Raser mot sikkerhetsbrudd
Feil og systemsvikt hos innloggingsportalen Feide førte til at over en halv million personnumre havnet på avveie.
– Det er beklagelig at saken først ble omtalt i VG, mens studenter og ansatte ved UiO ikke hadde mottatt noen informasjon. Dette er faktisk urovekkende, spesielt når det dreier seg om personopplysninger.
Det sier Daniel Faour (24), masterstudent ved Universitetet i Oslo (UiO).
Mellom 19. og 25. januar i år havnet over en halv million personnumre på avveie fra innloggingstjenesten Feide. Det er Sikt, et statlig forvaltningsorgan under Kunnskapsdepartementet, som er ansvarlig for Feide. Tjenesten blir brukt av studenter og ansatte ved universiteter og høyskoler over hele landet.
Ifølge Sikt ble brukernes personnumre delt med tjenester internt som ikke skulle ha tilgang til dem. De fleste av de utsendte dataene er nå slettet. Nå jobbes det med å forebygge fremtidige feil.
Det er imidlertid flere som ikke har fått med seg hendelsen. Det får studenter til å reagere.
– Dette burde ha blitt opplyst med én gang, sier Faour.
Legger seg flate
Etter å ha oppdaget feilen, iverksatte Sikt strakstiltak, og varslet berørte vertsorganisasjoner og tjenesteleverandører. I tillegg rapporterte de saken til Datatilsynet. Det forklarer Åshild Berg-Tesdal, kommunikasjonssjef i Sikt. I en epost til Universitas understreker hun at de har kontroll.
«Det er viktig å klargjøre at fødselsnumrene aldri har vært offentlig tilgjengelige på nettet. Vi har full oversikt over hvilke individer, organisasjoner og leverandører som er berørt.»
Feilen oppstod ved lanseringen av nye funksjoner i Feide. Dette førte til at flere tjenesteleverandører fikk tilgang til brukernes personnumre. Det var Sikt selv som oppdaget feilen. Til nå er 589.088 av 595.000 brukerdata verifisert som enten ikke lagret eller slettet, opplyser Berg-Tesdal.
«Vi fokuserer nå på å avklare situasjonen for de resterende», opplyser hun og legger til: «Vi har fullt ansvar for det som har skjedd, og det er vårt ansvar å rydde opp. Vi har god dialog med vertsorganisasjoner og tjenesteleverandører.»
UiO-data på ville veier
Flere utdanningsinstitusjoner i Oslo ble rammet av feilen. Blant dem var Universitetet i Oslo (UiO). De opplyser at personnumre ble delt med IT-leverandører sammen med annen påloggingsinformasjon. Nå jobber de sammen med Sikt for å vurdere fremtidige sikkerhetstiltak.
Sikt opplyser til UiO at mer enn 97 prosent av utsendelsene enten aldri ble lagret eller slettet hos leverandørene. Gard Thomassen er IT-direktør ved UiO. Han forteller til Universitas at både studenter og ansatte ved UiO er omfattet av Feides systemfeil.
– Ved UiO har vi gjennomgått alle våre nesten 50 tjenester som benytter Feide, og har avklart at ingen av disse har lagret ekstra data nå. Kun én av de nesten 50 tjenestene lagret de ekstra dataene som, grunnet avviket, kom fra Feide. Disse dataene ble slettet veldig kort tid etter hendelsen, sier Thomassen.
Det er noe som heter personvern, og dette må tas på alvor.
Markus Lunde, student på BI
Databehandleravtaler forbyr bruk eller lagring av sensitive data. UiO vet ikke hvor mange studenter ved UiO avviket omfatter. Likevel opplyser de at det ikke er grunn til å tro at opplysningene er blitt misbrukt.
Sikkerhetstiltak planlegges
Thomas Paulsen er Chief Information Security Officer ved BI. Han bekrefter at også de er rammet av bruddet. Paulsen ønsket ikke å stille til et intervju om denne saken, men svarer Universitas på e-post.
«Det er ca. 800 av de registrerte oppføringene som er knyttet til ansatte eller studenter ved BI», skriver han i en e-post til Universitas.
BI har undersøkt saken sammen med Sikt. Etter en intern vurdering mener de at det er usannsynlig at bruddet vil få konsekvenser for studentene. Avviket ble derfor ikke varslet til de berørte.
Universitetene jobber med å kartlegge den fulle innvirkningen av hendelsen.
– Sjokkerende
Universitas møtte BI-studentene Fredrik Melheim (22) og Markus Lunde (24) på campus. De mener lekkasjen er langt over streken.
– Det er selvsagt sjokkerende at det har skjedd. Det er noe som heter personvern, og dette må tas på alvor. Dette er for dårlig. Jeg vet ikke om opplysningene har blitt utnyttet eller ikke, men de berørte bør få beskjed slik at de kan endre passord og lignende, forteller Markus Lunde.
Kompisen stemmer i:
– Jeg er enig jeg, det rett og slett ikke er akseptabelt, sier Melheim.
Også Oslomet har iverksatt tiltak for å forebygge fremtidige brudd. Heller ikke de ønsker å stille til et intervju, men IT-direktør Ketil Are Lund ved Oslomet skriver til Universitas at de følger opp med Sikt og eventuelle leverandører. Datatilsynet har blitt varslet av både UiO, Oslomet og BI, og har nå avsluttet sakene. De mener Feide har håndtert avviket på en tilstrekkelig måte.
«Vi har vært i kontakt med virksomhetene og mener vi har fått tilstrekkelig informasjon om avviket», skriver Kristin Skolt, juridisk rådgiver i Datatilsynet, i en e-post til Universitas.
