NTB - digi Skrevet 17. august 2018 Del Skrevet 17. august 2018 <br data-mce-bogus="1">Barneskole-elev varslet kommunen om sikkerhetshullet i vår. Da han ikke ble hørt, tok han saken i egne hender Lenke til kommentar
Populært innlegg Krozmar Skrevet 17. august 2018 Populært innlegg Del Skrevet 17. august 2018 Viser hvor viktig det er å ta barn på alvor, og ikke tenke at han/henne finner på ting... 11 Lenke til kommentar
Populært innlegg Simen1 Skrevet 17. august 2018 Populært innlegg Del Skrevet 17. august 2018 Gutten er under den kriminelle lavalder og blir ikke siktet i saken. Selvsagt ikke - man retter jo ikke baker for smed, som vi lærte på skolen. Men kommunen er nok over den kriminelle lavalder - blir de siktet i saken? 13 Lenke til kommentar
NorsknRev Skrevet 17. august 2018 Del Skrevet 17. august 2018 Betyr det at eleven var 7. klassing, eller yngre? Lenke til kommentar
Gjest Slettet-80wCWpIM Skrevet 17. august 2018 Del Skrevet 17. august 2018 "NRK er kjent med at kommunen sin IT-avdelinga blei varsla av den aktuelle skulen guten var elev ved." Vanskelig å ikke la seg imponere når man ser hvor mange instanser som er blitt informert, tilsynelatende uten at noe som helst konstruktivt har skjedd. Lenke til kommentar
Bolson Skrevet 17. august 2018 Del Skrevet 17. august 2018 Men kommunen er nok over den kriminelle lavalder - blir de siktet i saken? Nei, det kan de ikke. Men de kan få en kraftig bot. Skal man siktes må man bryte en paragraf i straffeloven, datainnbrudd regnes som innbrudd - feilene til kommunen er omfattet av andre lover. Ellers så er jeg faktisk ikke sikker på at dette er et sikkerhetshull, ut fra det jeg har lest er det her snakk om lagring av informasjon på en måte som ikke skal skje. Trolig en grov menneskelig feil. 1 Lenke til kommentar
Populært innlegg Simen1 Skrevet 17. august 2018 Populært innlegg Del Skrevet 17. august 2018 Persondata som passord og brukernavn for både ansatte og elever lå åpent. Det forundrer meg om ikke det er et grovt brudd på GDPR. I mine ører lyder "siktet for brudd på GDPR" riktig. En ærlig elev som varsler på riktig måte burde for det første blitt hørt og deretter premiert. At ingen hørte etter er bare de døve ørene sin feil. Han har heller ikke lastet ned eller videresendt persondata, ref. "ingen persondata på avveie". All honnør til eleven! Trist om Identum, eFeide eller Kommunen prøver å vinkle det som varsling er problemet og ikke de selv som har eksponert persondata til 35 000 personer. 12 Lenke til kommentar
007CD Skrevet 17. august 2018 Del Skrevet 17. august 2018 Gutten er under den kriminelle lavalder og blir ikke siktet i saken. Selvsagt ikke - man retter jo ikke baker for smed, som vi lærte på skolen. Men kommunen er nok over den kriminelle lavalder - blir de siktet i saken? Godt over kriminell lavalder! Så hele kommunen med bygg og land og alt, blir da buret inne i fengsel som resultat av dommen Lenke til kommentar
Lunaris Skrevet 17. august 2018 Del Skrevet 17. august 2018 "IT-ansvarlig" på barneskole er ofte en ung mann som sikkert er best på data. Du trenger ikke akkurat å kunne noe om IT for å få den posisjonen. Lenke til kommentar
Bolson Skrevet 17. august 2018 Del Skrevet 17. august 2018 Persondata som passord og brukernavn for både ansatte og elever lå åpent. Det forundrer meg om ikke det er et grovt brudd på GDPR. I mine ører lyder "siktet for brudd på GDPR" riktig. En ærlig elev som varsler på riktig måte burde for det første blitt hørt og deretter premiert. At ingen hørte etter er bare de døve ørene sin feil. Han har heller ikke lastet ned eller videresendt persondata, ref. "ingen persondata på avveie". All honnør til eleven! Trist om Identum, eFeide eller Kommunen prøver å vinkle det som varsling er problemet og ikke de selv som har eksponert persondata til 35 000 personer. Man kan ikke bli siktet for brudd på GDPR. Det er heller ikke noe som heter GDPR i Norge, det heter personopplysningslov og personvernforordningen. Man kan bli ilagt overtredelsesgebyr, tvangsmulkt og erstatning, akkurat som man kunne for brudd på tidligere personopplysningslov. Og det bruddet som skjedde her var omfattet av tidligere lov, fordi det var et konsesjonsbelagt system. Eneste forskjellen er potensielt gebyrnivå. En organisasjon kan heller ikke siktes for noe, det er noe som kun "personer" kan bli. Det å bli siktet eller få en siktelse - er er et begrep i straffeprosessen - med meget klar definisjon - og som medfører en helt spesifikk prosess. Og vi er ikke uenig i realitetene, men la oss for guds skyld være korrekte i begrepsbruken. ---- Og Identum og kommunen prøver ikke å vinkle det som om varsling er problemet. Følgende sier ansvarlig kommunaldirektør Trine Samuelsberg. "– Først vil eg berømma eleven for at han sa ifrå. Trass i at tinga han gjorde i etterkant ikkje er veldig konstruktive, anerkjenner me at han gir oss beskjed." Og som jeg alt har skrevet - realiteten her er trolig ikke et sikkerhetshull, men ekstremt dårlig sikkerhetskultur og rutiner. Det vil være det som Datatilsynet vil bøtelegge. Et sikkerhetshull er ikke i seg selv brudd på personopplysningensloven og forordningen, manglende reaksjon er det. 5 Lenke til kommentar
Tastaturskriver Skrevet 18. august 2018 Del Skrevet 18. august 2018 Det er sikkerhetshull over alt i samfunnet, utelukkende beskyttet av den enkeltes moral. Den lokale rema-butikken der jeg bor burde være ganske enkel å bryte seg inn i, bare ved å kaste en stor nok stein gjennom inngangsdøra. På innsida av butikken skal en ikke se bort fra at det ligger et arkivskap med sensitiv informasjon om de ansatte. For meg er det helt latterlig at enkelte her inne ser ut til å forherlige personer som «kaster stein» og bryter seg inn i IT-systemer, uansett hvilke motiver de måtte ha. Lenke til kommentar
Simen1 Skrevet 18. august 2018 Del Skrevet 18. august 2018 (endret) For meg er det helt latterlig at enkelte her inne ser ut til å forherlige personer som «kaster stein» og bryter seg inn i IT-systemer, uansett hvilke motiver de måtte ha. Analogien din er helt på bærtur. "35 000 legejournaler på fortauet utenfor legekontoret mens legen var på ferie" hadde vært en bedre analogi, bortsett fra at det ikke var helseopplysninger, men brukernavn og passord. Noe som kan eksponere en hel masse sensitiv informasjon. Eleven gikk tjenestevei og varslet om hullet. Eller "Fotgjengeren varslet legekontoret om at legejorunalene på fortauet". Ingen hørte etter eller brydde seg. Så alvorlig tar tar de varsler om brudd på personopplysnings-sikkerhet. Eleven gjorde ikke noe mer med saken, muligens i den tro at de faktisk ordnet opp. "Noen på legekontoret oppdaget senere at fotgjengeren hadde gått forbi legejournalene og visste hva som lå der (uten å ha snoket eller manipulert innholdet)". For å skifte fokus bort fra kommunens kritikkverdige omgang med personopplysninger velger du altså å henge ut varsleren. Kanskje mer forståelig nå? Eleven gjorde rett i å varsle. Kommunen eller dens leverandører gjorde noe alvorlig galt og gjorde ingenting for å rette det opp når de fikk beskjed om hva som var galt. Eleven burde blitt premiert. Kommunen eller dens leverandører burde fått en saftig smell for begge deler (selve sikkerhetsbristen og for å ikke ta varslet på alvor). Eleven gjorde ikke innbrudd. Personopplysningene lå åpent offentlig tilgjengelig på offentlig sted. Det trengs ingen steiner for å plukke opp legejournaler fra fortauet eller personopplysninger fra kommunens vidåpne database. Jeg synes egentlig du viser en ganske skremmende holdning mot folk som varsler om ulovlige, farlige eller på andre måter kritikkverdige forhold. Slike varslere burde premieres for sin gode gjerning. Noen ganger er det kritikkverdige forholdet så alvorlig og tjenesteveien så alvorlig forskrudd at varslere bør formidles på andre måter, sånn som i tilfellet Snowden. Bolson: Jeg tar begrepsbruken til etterretning. Det var faktisk nytt for meg. Både "siktet" og at GDPR heter noe annet eller er innlemmet på andre måter her på berget. Endret 18. august 2018 av Simen1 6 Lenke til kommentar
Nautica Skrevet 18. august 2018 Del Skrevet 18. august 2018 (endret) Da varselet hans ikke ble tatt tak i, valgte han å logge seg på som administrasjonsbruker for å sende ut et signal Noe ulovlig har eleven gjort ved å logge seg inn en plass hvor han ikke skal ha tilgang til. Endret 18. august 2018 av Nautica Lenke til kommentar
Bolson Skrevet 18. august 2018 Del Skrevet 18. august 2018 Personopplysningene lå åpent offentlig tilgjengelig på offentlig sted. Det trengs ingen steiner for å plukke opp legejournaler fra fortauet eller personopplysninger fra kommunens vidåpne database. Du er upresis. Personopplysningene låg ikke på offentlig sted. Ingenting var på offentlig sted. Det korrekte er følgende! Det var lagret en fil med brukernavn og passord på ansatte og elever på et ikke autorisert sted i en mappestruktur i systemet. Mappestrukturen var tilgjengelig for en vanlig innlogget bruker (var ikke tilgjengelig utenfor systemet). Det var denne eleven fant for 6 mnd siden og varslet om - og som eleven sjekket opp igjen for noen dager siden. Da den fremdeles var der, altså varslet var ikke tatt følge, valgte han å logge seg inn med brukeren til en rektor og sende ut noen "tvilsomme" eposter fra denne brukeren. Derfor blir din analogi feil, legejournalene står ikke på gata. Heller ikke ligger nøklene på gata. Men nøklene til arkivskapet/arkivrommet med legejournalene ligger en plss der de ikke skal, og hvor folk som ikke skal har tilgang. Så juridisk sett gjorde faktisk eleven innbrudd - at han har funnet nøkkelen forandrer ikke dette. Men man kan klart si at hensikten helliget midlet - i og med at det ikke var reaksjon på tidligere varsel. Når det gjelder om varselet kom fram eller ikke - dvs om faktisk de som hadde reell mulighet til å gjøre noe med feilen vet vi ikke noe som helst - det vil videre utredning av denne saken vise. Personlig tror jeg dette varslet har stoppet på veien pga varslers alder. --- Ellers så aner vi ikke noe om det var et sikkerhetshull i tradisjonell forstand. Filen med brukernavn og passord kan ha vært der pga en oppdateringsjobb, glemt en eller annen gang osv. Vet ikke hva slags fil der er, trolig en sql-fil. Det vi vet er: - Den var lagret et sted alle brukere av systemet har tilgang. - Den inneholdt passord på en måte som gjorde at de kunne brukes (dvs klartekst eller dårlig hash). Uten at jeg da sitter på alle svar - egentlig svært få så tyder det på: 1. Dårlige rutiner knyttet til systemfiler etc i eFeide. 2. Generelt manglende sikkerhetskultur. 3. Svake varslingsrutiner knyttet til "sikkerhetsbrudd" i datasystem. Men det å glemme en fil med for mye info på et sted man ikke burde tror jeg de fleste har gjort - det er da det er viktig å ha systemer som fanger opp slike ting. Lenke til kommentar
Sebastiana Skrevet 18. august 2018 Del Skrevet 18. august 2018 Du skal ikke få noe som helst straff for å først varsle dem vanlig uten at de hører på deg og så varsle dem med å benytte hullet. 1 Lenke til kommentar
Eric Lithun Skrevet 20. august 2018 Del Skrevet 20. august 2018 Hendelsen er et klassisk brukernavn og passord i klartekst som er kommet på avveier. Handler bare om håndteringssvikt, ikke IT system svikt. Svakeste ledd har feilet. Det var sterkt misvisende i Bergen Kommune (BK) sin første pressemelding at det var et sikkerhetsbrudd knyttet til ett gitt system eFeide vårt FEIDE BAS system. Det ble oppdaget av Identum i vårt system for å administrere FEIDE for BK ja, burde snarere hatt ros. Gutten har ikke varslet til oss, men til BK direkte. "Feilen" startet et annet sted, FEIDE, eFeide og Identum ble trukket siden vi oppdaget og varslet. Lite IT forståelse i media gjorde at vi måtte forklare hva FEIDE er, og hvordan det ble driftet. Det ble dessverre klippet sammen på TV til bare snakk om FEIDE og Uninett. Ser Uninett og eFeide også er brukt som ilustrasjonsbilde. Beklageligvis. Når det er sagt ville altså FEIDE kunne forhindret _deler_ av hendelsen som har vært. Hadde kunden aktiviteter to-faktor tidligere eller når de byttet til Identum som BAS leverandør. Det var endel av den opprinnelige planen, som av BK ble bestemt skulle vente til høsten 2018. Lærdomenne er; at sluttbrukere må læres god egenrutiner på it sikkerhet og passord, at to-faktor MÅ aktiveres for de med utvidete rettigheter i ulike systemer, at det bare bør brukes FEIDE innlogging og ikke i tillegg gamle innloginger på siden, at når vavik avdekkes byttes alle passord øyeblikkelig. OG at det må være en rutine for å ta varsler fra sluttbrukere seriøst! Mvh Eric Lithun Daglig Leder Identum 2 Lenke til kommentar
Eric Lithun Skrevet 20. august 2018 Del Skrevet 20. august 2018 Uten at jeg da sitter på alle svar - egentlig svært få så tyder det på: 1. Dårlige rutiner knyttet til systemfiler etc i eFeide. 2. Generelt manglende sikkerhetskultur. 3. Svake varslingsrutiner knyttet til "sikkerhetsbrudd" i datasystem. Men det å glemme en fil med for mye info på et sted man ikke burde tror jeg de fleste har gjort - det er da det er viktig å ha systemer som fanger opp slike ting. Punkt 2 og 3 er riktig. Slik vi ser dette kan vår rolle sammenlignes med en låsesmed som har levert en låsesylinder til en dør. Når noen oppdager at uvedkommende har låst opp døren og vært inne i bygget uten lov. Klager noe på låsesylinderen og trekker inn leverandøren av den. Slik vi ser det er det en svikt i rutinene rundt å passe på nøkkelen. Håper det er litt oppklarende mvh Eric Daglig leder Identum 1 Lenke til kommentar
Eric Lithun Skrevet 20. august 2018 Del Skrevet 20. august 2018 All honnør til eleven! Trist om Identum, eFeide eller Kommunen prøver å vinkle det som varsling er problemet og ikke de selv som har eksponert persondata til 35 000 personer. Hei! Vi understreke at Identum ikke ble varslet av elever, kommunen ble. "Feilen" stammer ikke fra vårt system, men ble avdekket av oss ved en rutine kontroll. Om noen skulle varsle Identum om sikkerhetshull i våre produkter hadde vi tatt det seriøst, rost det og satt pris på det. Sånn bør det være i 2018. 1 Lenke til kommentar
Bolson Skrevet 20. august 2018 Del Skrevet 20. august 2018 Uten at jeg da sitter på alle svar - egentlig svært få så tyder det på: 1. Dårlige rutiner knyttet til systemfiler etc i eFeide. 2. Generelt manglende sikkerhetskultur. 3. Svake varslingsrutiner knyttet til "sikkerhetsbrudd" i datasystem. Men det å glemme en fil med for mye info på et sted man ikke burde tror jeg de fleste har gjort - det er da det er viktig å ha systemer som fanger opp slike ting. Punkt 2 og 3 er riktig. Slik vi ser dette kan vår rolle sammenlignes med en låsesmed som har levert en låsesylinder til en dør. Når noen oppdager at uvedkommende har låst opp døren og vært inne i bygget uten lov. Klager noe på låsesylinderen og trekker inn leverandøren av den. Slik vi ser det er det en svikt i rutinene rundt å passe på nøkkelen. Håper det er litt oppklarende mvh Eric Daglig leder Identum Klart oppklarende - og da blir korrekt på 1 følgende: - Dårlige rutiner (i BK) knyttet til filer med brukerinformasjon. Du er sikkert enig med undertegnede at slik filer ikke skal eksistere noen sted. 2 Lenke til kommentar
ThomasRy Skrevet 20. august 2018 Del Skrevet 20. august 2018 "IT-ansvarlig" på barneskole er ofte en ung mann som sikkert er best på data. Du trenger ikke akkurat å kunne noe om IT for å få den posisjonen. Disse har en viss udefinerbar og ulik kunnskap. De har en større og mer kompetent IT avdeling de skal henvende seg til da de ikke rekker til. De er i tillegg undervisere så IT-delen er bare i tillegg til å være et godt forbilde og læremester for våre unge håpefulle. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå