Varsler to millioner i bot til Oslo kommune etter Aftenpostens avsløring om sikkerhetshull i skole-app

Datatilsynet mener sikkerhetshullene Aftenposten avslørte i Oslo-skolens nye app er svært alvorlige.

Ved skolestart i fjor høst fikk svært mange foreldre ved Oslos skoler beskjed om å ta appen Skolemelding i bruk til kommunikasjon med skolen. Nå har Datatilsynet konkludert med at Oslo kommune ikke hadde sikret appen godt nok. Olav Olsen

3. mai 2019 13:44 Sist oppdatert 3. mai 2019

Datatilsynet gir Utdanningsetaten i Oslo kommune sterk kritikk og varsler to millioner kroner i overtredelsesgebyr etter at Aftenposten i fjor høst avslørte det tilsynet betegner som «alvorlige» sikkerhetshull i den nye skoleappen.

– Vi anser selvsagt dette som svært alvorlig, noe som gjenspeiles i at dette er det høyeste gebyret vi har varslet etter at de nye personvernreglene trådte i kraft, sier direktør i Datatilsynet, Bjørn Erik Thon.

De nye reglene trådte i kraft fra juli i fjor.

– Vi har lagt vekt på at det er en stor mengde informasjon som kunne ha kommet på avveie. Derfor er det snakk om et så høyt gebyr, presiserer Thon.

Tilsynet fikk i oktober beskjed fra kommunen om at sikkerhetshullet er tettet.

– Vi forutsetter at sikkerhetshullene er tettet, at det er gjennomført god sikkerhetstesting, og at det gjøres regelmessig, legger Thon til.

Appen Skolemelding ble tatt i bruk ved skolestart i fjor høst, og skulle gi foreldre til mer enn 63.000 barn og unge i hovedstaden en ny måte å kommunisere med skolen på. På sikt skal den erstatte både e-post og SMS.

Det var bare ett problem: Aftenposten fant etter et tips store sikkerhetsmangler ved den nye appen.

Alle som logget inn, og andre med kjennskap til hullet, kunne i teorien skaffe seg tilgang til kommunikasjonen om elevene.

Les også Alvorlig sikkerhetshull: Private meldinger om elevene i Oslo-skolen lå tilgjengelige på nettet

Datatilsynets direktør Bjørn Erik Thon sier at saken er alvorlig blant annet fordi barn har vært utsatt. Mariam Butt, NTB scanpix

63.000 elever rammet

Sårbarheten som er avdekket innebærer en potensiell tilgang til personopplysninger om Osloskolens mer enn 63.000 elever.

– Barn er definert som en sårbar gruppe i personvernregelverket da de ikke kan ivareta sine egne rettigheter og friheter selv. Det krever et særskilt vern av deres opplysninger. At barn har vært utsatt, har vi lagt vekt på som en skjerpende omstendighet, sier Thon.

Gjennom appen sendes det ut uskyldig gruppeinformasjon om lekser og hva barna i klassen har gjort. Men det kan også være fortrolig kommunikasjon mellom lærere og foreldre om sykdom, fravær, mobbing og konflikter i hjemmet, bare ment for den enkelte foresatte.

Men sikkerhetshullet gjorde at alle som kunne logge inn, og som har litt kunnskap om nettverk og IT, i teorien kunne få tilgang til alle meldinger som sendes om alle barn. Også kommunikasjon gjennom appen internt mellom lærere, andre ansatte og skoleledelsen var tilgjengelig med samme metode.

– Kunne unngås

Selskapet som har utviklet appen tettet sikkerhetshullet etter at Aftenposten konfronterte Utdanningsetaten (UDE) med funnene. Samtidig sendte UDE en avviksmelding til Datatilsynet. Nå har Datatilsynet reagert med å varsle Oslo kommune ved UDE en bot på to millioner kroner.

Tilsynet legger blant annet vekt på at mangelfull sikkerhetstesting før lansering førte til at appen ble lansert med sårbarheter som er godt kjent i sikkerhetsmiljøer verden over.

– Det finnes en liste som også ligger ute på våre nettsider med oversikt over de vanligste sikkerhetsfeilene i blant annet apper. Sikkerhetshullet i denne appen står på denne listen. Derfor mener vi at dette kunne unngås. Her har kommunen vært uaktsom, sier Thon.

Han mener at dette kunne unngås hvis kommunen hadde testet appen før den ble gjort tilgjengelig.

Kommunen har fått en frist til 1. juni for å komme med sitt syn på varselet.

Les også Private meldinger om elever var på avveie i Oslo-skolen: – Tenker det er trygt med MinID

Ble tettet igjen umiddelbart

Kommunikasjonsdirektør Trine Lie Larsen i UDE skriver i en e-post til Aftenposten at IT-systemene i skolen skal være sikre, og det er ekstra viktig når det er snakk om informasjon om barn.

– Vi så derfor svært alvorlig på det, da vi ble gjort oppmerksom på denne sikkerhetssvakheten 6. september 2018, og sikkerhetshullet ble tettet umiddelbart. Det er ikke noe som tyder på at noen andre har forsøkt å komme inn i systemet enn personen som gjorde Aftenposten oppmerksom på saken. Alle brukerne fikk informasjon om svakheten.

– Ble systemet testet? Og hvorfor ble ikke dette oppdaget?

– Leverandøren hadde sikkerhetstestet systemet, men leverandøren rakk ikke å varsle etaten om svakheten før Aftenposten henvendte seg til oss. Etter hendelsen satte vi i gang enda flere omfattende sikkerhetstester, både fra leverandøren og kommunens side, og leverandøren og vi gjør nye risikovurderinger og tester før hver nye endring i systemet, sier hun.

Etaten har foreløpig ikke tatt stilling til gebyret og vil gi sitt svar til tilsynet innen fristen.

Enda bedre løsning før skolestart

Tilsynet reagerer også på at appen ikke inneholder noen opplysninger om at foreldre ikke skal sende sensitive personopplysninger om barna, som helseopplysninger, via appen.

– Gjelder dette fremdeles?

– Ja, det mener vi. Skal man kommunisere sensitive personopplysninger, så må også løsningen ligge til rette for det med tilsvarende god informasjonssikkerhet ende-til-ende. Det er derfor å anbefale at man legger til rette for at så lite som mulig kommuniseres i slike løsninger, for å begrense risikoen for at avvik skal skje, svarer Thon.

Larsen sier at de opplyser om dette når appen blir lastet ned.

– Dette står også under «mer opplysninger» i appen og på skolenes nettsider. Og så jobber vi med å lansere en ny teknisk løsning der det ikke vil være mulig å sende meldinger via appen når man varsler om fravær. Denne løsningen kommer senest ved skolestart, sier Larsen.