– Ingen har brutt seg inn

Daglig leder i Identum AS Eric Lithu.

Daglig leder i Identum AS Eric Lithu. Foto:

Artikkelen er over 1 år gammel

Det er Bergens-selskapet Identum AS er som drifter påloggingsportalen e-Feide for Bergen kommune. De slo full alarm mandag kveld da de oppdaget at uvedkommende hadde vært inne i systemet.

DEL

Onsdag ettermiddag sendte kommunen ut en pressemelding om at uvedkommende har tatt seg inn i skolens brukeradministrasjon «e-Feide».

Den eller de som har vært inne i systemet har hatt tilgang til brukernes adresse, navn, personnummer og kontaktinformasjon.

– Største alvor

Identum drifter e-Feide for 300 kunder, deriblant Bergen kommune, som har vært kunde i omkring ni måneder.

Daglig leder Eric Lithun, sier til BA at det ikke er noen som har «brutt seg inn» eller hacket deres systemer for på den måten å få tilgang til personopplysninger til 35.000 brukere i Bergen kommune.

– Det vi oppdaget sent mandag kveld, ved en rutinesjekk, var at en uautorisert bruker har brukt en såkalt superbrukers tilgang. Vi vet ikke hvordan det har skjedd, men det kan være alt fra en tabbe til en bevisst handling. Uansett tar vi det på største alvor, sier Lithun.

Han sammenligner systemsvikten med at noen har kommet seg inn på en skole der de ikke skulle være.

– Enten har de fått tak i nøkkelen, eller så har de gått inn en åpen dør. Der inne kan de stjele noe, alt eller ingenting. Det er langt fra sikkert at noen har tappet de opplysningene de har hatt tilgang til, sier Lithun.

To-faktorinnlogging

– Hvordan oppdaget dere at uvedkommende hadde vært inne i systemet?

– Det var noen opplysninger der inne som ikke stemte, noe som var feil og som kan være et tegn på at noen kanskje har lekt seg litt, sier Lithun.

To-faktorinnlogging ble innført i kommunen i dag, onsdag, noe som hele tiden hadde vært planlagt skulle skje denne høsten. Det betyr at man får tilsendt en kode til mobiltelefon før man får logget inn.

– To-faktorinnlogging kunne kanskje avverget dette, men det vet vi ikke. Det er viktig for oss å formidle at det ikke er selve systemet som har hatt en feil, det er rett og slett noen uautoriserte som har kommet seg inn i systemet gjennom en autorisert brukers konto, understreker den daglige lederen.

Nye passord

25 minutter etter at sikkerhetsbruddet ble oppdaget, var alle de 19 superbrukerkontoene stengt.

– Samtlige lærere har i dag fått nullstilt sine passord til It's Learning, og må gå gjennom en prosedyre for å få laget seg ett nytt passord. De må klikke på en lenke, legge inn brukernavn og mobilnummer, få tilsendt et nytt passord på SMS og logge seg på igjen. Når elevene kommer på skolen skal de selv lage nye passord med veiledning av læreren sin, sier kommunaldirektør for barnehage, skole og idrett, Trine Samuelsberg til BA.

Artikkeltags