Tvingas stänga ner skolplattform: ”Skandal”

Stockholm stad tvingades stänga ner Skolplattformen efter att en förälder upptäckt en personuppgifts-läcka.
Den här artikeln publicerades ursprungligen på lararnastidning.se

Personnummer och omdömen för 140 000 elever i Stockholm har legat öppet att komma åt för alla inloggade på stadens skolplattform. Säkerhetsluckan upptäcktes av en förälder och Stockholms stad har stängt ner plattformen.
– Jag tycker det är skandal, säger föräldern.

Stockholms stad bekräftar att det finns en säkerhetslucka.

"Vid lunchtid i dag stängdes en del i skolplattformen. Den del som är tillfälligt stängd är elevdokumentation där det finns personuppgifter om elever och lärare. Stockholms stad ser allvarligt på det inträffade", skriver Stockholms stad i ett mejl.

Föräldern som fick fram uppgifterna berättar för TT att han gjorde det på fem minuter.

- Jag är ingen säkerhetsexpert eller hacker och är man duktig på det här så är det nog ännu enklare, säger han.

Enligt Stockholms stad arbetar man med att ta reda på hur detta kunde ske.

- Nu pågår en utredning för att se dels vad som hänt, omfattningen av det och vilka nödvändiga åtgärder vi behöver göra för att kunna öppna modulen igen, säger Johanna Engman, it-direktör vid Stockholms stad, till TT.

Digitaliseringsminister Anders Ygeman (S) ser allvarligt på händelsen.

- Det är upprörande och uppseendeväckande. Här har man investerat tusen miljoner av skattebetalarnas pengar i ett system som inte fungerar och som förefaller har allvarliga säkerhetsbrister, säger han till TV4 Nyheterna.

Anne-Marie Eklund-Löwinder, säkerhetschef vid Internetstiftelsen, är kritisk till hur enkelt det gick till att få fram så här känsliga uppgifter - i synnerhet då det handlade om barns personuppgifter.

- I dag vet allt fler hur man kodar. Här var det inga unika kunskaper som krävdes, det var busenkelt, säger hon.

Personen som fick fram uppgifterna berättar att plattformen var väldigt långsam och då han är webbutvecklare ville se hur den var uppbyggd. Efter några minuter fick han fram både för-, efternamn och personnummer på lärare. Därefter fick han fram samma information för alla elever i Stockholms stad och även deras omdömen.

- På det sätt personen fick fram informationen pekar på att det inte finns något skydd i databasen som hindrar att en inloggad person ska kunna plocka ut andra uppgifter än de har rätt till, säger Eklund-Löwinder.

Hon tillägger att personuppgifter i dag är hårdvaluta och säger att det samtidigt finns ett slags rosa skimmer över samhällets digitalisering och e-tjänster.

- Det här har vi inte råd med från samhällets sida, att förtroendet naggas i kanten för de digitala tjänsterna. Att den här typen av förhållandevis triviala brister uppdagas allt som ofta, säger hon.

Hon tillägger att det sannolikt finns liknande säkerhetsbrister på andra plattformar.

- Jag tror att det här är ett generellt problem som man måste ta på största allvar, säger Anne-Marie Eklund-Löwinder.

Plattformen används av 140 000 elever, 23 500 skolpersonal samt runt 200 000 vårdnadshavare på 177 skolor och 600 förskolor.

Plattformen har tidigare fått kritik för bland annat de höga kostnaderna. Datainspektionen har även mottagit flera anmälningar om personuppgiftsincidenter kopplade till plattformen. Över tusen elever ska förra året ha fått sina personuppgifter spridda till obehöriga från Skolplattformen och bland annat ska frånvaro-sms skickats till fel vårdnadshavare och att personuppgifter från en elev med skyddad identitet röjts, rapporterade SVT Stockholm.