Omfattende sikkerhetsbrudd i Vismas prestisjesystem: Opptil 25.000 elever og ansatte berørt

En rekke personopplysninger om flere tusen elever og ansatte i Viken fylkeskommune har vært tilgjengelig for brukere av Vismas nye datasystem «InSchool». Selskapet opplyser at feilen nå er fikset og at det ikke har grunn til å tro at informasjon har kommet på avveie.

MILLIONKONTRAKT: Vigo IKS har bladd opp 560 millioner kroner for det nye IT-systemet fra Visma. Vis mer byoutline Visma

Publisert: Publisert: 31. januar 2020 13:23

Gamle Akershus fylkeskommune, nå Viken, var den første som tok i bruk Vismas nye IT-system i august i fjor.

Om alt går etter planen skal samtlige videregående skoler i hele landet ha tatt i bruk systemet i løpet av neste år.

Det skybaserte datasystemet skal brukes av ansatte på skolene, elever og foresatte. Blant annet for å administrere timeplaner, fravær og karakterer.

Nå viser det seg at en omfattende mengde personopplysninger om samtlige elever og lærere har vært tilgjengelig for alle som har tilgang til systemet. Det vil si alle elever og lærere.

Ifølge en avviksmelding fra fylkeskommunen, som E24 har fått innsyn i, kan 25.000 personer potensielt være berørt av sikkerhetsbruddet.

– Mange opplysninger

Dette inkluderer blant annet fullt navn, personnummer, adresse, om eleven har rett på gratis skolemat og om han eller hun har fritak i gym og sidemål.

– Det er mange personopplysninger om enkeltelever på en gang, sier kommunikasjonsdirektør Janne Stang Dahl i Datatilsynet.

Fredag opplyser fylkeskommunen til E24 at avviket eksisterte hos alle skolene som har tatt i bruk det nye systemet.

– Feilen berørte potensielt alle, men det er ikke hentet ut informasjon fra alle skolene, sier seniorrådgiver Egon Nybo Skaar.

TILGJENGELIG: Personopplysninger om flere tusen elever og ansatte kunne hentes ut av andre elever. Vis mer byoutline Privat

Trengte tilgang til systemet

Feilen lå i en del av systemet der ansatte ved skolene kan opprette avtaler som elever deltar i.

En elev trengte imidlertid ikke å ha brukt avtalefunksjonen selv, eller å ha vært en del av en avtale for å dukke opp i materialet man kunne hente ut.

For å få tilgang til opplysningene trengte man innlogging til skolens system. En elev hadde dermed ikke tilgang til opplysninger om elever og ansatte ved andre skoler enn sin egen.

Les også Læreropprør etter Vismas rekordkontrakt: – Uforsvarlig

Har ikke kontaktet de berørte

Til tross for en omfattende mengde personopplysninger har ikke de berørte blitt kontaktet av fylkeskommunen.

I avviksmeldingen som ble sendt til Datatilsynet fredag forrige uke, skriver fylkeskommunen at de foreløpig ikke har oversikt over hvem som er berørt, men at det potensielt dreier seg om alle elever og ansatte ved en skole.

«Det er foreløpig vår vurdering at det ikke er nødvendig å informere den enkelte, men vil vurdere en melding til alle registrerte når vi har bedre oversikt over saken», skriver fylkeskommunen.

I et nytt brev mandag denne uken opplyste fylkeskommunen til Datatilsynet at de anser feilen som fikset, uten at den har hatt negative konsekvenser for deres brukere.

«Vi avslutter saken fra vår side», heter det videre i brevet.

I en e-post til E24 viser fylkesdirektør Solveig Olsen til at de forrige uke fremdeles vurderte hvordan saken skulle håndteres videre. Hun understreker at de denne uken valgte å informere offentlig om feilen på Vikens nettsider. I tillegg opplyser hun at rektorer og skoleledelse har blitt informert om avviket.

– Vi ser alvorlig på alle brudd på personvernet og jobber kontinuerlig med å forbedre informasjonssikkerheten knyttet til tjenestene våre, skriver Olsen.

Rekordkontrakt

Det var i 2013 at Visma sikret seg det som ble beskrevet som selskapets største kontrakt noensinne: Å lage et felles system for videregående skoler i hele landet.

Prislappen for å leie systemet i ti år var på 560 millioner kroner, betalt av det interkommunale selskapet Vigo IKS, som er innkjøper av systemet.

Siden august i fjor har pilotfylket Akershus, nå Viken, meldt om en rekke oppstartsproblemer. Lærere har meldt om store feil og mangler, og tillitsvalgte har beskrevet situasjonen som «fullstendig uholdbar».

Bakgrunn: Feil i nytt datasystem til 560 millioner kroner

STENGT: Visma stengte den berørte delen av tjenesten etter at de ble varslet om feilen. Vis mer byoutline Skjermdump

Visma: - En glipp

Det ble krisemøter hos Visma da de ble varslet om sikkerhetsbruddet torsdag forrige uke, og den berørte delen av tjenesten ble stengt. Lørdag kveld opplyste selskapet til fylkeskommunen at feilen var rettet.

– Vi ser på alle slike avvik som alvorlige, sier administrerende direktør Leif Arne Brandsæter i Visma Enterprise til E24.

Han mener at det så langt ikke er noe som tilsier at en «betydelig mengde data er hentet ut».

– Av det vi har kjennskap til nå så har åtte ulike IP-adresser vært inne i grensesnittet. Vi ser åpenbart på dette som alvorlig. Det er ikke ubetydelig at disse opplysningene kunne hentes ut, sier han.

– Hvorfor har dere ikke oppdaget denne feilen selv?

– Hadde jeg hatt svaret på det, så hadde ikke denne situasjonen oppstått. Vi skulle ha testet denne delen av systemet mer inngående. Dette er et system som samhandler med mange systemer. Her har det nok vært en glipp i testingen.

Løpende dialog

Fylkesdirektør Solveig Olsen i Viken skriver i en e-post til E24 at de har oversikt over når og hvor mange ganger informasjonen har blitt hentet ut. Hun understreker at de ikke har informasjon som tilsier at informasjonen har blitt hentet ut av andre enn de som oppdaget feilen.

– Vår leverandør jobber videre for å sikre at data ikke er utilsiktet tilgjengelig. Viken fylkeskommune på sin side jobber kontinuerlig med å forbedre informasjonssikkerheten knyttet til tjenestene våre.

– Vil dette få konsekvenser for deres bruk av Visma InSchool?

– Viken fylkeskommune vil fortsette å ha kontinuerlig fokus på at løsningen skal være sikker og har løpende dialog med leverandøren om utviklingen av VIS, skriver Olsen.

Les også 143 skoler skal ta i bruk Visma-system i 2020: – Det blir en løpende risikovurdering

Sårbar gruppe

Datatilsynet ble varslet om feilen torsdag forrige uke, og er nå i gang med å undersøke saken nærmere. Jurister og teknologer skal blant annet gjennomgå omfanget av saken og hvilke tiltak som er satt inn.

– Vi tar slike avviksmeldinger på høyt alvor. Barn, ungdom og skoleelever er en spesielt sårbar gruppe. De er unge, og skal få vokse opp med å være sikre på at personvernet deres blir godt ivaretatt, sier kommunikasjonsdirektør Janne Stang Dahl.

– Vi skal ha tillit til at det offentlige, skoler, barnehager og steder der barn oppholder seg store deler av sitt unge liv, ivaretar personvernet på en god måte.

Her kan du lese mer om Visma Viken Datatilsynet Akershus Tjenester Personvern Skole