Martin Braathen Røise Skrevet 25. januar 2019 Rapporter Del Skrevet 25. januar 2019 Kommunen nekter å godta historisk GDPR-bot: - Vi er redd dette skal skape presedens Lenke til kommentar
Gjest Slettet+987123849734 Skrevet 25. januar 2019 Rapporter Del Skrevet 25. januar 2019 Feide er ikke et administrasjonssystem. Feide er en IDP eller "Feide er den nasjonale løsningen for trygg innlogging i utdanning og forskning" som de beskriver seg som https://www.feide.no/ Hvor mange ganger må man si at denne saken ikke har noen ting med feide å gjøre? Lenke til kommentar
RHP7ZBT7 Skrevet 25. januar 2019 Rapporter Del Skrevet 25. januar 2019 Saken har med Feide å gjøre, fordi det ikke stilles skikkelige krav til håndtering av passord i implementasjonene. Lenke til kommentar
Gjest Slettet+987123849734 Skrevet 25. januar 2019 Rapporter Del Skrevet 25. januar 2019 Saken har med Feide å gjøre, fordi det ikke stilles skikkelige krav til håndtering av passord i implementasjonene. Passord lagres hos de forskjellige leverandørene av påloggingsdata (for eksempel kommunene) Feide vil sende påloggingsforespørselen videre til kommunens system for autorisasjons. Hvordan kommunen oppbevarer passordene er utenfor feide sin kontroll. Om kommunene lagrer passordene som klartekst, så er dette et kommunalt problem, ikke et feide problem. Feide får bare "OK, godkjent" eller "Feil passord" og har ikke noe forhold til hva passordet faktisk er. Så nei, dette er ikke et feide problem. Feide benytter seg at SAML2 protokollen som stort sett alt av "delte påloggingsløsninger" bruker. Det er eFeide som har levert løsningen til Bergen kommune. eFeide og feide har ingenting med hverandre å gjøre, bortsett fra at eFeide har rappet (?) navnet til feide https://www.feide.no/nyhet/datatilsynet-og-media-sammenblander-«efeide»-og-feide-i-bergen-sak Lenke til kommentar
Spoki0 Skrevet 26. januar 2019 Rapporter Del Skrevet 26. januar 2019 Ble de ikke varslet om sårbarheten også, uten at de gjorde noe med det? Lenke til kommentar
Simen1 Skrevet 26. januar 2019 Rapporter Del Skrevet 26. januar 2019 Boten er etter mitt skjønn på riktig nivå. Saken skal sette presedens. Dette er noe Bergen kommune bør ta inn over seg og ikke forsøke å bagatellisere ved å ønske seg generelt lavere bøtenivå for GDPR-brudd. Neste gang kan det like gjerne være de som sitter på motsatt side av bordet. 2 Lenke til kommentar
Sandormen Skrevet 26. januar 2019 Rapporter Del Skrevet 26. januar 2019 Problemet med GDPR-loven, er at den er fryktelig upresis. Sånn den er nå, burde komme med en animert gif som sier ‘under construction’ ala de man så på websider opp gjennom hele 90-tallet. Sånn den er nå risikerer feil entitet å bli sittende med skjegget i postkassa, og de som burde fått regninga for slett arbeid får gå. Ikke akkurat et heldig lovverk. Lenke til kommentar
frodenerd Skrevet 26. januar 2019 Rapporter Del Skrevet 26. januar 2019 Dette problemet har med at passordene til elevene i feide var tilgjengelig. I seg selv ikke et problem med feide, men siden feide brukes til å logge inn på mange andre løsninger så er denne boten egentlig ganske lav. Skjønner at det er praktisk å ha oversikt over elevenes passord, når elevene ikke har egen mailadresse eller andre måter å finne igjen glemte passord. 1 Lenke til kommentar
Skatteflyktning Skrevet 27. januar 2019 Rapporter Del Skrevet 27. januar 2019 Litt morsomt når det offentlige bøtelegger det offentlige, og det offentlige nekter å betale. 6 Lenke til kommentar
G Skrevet 27. januar 2019 Rapporter Del Skrevet 27. januar 2019 (endret) Er bare å ta fram søknadpapirene, søke staten om å få del av kaken, da Staten ikke er mer berettiget enn deg på å få beholde bøtepengene Er jo EU som har utarbeidet loven, så da skulle vel EU hatt bøtepengene og ikke den norske stat, bare for å fyre opp litt under bålet. Endret 27. januar 2019 av G Lenke til kommentar
MrL Skrevet 27. januar 2019 Rapporter Del Skrevet 27. januar 2019 Problemet med GDPR-loven, er at den er fryktelig upresis. Selvsagt? Loven er jo åpenbart laget med intensjon å være ubegripelig vanskelig å forstå, så pengebingen til EU kan fylles opp. Lenke til kommentar
0laf Skrevet 27. januar 2019 Rapporter Del Skrevet 27. januar 2019 (endret) Litt morsomt når det offentlige bøtelegger det offentlige, og det offentlige nekter å betale. Det er vel egentlig ikke morsomt i det hele tatt, det de gjør er kun å bruke noen millioner kroner i administrasjon og krangling, av våre skattepenger, for så å flytte 1.6 millioner kroner av ... wait for it ... våre skattepenger, fra Bergen kommune til Datatilsynet, eller hvem enn som får de til slutt ! Endret 27. januar 2019 av 0laf 1 Lenke til kommentar
Gjest Slettet+5132 Skrevet 27. januar 2019 Rapporter Del Skrevet 27. januar 2019 Litt morsomt når det offentlige bøtelegger det offentlige, og det offentlige nekter å betale. Synes nå det er et sunnhetstegn jeg*, det betyr at det offentlige ikke er hardt koblet sammen, og at kontrollinnstansene tørr stå opp mot andre offentlige etater. Det gir en indikasjon på at vi har maktfordeling i samfunnet. * Nå mener jeg at Bergen kommne absolutt har gjort en feil her og må betale, men at det er uenighet i seg selv mener jeg faktisk er bra. Lenke til kommentar
qualbeen Skrevet 28. januar 2019 Rapporter Del Skrevet 28. januar 2019 Bergen kommune har vel sannsynligvis fortsatt ikke forstått problemet i saken? De prøvde seg jo på å vinkle saken over på gutten som tilfeldigvis fant filen med alle passordene: Han som valgte å varsle egen rektor og lærere, ble stemplet som cyber-kriminell av skole og kommune. Politiet ble pussig nok med på notene, og valgte å sende en større patrulje til guttens hjem. Der buset de inn og beslagla alt av PC'er, nettbrett, etc. Bare fordi gutten fant en fil på skolens nettverk. (Filen var tilgjengelig – krevdes ikke noe hacking for å lese den)... Datasikkerhet er ikke enkelt. Men det er jammen ikke enkelt å prøve å være good guy, og å varsle de rette instanser, dersom man skulle snuble over noe usikkert. Når man stemples som kriminell fra første stund – får man da lyst til å varsle igjen, nesten gang? Hvorvidt siktelsen mot guttungen fortsatt foreligger, eller om kommunen har trukket den tilbake, vet jeg dessverre ikke noe om. Ei heller har media skrevet om hvorvidt PC-utstyret omsider ble tilbakelevert. Spør du meg, er det muligens berettiget med et mot-søksmål mot kommune og politi. Hvorfor kan man bli behandlet og mistenkeliggjort som skyldig og nærmest kriminell i en slik sak? Ja, jeg vet at gutten til slutt valgt å logge seg inn som rektor. Varslene han ga, fikk jo ingen respons. Ingen brydde seg! Så tilslutt logget han seg inn som rektor, og sendte ut en melding som fortalte hvor usikkert opplegg kommunen hadde. Korrekt måte å få nødvendig oppmerksomhet på? Kanskje ikke. Kanskje burde gutten ha henvendt seg til media eller lignende? Jeg vet ikke helt. Men ... han er jo bare et barn. Og han ønsket sterkt å få slutt på at rektor-passordet lå åpent på intranettet! Så noe måtte faktisk gjøres! (Å mase internt i skole og kommune for n'te gang var ikke noe alternativ. De lyttet ikke. Og hadde brukt mange måneder på å ikke lytte..!) Konklusjon: all skam på kommunen og de udugelig rutinene de har (eller; kanskje mangel på rutiner)? Det er bare å vedta boten, og egentlig håpe at saken forsvinner så fort som mulig. Håper også Bergen kommune har prøvd å etterkontrollere om sikkerhetshullet noen sinne ble utnyttet. (Hvilken som helst elev kunne i praksis logge seg inn som rektor, og endre egne og andres vitnemål). Selv om jeg tviler på at de har brukt ressurser på det. 2 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå