Agder fylkeskommune i ny dataskandale

Adresselister for 14.000 fylkeskommunalt og kommunalt ansatte på Agder har ligget åpent for elever i videregående skole. En elev som varslet ble ikke tatt på alvor.

Ny dataskandale i Agder fylkeskommune (Foto: Jo Vegard Aardal/Agder fylkeskommune)
Ny dataskandale i Agder fylkeskommune (Foto: Jo Vegard Aardal/Agder fylkeskommune)

Agder fylkeskommune er råket av en ny dataskandale kort tid etter at sikkerhetsbruddet i programvaren Conexus Engage ble avslørt.

Elever i de videregående skolene i fylket har gjennom søk i global adresseliste i Outlook hatt tilgang til informasjon om ansatte i fylkeskommunen samt i de kommunene på Agder som omfattes av samarbeidet gjennom IKT-Agder.

Daglig leder i IKT-Agder, Rune Johansen (Foto: IKT-Agder)
Daglig leder i IKT-Agder, Rune Johansen (Foto: IKT-Agder)

- Selskapet er et interkommunalt IKT-driftsselskap som leverer tjenester som blant annet omfatter brukersupport, drift av utstyr, nettverk, systemforvaltning, prosjektledelse kontraktsforvaltning og IKT-rådgivning, sier daglig leder Rune Johansen.

Global adresseliste lå åpen for elever

Totalt omfatter IKT-samarbeidet rundt 14.000 ansatte. Informasjon om disse er blitt eksponert for elever mens lekkasjen ikke har gått motsatt vei – altså at alle ansatte kunne se elevinformasjon i de aktuelle kommunene.

Den globale adresselista skal for de ansatte bare inneholde navn, telefonnummer, epostadresse og avdeling. I utgangspunktet ikke sensitiv informasjon. Varsleren – en elev som ønsker å være anonym – har overfor avisen Agderposten demonstrert hvor enkelt det var å slå opp i Outlook og finne informasjon – bl.a. om hvem som står oppført som besøkshjem i barnevernstjenesten og hvordan man kan finne fram til telefonnummer som skal være reservert mot visning, men som likevel kommer fram i Outlook.

Videre hvordan store mengder epostadresser kan bli hentet ut. Kriminelle kan bruke slike lister kombinert med personopplysninger f.eks. til phising.

Ikke tatt på alvor

Lekkasjen kan ha oppstått i forbindelse med kommunesammenslåingen på Agder 1. jan. 2020 og tilhørende omlegging og segregering av datasystemene.

Elevens første varsel om feilen - trolig til egen skoleadministrasjon - ble ikke tatt på alvor og nådde ikke fram til fylkeskommunen. Først da eleven tok kontakt med Agderposten i juni i år, ble hullet i datasystemet tettet.

Saken har visse likhetstrekk med skandalen der filer med brukernavn og passord til over 35 000 brukere (i hovedsak barn) i Bergen kommune lå tilgjengelig for elever og ansatte i grunnskolen. Eleven som varslet ble truet med politianmeldelse – noe som ble droppet da Datatilsynet fikk saken. I stedet ble kommunen ilagt et gebyr på 1,6 mill. kr.

Meldt til Datatilsynet

Avdelingsleder jus og informasjonssikkerhet i Agder fylkeskommune, Anne Kristin Lindseth (Foto: Agder fylkeskommune)
Avdelingsleder jus og informasjonssikkerhet i Agder fylkeskommune, Anne Kristin Lindseth (Foto: Agder fylkeskommune)

- Agder fylkeskommune har rutinemessig sendt en avviksmelding til Datatilsynet. Det er fylkeskommunen som behandlingsansvarlig som sitter med ansvaret for behandlingene som skjer på fylkets datasystem, sier avdelingsleder for jus og informasjonssikkerhet, Anne Kristin Lindseth, til SkoleMagasinet.

Hun retter også en takk til eleven som tok opp problemstillingen og beklager at vedkommende ikke har opplevd seg tilstrekkelig møtt i første omgang.

Handler om kompetanse

Lindseth påpeker at det er krevende både å bruke og drifte dagens komplekse IT-systemer og segregere informasjonen etter bestemmelsene i GDPR. Implementering av nye systemer er alltid ressurskrevende. Fylkeskommunen arbeider derfor stadig for å løfte egen kompetanse på området for å ivareta personvernet på best mulig måte.

- I fylkeskommunen er vi beviste på mulighetene for misbruk av informasjon. Og vi forsøker å begrense tilgangen til personopplysninger til det absolutte nødvendige, sier hun.

Hun er også klar over det høye, datatekniske nivået hos en del av elevene.

Også IKT-Agder har høyt fokus på sikkerhetsproblematikken.

 - IKT-Agder benytter flere tekniske sikkerhetsmekanismer. Og vi samarbeider om informasjons- og cybersikkerhet med blant annet NORSIS, NSM og HelseCert. Vi er også direkte involvert i en nasjonal arbeidsgruppe i regi av KS/KiNS. Formålet er å utarbeide nasjonale veiledninger for digitale samhandlingsplattformer da disse ikke finnes i dag, sier Rune Johansen.