Politiet og Bergen kommune har fått sterk kritikk for handteringa av ein 13-åring som avslørte eit sikkerheitshol i kommunen sine datasystem.

Den då tolv år gamle guten oppdaga i fjor vår at brukarnamn og passord til 35.000 lærarar og elevar i bergensskulen låg ope tilgjengeleg på elevnettet.

Eleven varsla, men ingenting skjedde. Guten tok seg difor ulovleg inn i systemet. Det enda med razzia heime hjå familien, og inndraging av datautstyret hans.

KRITIKK: Vest politidistrikt fekk krass kritikk for at dei hevda at guten sine handlingar hadde skada Bergen kommune sitt omdømme. Deretter trekte dei tilbake grunngjevinga. Foto: Simon S. Brandseth / NRK

Frykta fiendtlege angrep

Men inndraginga stoppa ikkje eleven frå nye eksperiment med kommunen sitt datasystem.

Sjølv om han berre sat att med ein midlertidig skule-PC, klarte eleven tre veker seinare på ny å skapa trøbbel for kommunen si IT-avdeling.

Dokumentasjon NRK har fått tilgang til, viser at IT-avdelinga 6. september slo full alarm. Årsak: Ein nettverksorm spreidde seg frå datamaskin til datamaskin på kommunen sitt elevnett.

Digitaliseringsdirektør Kjetil Århus seier spreiinga skjedde i høg fart, og at kommunen frykta dei stod overfor eit fiendtleg angrep.

– Når me ser ein slik type aktivitet på nettet vårt, så trykker me på den store raude knappen, seier han.

Nasjonalt tryggingsorgan (NSM) blei varsla, og det eksterne IT-tryggleiksfirmaet mnemonic blei henta inn for å analysera angrepet.

Foto: Even Norheim Johansen / NRK

Ufarleg virus blei sendt til 8.000 elevar

Totalt rakk ormen, eller skriptet, å spreia seg til 8.000 datamaskiner. Ormen blei stansa med eit stoppskript som låg i koden eleven hadde brukt.

Mellom det som låg til rette for den raske spreiinga, var at kommunen hadde brukt same administrator-passord på alle datamaskinene.

Undersøkingane Århus og kollegaane bestilte, viser at føremålet til koden var å samla inn teknisk informasjon om elevnettet.

– Såg de saka tidleg i samanheng med det som hadde skjedd tre veker i førevegen?

– Det tok litt tid før me såg ein samanheng. Første fasen var litt uoversikteleg, før me oppdaga at aktiviteten gjekk mot same bydel og same skule der det hadde vore ei hending nokre veker tidlegare, fortel Århus.

Kommunen gjekk nok ein gong til politiet. For andre gong på tre veker banka dei dermed på døra til 13-åringen og hans familie.

– Skulle finna talet på IP-adresser

– Me blei sjølvsagt overraska og forferda. Det er ikkje slik at du ynskjer å få politiet på døra når du har ein ung, datainteressert gut i huset, seier faren til guten, som no går i åttandeklasse.

Av omsyn til eleven, er faren anonymisert.

Ifølge han var målet til sonen å finna ut kor mange IP-adresser som var tilknytte elevnettet i bergensskulen.

– Han var nok litt sur på kommunen på det tidspunktet, fordi han akkurat hadde fått beskjed om at han ikkje ville få tilbake utstyret sitt. Men han hadde ingen intensjon om å skada kommunen, seier faren.

Han seier at guten truleg ikkje hadde tenkt over konsekvensane ved å senda ut nettormen.

– Han har nok gjort dette for å visa for seg sjølv kor mykje han kan. Men når du er 13 år, hender det at du gjer ting som ikkje er så veldig gjennomtenkte, seier faren.

13-ÅRINGEN SIN FAR: Faren til den 13 år gamle eleven seier guten ikkje hadde til intensjon å skada skulen. Foto: Even Norheim Johansen / NRK

Tryggleiksfirma: – Fiendtleg programvare

Under gjennomgangen fann mnemonic så avansert koding at dei mistenkte at eleven, som då hadde byrja i åttandeklasse, samarbeidte med eksterne.

... det er elementer med avansert kode som bruker konsepter vi ikke forventer forståelse av hos en 12-åring. mnemonic om dataangrep initiert av skuleelev

Dei fann òg programvare dei omtalar som fiendtleg og som kunne ha skada kommunen sine system. Men dette hadde ikkje guten tatt i bruk. Han hadde heller ikkje prøvd å skjula det for kommunen.

– Når du er ung og oppdagar data så lastar du nok ned mykje forskjellig programvare. Det er ikkje ulovleg. Det er ingenting som tyder på at han hadde til hensikt å bruka dette, seier far til guten.

Det ser ut som han delvis har «prøvd for å se hva han får til», uten å tenke for mye på konsekvenser og mulighet for å bli oppdaget. IT-sikkerheitsfirmaet om kor avansert kodinga er

Tek sjølvkritikk

Digitaliseringsdirektør Århus seier kommunen tek sjølvkritikk for at ein elev med låne-PC kunne ramma systemet på denne måten.

– Me har eit ansvar å sørga for at systemet er så godt skrudd saman at ein ikkje får gjennomført denne type hendingar, seier Århus.

Han påpeiker at elevar har tilgang til elevnettet slik tilsette i kommunen har til intranettet, og at det er vanskeleg å gardera seg fullt ut mot «interne angrep».

– Men eg tenker at me stansa dette ganske raskt, og at det viser at me har rutinar for å stansa denne type aktivitetar.

– Likevel blei det som viste seg å vera eit ufarleg skript spreidd til 8000 elevar. Kva seier det om sikkerheita i IT-systemet?

– Me har god sikkerheitskompetanse. Me har gode avtalar med ytterlegare spisskompetanse, og dialog med tryggingsorgan og -miljø. Då me hadde trong for å analysera koden, kunne me gjera eigne analysar. Me fekk oversikt over situasjonen og fann måtar å handtera det på, ganske raskt, seier Århus.

Har stramma inn tryggleiken

Ormangrepet frå den no 13 år gamle guten får no konsekvensar for andre.

– Mellom anna medfører innskjerpingane at elevar får innskrenka rettane sine på elevnettet, seier Århus.

Elevar i bergensskulen har etter hendinga også fått avgrensa tilgang via skule-PC-ane.

Difor tok politiet inn elevutstyret

Verken kommunen eller politiet har tidlegare ynskt å kommentera denne andre hendinga 13-åringen sto bak.

Men no stadfester Vest politidistrikt at ormangrepet i september bidrog til at dei valde å ta frå guten datautstyr.

– Me har skrive ut eit inndragingsførelegg basert på all informasjonen me har, seier påtaleleiar Gunnar Fløystad i Vest politidistrikt til NRK.

Politiet avviste først at det var snakk om andre forhold enn det som allereie var kjent gjennom media. Men då politidistriktet fekk kritikk for å påstå at eleven skada kommunen sitt omdømme, stadfesta påtaleleiaren overfor NRK at saka var meir kompleks enn det ein først kunne få inntrykk av.

– Det handlar om ei sak mot ein veldig ung gut og det er ikkje rett av oss å skildra i detalj kva me har skrive ut eit førelegg for. Det er viktig å understreka at dette ikkje er ei straff, men inndraging av eit veldig avgrensa omfang med utstyr, seier Fløystad.

Guten sin far reagerer på at politiet forsvarar inndraginga av utstyret med hendinga som skjedde tre veker seinare.

– Politiet har ikkje heimel til å inndra utstyr som beviseleg ikkje er nytta i ei straffbar handling. Utstyret var jo allereie tatt beslag i då den andre hendinga skjedde, seier faren, som viser til at advokaten har retta fleire innvendingar mot førelegget.

PÅTALELEIAR: Gunnar Fløystad i Vest politidistrikt ynskjer ikkje kommentera detaljane i handlingane som 13-åringen stod bak. Foto: Anette Berentsen / NRK

– Marginale endringar kunne ha skada systemet

Utover å skapa svært mykje trafikk på nettverket, var ormangrepet utan konsekvensar for kommunen.

Men ifølge rapporten frå mnemonic kunne berre marginale endringar i skriptet ha gjort skade i kommunen sitt system.

Dei viser til at guten ikkje forstod omfanget av det han skreiv i kodane, og difor enkelt kunne ha gjort skade – utan at det hadde vore målet.

Digitaliseringsdirektør Kjetil Århus seier kommunen ikkje fann grunnlag for å ilegga eleven restriksjonar etter at han ulovleg tok seg inn i systemet første gong.

– Han hadde veldig gode hensikter då han varsla oss i mai. Me har beklaga at hans varsel ikkje blei gripe fatt i, og vårt mål var at eleven skulle gå tilbake til ein trygg og god skulekvardag, med same føresetnader som dei andre elevane, seier Århus.