Gutt avslørte datahull: Her har vi alle noko å lære

Av

Sonen vår fann i vår 35.000 passord som Bergen kommune hadde lagt i ei open fil. Det kan både kommune, politi og foreldre lære noko av.

DEL

MeningerGuten fann ei fil der brukarnamnet og passordet hans sto, samt 35 000 andre. Passorda til IT-administratorar i kommunen var òg på lista. Han varsla både oss og skulen, som melde saka vidare til IT-avdelinga i Bergen kommune. Både skulen og vi trudde at saka var tatt hand om.

Då Bergen kommune i august melde frå om at nokon hadde fått tilgang til passord og personopplysningar i deira system trudde vi difor at det var snakk om ei heilt anna sak. Men den som sto bak var sonen vår, som var frustrert over at ingenting blei gjort med det han meinte var eit oppsiktsvekkande hol i IT-tryggleiken til medelevar, lærarar og andre. Han hadde lagt inn adressa jegharallepassordene@sikkerhetenderessuger.no, og logga seg på som rektor på skulen, og sendt ut meldinga «Jeg er en elev og har alle passordene. Mitt passord er XXXXX123» til drøyt 300 personar.

Bergen kommune slo alarm og sende ut pressemelding.

Kommunen såg i sine loggar at IP-adressa som var brukt i dei to handlingane var den same som ein grunnskuleelev ofte brukte til  å logge seg på sin Itslearning-konto. Deretter melde kommunen saka til politiet som datainnbrot, og vi fekk fem politifolk på døra.

Datatilsynet har enno ikkje konkludert, men allereie no er det mykje å lære av saka.

Som foreldre er vi sjølvsagt skuffa over at sonen vår varsla på ein ulovleg måte. Vi har forstått at datakunnskapene hans er langt større enn vi trudde, og lært mykje, som kanskje kan vere til nytte for andre foreldre:

Om barnet ditt sluttar å spele dataspel, og synest det er artigare å programmere, kan det vere fare på ferde. Dette kan føre til at barnet oppdagar store, svake punkt i IT-tryggleiken, som dei vaksne burde ha oppdaga.

Dersom barnet ditt fortel at det har funne ein masse passord på skulen, så ikkje ta det for gitt at alt er i orden berre fordi skulen har meldt frå om dette fleire gonger: Det er ikkje sikkert at kommunen gjer noko med det. 

Ein skuleelev kan på kort tid lære meir om programmering ved å sjå på youtube enn du vil lære i eit heilt liv. Men teknisk kunnskap går ikkje alltid hand i hand med kunnskap om kva som er etisk og juridisk forsvarleg. Skulane gir lite opplæring i meir avansert databruk, og det finst ikkje tilrettelagte tilbod slik barn med til dømes gode reknekunnskapar får. Hacking er noko det blir romantisert om på nettet, så her bør foreldre vere vakne og følge med.

Kommunar bør ta barn på alvor. Dei lærer seg data i stadig yngre alder:

Filer som inneheld passord i klartekst og sensitive persondata bør ikkje opprettast, og slikt må oppbevarast utilgjengeleg for barn - og vaksne.

Ha eit system der folk, inkludert barn, kan melde frå om sikkerheitsavvik. Ikkje gøym det bort som «Responsible disclosure policy».

Bruk lærarar og andre tilsette på skolane. Dei kjenner elevane, og gjer ein framifrå jobb kvar dag. Om du som kommunal IT-ansvarleg finn ut at ein elev ser ut til å ha logga seg på som rektor og sendt ut epost: Undersøk saka litt før du melder frå til politiet. Ta ein telefon til rektoren og lærarane til eleven, som kan oppklare det meste av saka.

Å politimelde unge elevar får store konsekvensar: Barna må møte i diverse politiavhøyr, skrive under protokollar der dei er omtalt som «sikta i straffessak», og får namnet sitt oppført i datasystema til politiet. Familien blir meld til barnevernet, og politiet tek beslag i alt datautstyr. Her visste kommunen at det truleg var ein grunnskuleelev som hadde funne passorda, men valde likevel å melde saka til politiet.

Når Bergen kommune først blir varsla av ein elev om eit tryggleikshol kan det vere på sin plass å gi ros til eleven, men samtidig forklare at ein ikkje kan varsle slik. Sonen vår har hatt vanskar med å forstå korfor han skal varsle neste gong han finn eit stort sikkerheitshol hos Bergen kommune, når resultatet er at politiet tek alt datautstyret hans. Ein kan ikkje vente at eit barn held seg til vaksne varslingsrutinar til punkt og prikke.

Politiet kan og lære noko av ei slik sak.

Når Bergen kommune varslar om datainnbrot gjort av ein skuleelev, og både alder, namn og adresse er kjent, så ta høgde for at familien vil samarbeide med dykk om saka. Kanskje er det ikkje naudsynt å sende fem politifolk heim til dei?

Ikkje lov ungar at dei «snart får utstyret tilbake», når politiadvokaten nokre dagar seinare gir kontramelding, og seier at utstyret truleg aldri blir levert tilbake igjen. Å ta med seg alt utstyret til eit datainteressert barn er inngripande, og det er det same utstyret som blir brukt til lekser og å sende ut epost frå rektors konto.

Neste gong ein kommune ringjer for å melde eit forhold, så still dei gjerne nokre kritiske spørsmål før de går til aksjon. Kanskje er dette noko kommunen bør rydde opp i sjølv?

No er saka nær ferdig etterforska. Guten er under den kriminelle lågalder, og vil ikkje bli straffa, men det er enno ikkje avklart om politiet vil inndra det sjølvbygde datautstyret hans.

Både Bergen kommune og politiet har kvar for seg gjort det dei meiner er riktig i saka, men balansen blir likevel feil. Sonen vår har hatt dei beste intensjonar om å varsle, men blei ikkje tatt på alvor. Når han så varsla for andre gong gjorde han det dessverre på ein måte som braut lova, men det blei i det minste lagt merke til, slik at Bergen kommune fekk fjerna passordfila. Reaksjonen han opplever frå styresmaktene er utelukkande negativ: Inndragning, avhøyr og ein kommune som peiker på han som problemet. Det svekkar IT-tryggleiken til Bergen kommune, for det gir liten grunn for andre til å melde frå ein annan gong.

Ungane treng utfordringar og trygge arenaer der dei kan lære. I dag er det ikkje så mange tilbod for datainteresserte barn og unge. Om Bergen kommune, Lær Kidsa Koding, fylkeskommunen og IT-næringa i regionen går saman kan ein skape eit tilbod som både betrar IT-tryggleiken og gir barn og unge ein tidleg start på det som kan vere framtidas yrkesliv. Vi bidreg gjerne med idear og innspel. De har IP-adressa vår!

BA gjør oppmerksom: Av hensyn til den mindreårige gutten er forfatterne bak dette innlegget anonymisert. BA kjenner deres identitet.

Skriv ditt leserbrev her «

DELTA I DEBATTEN! Vi oppfordrer leserne til å bidra med sine meninger, både på nett og i papir

Artikkeltags