Sønnen varslet kommunen om datahull – fikk politiet på døren
Da kommunen meldte om datainnbrudd skjønte ikke foreldrene at det var sønnen deres det handlet om. Han hadde jo varslet kommunen om sikkerhetshullet for lenge siden.
«Det kan jo ikke vaere saken til vår sønn, den er vel ordnet opp i for lenge siden.» Det var den første tanken til foreldrene da de leste pressemeldingen Bergen kommune sendte ut 15. august i år.
Der sto det at uvedkommende hadde fått tilgang til personopplysninger om laerere og elever på skoler i Bergen, etter å ha brutt seg inn i brukersystemet «e-Feide», der det er passord til skolenes It’s learning-plattform.
To dager seinere, i åttetiden om morgenen, ringte politiet på døren.
– Da forsto vi at det måtte vaere «vår» sak, sier faren.
– Vi skyndet oss å sende de andre barna på skolen, legger moren til.
Støtte fra IT-miljøet
Av hensyn til sønnen ønsker de å vaere anonyme. Men de lar seg intervjue, og har skrevet et leserinnlegg for å få frem hva vi alle kan laere av denne saken, som første gang ble omtalt av NRK.
At en barneskoleelev kunne finne et sikkerhetshull med passord og andre personopplysninger til 35.000 elever og foresatte i bergensskolen, vakte også oppsikt i IT-miljøet nasjonalt.
Foreldrene forteller at sønnen har fått mye støtte fra folk som kan IT-sikkerhet, og de er kritiske til kommunens håndtering av saken.
Denne eleven fortjener kake, ikke straff, sa passordekspert Per Torsheim til NRK Hordaland.
Foreldrene visste at sønnen kunne en del programmering. Men de ante ikke at han var så datakyndig. Det forsto de først da syvendeklassingen i vår kom hjem og sa: «Mamma, de er utrolig dårlig på sikkerhet i Bergen kommune.»
– Har du varslet om det, da? spurte jeg. Og det bekreftet han. Han hadde gitt beskjed til laererne, som varslet videre til kommunen, forteller moren.
– Han er genuint opptatt av datasikkerhet og ble sjokkert over det han fant, sier faren.
– Var frustrert
Skolen varslet kommunen i mai. Foreldrene regnet altså med at sikkerhetshullet var tettet da tre politietterforskere og to teknikere i august kom hjem til dem og hentet sønnens telefon og selvbygde PC, samt laptopen han brukte på skolen.
Det skjedde etter at gutten hadde sendt ut en falsk e-post fra rektors konto da han i sommer oppdaget at sikkerheten ikke var blitt bedre.
– Han var frustrert over at ikke noe ble gjort. Men det var lite voksent å sende den e-posten, sier far.
– Han er jo et barn, man kan ikke regne med at et barn vet hvordan man varsler korrekt, supplerer mor.
I ettertid har de snakket mye med sønnen om data og etikk. Han begikk et lovbrudd og har fått seg en vekker, men foreldrene mener saken kunne vaert løst på en annen måte.
– Hvis kommunen hadde ringt skolen, ville rektor kunne fortalt hvem som sannsynligvis hadde gjort dette. For det er få andre elever med slike datakunnskaper, sier far.
– Han gjorde jo ikke noe for å skjule sine spor, han gjorde det for at dette skulle bli oppdaget, sier mor.
Tips til kommunen
De tror det
i fremtiden kan komme liknende saker fra enda yngre, datakyndige elever. For det vil alltid kunne oppstå feil og mangler i datasystemer, og barn blir stadig mer kompetente.
Derfor har de i leserinnlegget formulert noen tips til foreldre, kommune og politi. Blant annet at kommunen bør opprette et varslingssystem for sikkerhetsavvik og kontakte de som kjenner eleven før man melder slikt til politiet.
– Nå har kommunen fått midler til å ruste opp systemet sitt. Det er jo en positiv effekt av denne saken, sier far.
Han forteller at det går greit med sønnen, selv om det var ubehagelig med politiavhør og at de rutinemessig ble meldt til barnevernet.
– Saken blir henlagt, men jeg er usikker på om kommunen forstår rekkevidden når de anmelder et barn. De bør tenke nøyere over sin reaksjonsmåte, sier mor.
Venter på Datatilsynet
Foreldrene forstår at det er lett å tro det verste når man oppdager dataangrep, men mener man bør vente litt med å plassere ansvaret.
– Har dere fått noen beklagelse fra kommunen?
– Ikke annet enn at de erkjenner at sikkerhetshullet ble meldt fra om før. Og at de beklager oppfattelsen av at kommunen skyldte på eleven, sier faren og refererer til skolebyrådens uttalelse til NRK.
Kommunaldirektør Trine Samuelsberg understreker at kommunen tar ansvar for sikkerhetsbruddet og at det var mulig for eleven å finne det.
– Saken ble anmeldt før vi visste at det var en elev som hadde begått et sikkerhetsbrudd med høy risiko. Da måtte vi anmelde. Først seinere viste det seg at det var en elev som tidligere hadde varslet, sier skoledirektøren.
– Er det noe ved håndteringen dere vil beklage?
– Det viktigste er at vi tar ansvar. Det er et lovbrudd, og da politianmelder man. Vi har forståelse for belastningen det medfører for familien, sier Samuelsberg.
Hun er enig med foreldrene i at varslingssystemet for avvik ikke er godt nok, og legger til at det jobbes med å bedre dette.
Datatilsynet har nå saken til vurdering, men det er usikkert når den er klar.
– Det tar litt tid før de blir ferdige. Dette er den første saken i Norge etter at de nye personvernreglene kom i juli, og den kan skape presedens, forklarer faren.
Samuelsberg vil ikke spekulere i hva Datatilsynet vil konkludere med, men understreker at kommunen har laert mye av denne saken.