Advarer andre kommuner etter sikkerhetsbrudd

 – Når du får beskjed om at noe har skjedd, er responsen på det et eneste stort nei, sier Grunt.

Nylig fortalte hun på et webinar i regi av Foreningen Kommunal Informasjonssikkerhet (KiNS) om erfaringene med sikkerhetsbruddet.

For å illustrere følelsen som hun satt med 7. mai i fjor da Innlandet som ett av tre fylkeskommuner ble rammet av et sikkerhetsbrudd hos Conexus, viste hun et bilde av Edvard Munchs maleri «Skriket.» 

– Du tenker et stort nei på grunn av de 12.500 elevene og de 2.500 ansatte som blir berørt. Et stort nei med tanke på dem som bor på hemmelig adresse. Et stort nei med tanke på den økte risikoen for ID-tyveri som vi utsetter disse personene for. Det er også et nei for arbeidet vi nå vet ligger foran oss og en intens følelse av at alt haster og alt må gjøres på en gang, sa Grunt.

Flere kommuner har det siste året opplevd noe lignende. I januar ble Østre Toten kommunes datasystemer utsatt for et såkalt løsepengevirus. 

I september i fjor ble flere kommuner i Hedmark utsatt for dataangrep fra hackere.

Åpent i seks uker

Sikkerhetsbruddet skjedde hos leverandørens skybaserte programvare Conexus Engage. Programvaren brukes til å forebygge frafall og lager analyser ved å hente personopplysninger.

Conexus gjorde en feil i forbindelse med oppdatering av en loggfører i Conexus Engage den 23. mars. Feilen førte til at systemet hadde en åpen port mot internett fra 23. mars til 5. mai. 

Innlandet ble informert av Conexus den 7. mai. 

For Innlandets del kunne personopplysninger som blant annet navn, fødselsnummer, fødselsdato, kjønn og e-postadresse for 12.500 elever og 2.500 lærere være på avveie. 

– Ikke lett tilgjengelig

For elever var det også mulig å gjenskape informasjon som identifiserer skole og kommunetilhørighet, fravær, karakterer fra første og andre termin og midtveisvurderinger samt eventuelle skriftlige kommentarer til termin- og midtveisvurderinger. Det viser rapporter fra kontrollutvalg i fylkene som ble laget i etterkant. 

Ifølge dataselskapet Conexus vil det å sammenstille personopplysningene i loggserveren være krevende, men sikkerhetsbruddet satte en støkk i ledelsen i Innlandet fylkeskommune.

Ledelsen i Innlandet fant fram rutinene som er laget for hendelser med personavvik og satte sammen et kjerneteam som tok tak i hendelsen og opprettet kontakt med fylkesrådmennene og fylkessjefene for videregående skole i alle tre fylkene. 

– I en kort periode ble det litt mye armer og bein. Vi følte for å springe i vei og gjøre noe med én gang, men det er riktig å ha oppmerksomhet på de riktige tingene. Det handler mye om å finne ut hva man skal gjøre, i riktig rekkefølge.

• Les også:Dette bør du gjøre for å unngå hackerangrep
• Les også: Digitale møter kan bryte personvernloven

Jobbet sammen

De tre fylkene gikk ut med felles informasjon den 14. mai. Da hadde de fått detaljert informasjon om hvem som var berørt og kontaktet dem. Fylkene sendte også en felles beskjed til Datatilsynet den 7. mai. Fylkesmennene og hovedverneombud ble også informert. 

– Vi var samkjørte og enige om hva som hadde skjedd. Vi laget spørsmål og svarark med fakta, slik at alle berørte kunne gi svar som var kvalitetssikret. 

– Hva har dere lært etter hendelsen?

– Vi har skjerpet rutinene for anskaffelser. Enten man skal kjøpe noe stort eller smått, så må man sjekke at alt rundt sikkerhet og personvern er på plass. Det er lett bare å tenke på et funksjonelle når man skal kjøpe et system, men man må sjekke at infrastrukturen hos leverandøren er god, det er også et lovkrav. Det er en stor jobb, og det krever kompetanse. 

Hendelsen førte til at Innlandet fikk en knekk i tillit til leverandøren, men bruker Conexus fortsatt etter nøye undersøkelser.

– Vi har ingen grunn til ikke å stole på dem. Vi har også tenkt på hva som ville skjedd hvis dette hadde rammet alle elleve fylker, for eksempel VIGO-systemet (nettstedet for blant annet alle som søker videregående opplæring i skole, red.anm.) Er vi beredt til å håndtere det? Det er jeg usikker på.

– Hvilke råd vil du gi andre kommuner for å hindre noe lignende?

– Det er ikke mulig å gardere seg 100 prosent. Men det er egentlig nesten så enkelt som å følge lovkravene for blant annet informasjonssikkerhet i blant annet forvaltningsloven, eforvaltningsforskriften og personopplysningsregelverket og ha på plass systemer og rutiner. Det er også viktig å ha en formalisert anskaffelsesprosess. 

Henlagt av politiet

Conexus fikk vite om bruddet da en ukjent tredjepart sendte selskapet en e-post med persondata de hadde hentet ut fra systemet. Sør-Øst politidistrikt avdekket at et israelsk firma sendte e-posten. Alle tre fylkeskommunene anmeldte datainnbrudd til politiet. Det samme gjorde Conexus. Anmeldelsen fra fylkeskommunene er nå henlagt.

Det er fremdeles uvisst om uvedkommende har lastet ned informasjon om elever og ansatte, men fylkeskommunene må ta høyde for at det har skjedd. Den antatt største konsekvensen for de registrerte er ID-tyveri eller annen form for svindel.

– Vi vet ikke om noen hentet ut informasjon i løpet av de seks ukene. Informasjonen lå ikke lett tilgjengelig, men det er ubehagelig ikke å vite om det har skjedd. Det er usikkerheten etterpå som er ubehagelig. Man blir redd.