekkes byttes alle passord øyeblikkelig.

 

OG at det må være en rutine for å ta varsler fra sluttbrukere seriøst!

 

Mvh

Eric Lithun

Daglig Leder

Identum

  • Liker 2
Lenke til kommentar
Eric Lithun

Eric Lithun

Skrevet
Skrevet

 

Uten at jeg da sitter på alle svar - egentlig svært få så tyder det på:

1. Dårlige rutiner knyttet til systemfiler etc i eFeide.

2. Generelt manglende sikkerhetskultur.

3. Svake varslingsrutiner knyttet til "sikkerhetsbrudd" i datasystem.

 

Men det å glemme en fil med for mye info på et sted man ikke burde tror jeg de fleste har gjort - det er da det er viktig å ha systemer som fanger opp slike ting.

 

 

Punkt 2 og 3 er riktig. 

 

Slik vi ser dette kan vår rolle sammenlignes med en låsesmed som har levert en låsesylinder til en dør. Når noen oppdager at uvedkommende har låst opp døren og vært inne i bygget uten lov. Klager noe på låsesylinderen og trekker inn leverandøren av den. Slik vi ser det er det en svikt i rutinene rundt å passe på nøkkelen.

 

Håper det er litt oppklarende :)

 

mvh

Eric

Daglig leder 

Identum

  • Liker 1
Lenke til kommentar
Eric Lithun

Eric Lithun

Skrevet
Skrevet

All honnør til eleven! Trist om Identum, eFeide eller Kommunen prøver å vinkle det som varsling er problemet og ikke de selv som har eksponert persondata til 35 000 personer.

 

 

Hei!

Vi understreke at Identum ikke ble varslet av elever, kommunen ble. "Feilen" stammer ikke fra vårt system, men ble avdekket av oss ved en rutine kontroll.

 

Om noen skulle varsle Identum om sikkerhetshull i våre produkter hadde vi tatt det seriøst, rost det og satt pris på det. Sånn bør det være i 2018.

  • Liker 1
Lenke til kommentar
Bolson

Bolson

Skrevet
Skrevet

 

Uten at jeg da sitter på alle svar - egentlig svært få så tyder det på:

1. Dårlige rutiner knyttet til systemfiler etc i eFeide.

2. Generelt manglende sikkerhetskultur.

3. Svake varslingsrutiner knyttet til "sikkerhetsbrudd" i datasystem.

 

Men det å glemme en fil med for mye info på et sted man ikke burde tror jeg de fleste har gjort - det er da det er viktig å ha systemer som fanger opp slike ting.

 

 

Punkt 2 og 3 er riktig. 

 

Slik vi ser dette kan vår rolle sammenlignes med en låsesmed som har levert en låsesylinder til en dør. Når noen oppdager at uvedkommende har låst opp døren og vært inne i bygget uten lov. Klager noe på låsesylinderen og trekker inn leverandøren av den. Slik vi ser det er det en svikt i rutinene rundt å passe på nøkkelen.

 

Håper det er litt oppklarende :)

 

mvh

Eric

Daglig leder 

Identum

Klart oppklarende - og da blir korrekt på 1 følgende:

- Dårlige rutiner (i BK) knyttet til filer med brukerinformasjon.

 

Du er sikkert enig med undertegnede at slik filer ikke skal eksistere noen sted.

  • Liker 2
Lenke til kommentar
ThomasRy

ThomasRy

Skrevet
Skrevet

"IT-ansvarlig" på barneskole er ofte en ung mann som sikkert er best på data. Du trenger ikke akkurat å kunne noe om IT for å få den posisjonen.

 

Disse har en viss udefinerbar og ulik kunnskap. De har en større og mer kompetent IT avdeling de skal henvende seg til da de ikke rekker til. De er i tillegg undervisere så IT-delen er bare i tillegg til å være et godt forbilde og læremester for våre unge håpefulle.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...