Oscar (17) og Thomas (17) avdekket sikkerhetshullet i Vismas nye IT-system: – Amatørmessig

Det omfattende sikkerhetshullet i Vismas prestisjesystem «InSchool» berørte flere tusen elever og ansatte. Feilen ble oppdaget av Oscar Sortland Kolsrud (17) og Thomas Kolderup Selvig (17).

De to er elever ved Rud videregående skole i Bærum, der de går elektrofag med dataelektronikk.

– Det fremstår som amatørmessig at Visma ikke har oppdaget dette før systemet ble tatt i bruk, sier Kolsrud til E24.

Fredag skrev E24 om det omfattende sikkerhetsbruddet i Vismas nye «InSchool».

En feil i IT-systemet førte til at en rekke personopplysninger om tusenvis av elever og ansatte ved skoler i Viken fylkeskommune var tilgjengelige for alle med tilgang til skolens systemer.

Visma opplyser at feilen ble fikset forrige lørdag, to dager etter at de ble varslet om avviket.

– Dette er en sak som ikke skulle ha skjedd. Vi har gjort mye for å ivareta personsikkerheten, men på akkurat dette området hadde vi ikke testet godt nok, sier administrerende direktør Leif Arne Brandsæter i Visma Enterprise.

Bakgrunn: Opptil 25.000 elever og ansatte berørt

Fant personopplysninger om medelever

Han understreker at de ikke har grunn til å tro at personopplysninger har kommet på avveie.

Til tross for at Visma har rundt 100 ansatte som jobber med sikkerhet, gikk feilen under radaren frem til Kolsrud og Selvig tok en nærmere titt på systemet.

Avviket ga dem tilgang til personopplysninger om over 1.000 av deres medelever, samt flere hundre lærere på skolen. Blant annet fullt navn, personnummer, adresse og hvilke elever som har fritak i gym eller sidemål.

I tillegg var feilen den samme på alle andre skoler som har tatt i bruk systemet.

Krevde tilgang til systemet

Daværende Akershus fylkeskommune var den første som tok i bruk det nye IT-systemet i fjor. Om alt går etter planen skal alle videregående skoler i hele landet ha tatt i bruk systemet i løpet av neste år.

Oscar Sortland Kolsrud forklarer at feilen lå i en del av systemet der ansatte ved skolene kan opprette avtaler som elever deltar i.

En elev trengte imidlertid ikke å ha brukt avtalefunksjonen selv, eller å ha vært en del av en avtale for å dukke opp i materialet man kunne hente ut. Det bekrefter også fylkeskommunen.

– Det eneste som kreves for tilgang er en pålogging til systemet, som alle som har en tilknytning til skolen har blitt tildelt, forklarer Kolsrud.

For å få tilgang til opplysningene trengte man innlogging til skolens system, og elevene hadde dermed ikke tilgang til opplysninger om elever og ansatte ved andre skoler enn sin egen.

Kritiske

Ifølge fylkeskommunen var alle skoler som har tatt i bruk det nye systemet omfattet av sikkerhetshullet.

– Feilen er heldigvis isolert til at man må ha tilgang til systemet for å finne informasjonen. Likevel: Dette er ikke greit, sier Kolsrud.

De to er svært kritiske til at selskapet ikke oppdaget feilen selv, og mener denne burde ha vært funnet før systemet ble tatt i bruk av pilotfylket.

– Jeg føler ikke at personvernet vårt er ivaretatt, sier Selvig.

Fylkesdirektør Solveig Olsen i Viken skriver i en e-post til E24 at de via Visma har oversikt over når og hvor mange ganger sikkerhetshullet har blitt brukt. De berømmer elevene for å ha meldt ifra.

– Kan elever og ansatte være trygge på at deres personvern blir ivaretatt?

– Viken fylkeskommune ser alvorlig på alle brudd på personvernet og jobber kontinuerlig med å forbedre informasjonssikkerheten knyttet til tjenestene våre, skriver fylkesdirektøren.

Visma: Takknemlige

Selskapet bak tjenesten vedgår at avviket aldri burde ha funnet sted.

Administrerende direktør Leif Arne Brandsæter i Visma Enterprise sier at de er takknemlige for at elevene kontaktet dem da feilen ble oppdaget.

– Hvorfor har ikke de som jobber med å utvikle dette systemet oppdaget feilen, når disse elevene oppdaget den?

– Vi har veldig mye kompetanse, og nesten 100 stykker som jobber med sikkerhet. Noen ganger kan det skje feil likevel. Disse elevene var flinke og kompetente.

– Er dere avhengige av brukere som oppdager slike feil?

– Vi er i relativt liten grad avhengig av brukere som oppdager feil. Vi har ikke hatt noen slik historikk med tilsvarende systemer. Dette er en av de større løsningene vi har levert, men normalt sett klarer vi oss uten. Vi er likevel glade for at vi har gode, kompetente brukere, sier han.

Brandsæter understreker at de ser alvorlig på saken, og at det ikke er «ubetydelig at disse opplysningene kunne hentes ut».

– Vi har virkelig gjort alt vi kan for å rette opp i denne svakheten.

– Lett å finne

Brandsæter mener at man «må være svært datakyndig» for å kunne nyttegjøre seg av avviket.

– Det er ikke slik at det lå åpent tilgjengelig, sier han.

– Men den har vært tilgjengelig for dem som eventuelt er interesserte i slike personopplysninger?

– Ja. Man har kunnet hente ut opplysninger om man har vært elev og datakyndig nok, sier han.

Elevene Kolsrud og Selvig går en linje som er beregnet for dem som ønsker seg inn på ingeniør-studier, og de vedgår at de har god kunnskap på området. Likevel mener de at den var lett å finne.

Bekymret

De to 17-åringene er spesielt bekymret for at informasjonen kunne ha blitt brukt til svindel, eller hemmelige adresser blitt lekket.

E24 har fått innsyn i hendelsesrapporten fra Visma. Der skriver selskapet at personnummer er det mest konfidensielle som har blitt eksponert, i tillegg til øvrige data av «mer triviell karakter» – som navn, adresser og telefonnummer.

Samtidig konkluderer Visma med at ingen sensitive opplysninger, eller hemmelige mobilnummer eller adresser er eksponert.

– Hvordan kan dere slå fast at ingen hemmelige adresser eller telefonnummer er en del av opplysningene som har vært tilgjengelige?

– Av det vi kjenner til nå, er ingen hemmelige adresser rammet. Denne infoen har ikke vært tilgjengelig for uthenting, sier Brandsæter til E24.

Datatilsynet undersøker

Datatilsynet er nå i gang med å gjennomgå saken.

De vil så langt ikke slå fast hvorvidt personopplysningene er sensitive eller ikke.

– Her ser det ut som om det er mange personopplysninger som har vært eksponert, fra fødselsnummer til navn og annen informasjon om enkeltelever, sier kommunikasjonsdirektør Janne Stang Dahl til E24.

– Vi vil gå gjennom hva slags type personopplysninger som har vært synlige, og vurdere det samlet, legger hun til.