Personopplysninger til 35.000 elever og lærere kan være på avveie etter datainnbrudd

Vedkommende har kommet seg inn i systemet på administratornivå, hvor man har tilgang til personopplysninger. Totalt dreier det seg om 35.000 brukere, men vi vet ikke ennå om vedkommende har benyttet seg av tilgangen til opplysningene, sier kommunaldirektør Trine Samuelsberg i Bergen til NTB.

Bergen kommune tror elever sto bak datainnbrudd

Innbruddet ble oppdaget sent mandag kveld. Kommunen har brukt tiden siden da til å kartlegge saken.

Administratornivå er det høyeste nivået man kan logge seg inn i systemet på. Samuelsberg bekrefter at innbruddet i påloggingsportalen eFeide er «en svært alvorlig sak». Hun kan ikke utelukke at personopplysninger til flere tusen personer er på avveie.

– Vi har ikke nok kunnskap foreløpig til å si noe om vedkommende har sett disse opplysningene og hva som eventuelt har skjedd med dem. Vi kjenner ikke til hvordan man har kommet seg inn i systemet eller hva som er motivet for innbruddet, sier hun.

Saken er meldt til Datatilsynet. Bergen kommune vurderer også å anmelde saken til politiet.

Ved å ta seg inn i eFeide på administratornivå – et nivå svært få personer har adgang til – har vedkommende fått tilgang til fødselsnummer, navn, adresse og kontaktinformasjon til elever og ansatte, ifølge en melding fra kommunen onsdag ettermiddag.

– Denne saken er alvorlig av flere grunner, det er et stort antall personer som kan være berørt, og mange av dem er barn. Vi registrerer også at leverandøren tar hendelsen alvorlig og har bidratt positivt til at tiltakene kan iverksettes så snart som mulig, sier rådgiver Magnus Kroken i avdeling for personvern og informasjonssikkerhet i kommunen.

Alle elever og ansatte ved alle de kommunale barne- og ungdomsskolene bruker eFeide som påloggingsportal til de nettbaserte læringsplattformene It`s Learning og Extense, ifølge   Bergensavisen.

Daglig leder Eric François Lithun i Identum, som har levert portalen, opplyser til NTB at ingenting tyder på at det er noen med virkelig onde hensikter som står bak innbruddet.

Mest sannsynlig er det snakk om at en eksisterende brukerkonto er misbrukt, og ikke et typisk hackerangrep.

– Det er ingenting som tyder på at personopplysningene til 35.000 personer er stjålet, men i det arbeidet vi gjør nå, må vi ta høyde for at det har skjedd, sier han.

Selskapet oppdaget selv innbruddet rundt 23.45 mandag. Kommunen jobber nå sammen med Identum for å ta rede på hva som har skjedd, hvordan det kunne skje og hva som er konsekvensen av innbruddet.

Kommunen har nå tatt flere grep for å skjerpe sikkerheten til systemet. Alle tilganger ble umiddelbart stengt da innbruddet ble oppdaget, og alle passord er nullstilt.

Administratorer har kunnet logge seg inn i én operasjon ved å skrive inn passord. Kommunen har nå bestilt et to-faktorsystem, som innebærer at man må identifisere seg to ganger før man blir logget på.

Kommunen vurderer også om det skal innføres et sporingssystem i systemet.

– Systemet vi har er godkjent i tråd med det nye personvernregelverket. Likevel avdekker hendelsen svakheter med sikkerheten. Den er nå forsterket. Vi vil at ansatte og elevene våre skal kunne stole på at informasjonen vi har om dem, blir tatt vare på på en trygg og sikker måte, sier Samuelsberg.

(©NTB)