Skolplattformen i Stockholm har stora säkerhetshål
Runt 10-tiden i morse skrev Måns Jonasson illavarslande på Twitter att han via skolplattformen lyckas komma åt personnummer och namn på alla lärare och elever i Stockholm, inklusive elevernas omdömen.
Genom att mecka lite (ytterst lite) med anropen till backend kan jag få ut personnummer på alla lärare min son har eller har haft i skolan.
snart följt av:
Förresten, det verkar som att jag kan få ut namn och personnummer på ALLA lärare i Stockholms stad.
Och elever. 🤬😱
Och deras omdömen. 😤
Ett försök att förstå varför plattformen är så långsam slutade i att Jonasson snubblade över en allvarlig säkerhetslucka.
Nyheterna om detta trillade in mellan 14 och 15 på dagen:
- Sårbarhet i Stockholms skolplattform – personuppgifter kan ha läckt | SVT Nyheter
- Säkerhetsskandal hos Stockholmsstad – elevers personnummer synliga | Nyheter | Expressen
- Skolplattform läcker omdömen och elevdata – Stockholms stad panikstänger – Computer Sweden
- Säkerhetshål i Stockholms skolplattform – systemet stängs – DN.SE
- Kodaren slog larm – nu akutstoppar staden sin skolplattform – Breakit
- Omdömen om skolelever finns ute till allmän beskådan | Aftonbladet
- Delar av stadens skolsajt avstängd – personuppgifter kan ha läckt – Mitt i Stockholm
- Stockholm panikstänger skolplattform – ”Chockerande att säkerheten är så dålig” – Ny Teknik
Fler reaktioner i efterspelet:
- Ygeman om dataläckan i skolplattformen: Det är upprörande | Ny Teknik
- Skolborgarrådet kräver utredning av hela skolplattformen | SVT Nyheter
När kontaktar de ansvariga Måns för en dialog?
Det här uttalandet från Jonasson klockan 14:27 gjorde mig dock väldigt bekymrad. Varför har han inte blivit inbjuden till dialog av ansvariga för skolplattformen?
Det finns fler grejer som de inte täppt till än. Vet inte ens var jag ska anmäla skiten. Tips?
Måns efterlyser alltså tips om vart han ska vända sig för att upplysa om fler säkerhetsbrister. Jag frågar om jag uppfattat det rätt, “att varenda nyhetskanalrapporterar om det men att du inte har blivit kontaktad av ansvariga för skolplattformen för en dialog?” “Korrekt“, får jag till svar av Jonasson vid 15:30.
Skyldighet att informera berörda
Notera att enligt dataskyddsförordningen (GDPR) så måste berörda parter informeras skyndsamt. Som berörd part med barn i plattformen förväntar jag mig att få se ett sådant meddelande inom kort. Vi får se hur lång tid det tar.
Enligt förordningen måste ni informera de registrerade direkt och utan onödigt dröjsmål om en personuppgiftsincident sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. (Datainspektionen)
Hög risk för fysiska personers rättigheter innebär det garanterat när personnummer är på vift, samt att barn är utsatta (deras omdömen går att komma åt). Dessutom är plattformen redan under utredning. En ytterligare omständighet är att alla medier skriver om det och att många människor självklart undrar vad som egentligen händer.
Stockholm stad informerar
Det finns nu ett pressmeddelande från Stockholms stad. Det är inga direkta nyheter, förutom att förklaringen av vad som gått fel gör att man rycker till:
Åtkomsten till personuppgifter har endast varit möjlig genom att i inloggat läge aktivt göra ändringar i programmeringskoden.
Ofta försöker man förklara på ett enkelt sätt vad som ligger bakom åtkomst till information, men det som hänt är verkligen inte att någon ändrat i programkoden. Tänk själv vilken enorm säkerhetsbrist det skulle vara om alla inloggade användare kunde ändra i skolplattformens programkod. Eller så kanske någon hade byggt om den till något bättre.
Ett bättre sätt att förklara vad som hänt är att för varje inloggad användare frågar plattformen efter personuppgifter för att kunna visa dem på skärmen (namn, schema, osv). Det är en fråga som ställs till ett register med information. Det som hänt här är att man väljer att ställa en annan fråga till registret (något som görs med ett skript i webbläsaren, inte i plattformens programkod), och registret svarar glatt utan att kolla om personen som frågar borde få se den informationen. Tänk dig att du går in på banken och frågar hur mycket pengar dina grannar har på sina bankkonton och banken glatt svarar. Den som ansvarar för registret struntar i om det är känslig information. Det är precis det som har hänt här.
Så här skriver Jonasson själv:
Reagerar på att ansvarig på staden säger att jag ‘ändrat i programmeringskoden’. Det är väldigt vilseledande. Det jag gjorde var mer som om jag skulle måla över en av siffrorna på mitt bankkort med en annan siffra och plötsligt dras pengarna på nån annans konto.
Skyddade personuppgifter
Stockholms stad är väldigt noga, när de intervjuas, att tala om att personer med skyddad identitet inte kunnat röjas. Det är kanske ett klumpigt sätt att försöka ta udden av att information om 140 000 elevers namn, personnummer och omdömen faktiskt har kunnat röjas. Men det finns också ett annat skäl. Så sent som i mars spreds nämligen elevuppgifter till obehöriga. I ett av fallen gällde det en elev med skyddad identitet, där information gick till den vuxen som eleven var skyddad ifrån.
Den här plattformen har inte lite problem, och trots att läckorna lagas finns snart en ny.
Vem är det som byggt skolplattformen?
Tittar man tillbaka på upphandlingarna som gjordes 2013-2014 så kan vi se vilka leverantörer som varit inblandade i skolplattformens olika delar:
- Tieto Sweden Healthcare & Welfare AB: It-stöd för barn- och elevregister
- itslearning AS: it-stöd för digitalt material och pedagogiska processer (lyckades inte leva upp till sitt anbud och avtalet avslutades 2016)
- Nova Software: it-stöd för frånvaro och närvaro
- Ping Pong: it-stöd för dokumentation av barns och elevers lärande
Vi hittar också pressmeddelandet som berättar om att projektet Skolplattform Stockholm ska påbörja upphandlingarna. Ur texten:
Projektet Skolplattform Stockholm har tagit sin avstamp i regeringens strategi om den digitala agendan som en process som ska leda till att Sverige blir bäst i världen på att använda digitaliseringens möjligheter.
Här finns även ett tjänsteutlåtande från november 2016 som går igenom problemen med leverantörer och styrning, då projektet också flyttade från utbildningsnämnden till statsledningskontoret.
Vem är ytterst ansvarig för att vi har osäkra, offentliga system?
Från fall till fall finns det självklart en ledare inom organisationen som har det formella ansvaret. Men inget förändras i grunden av att organisationer säger förlåt, gör snabb efterhandsåtgärd eller att ett huvud ryker. Dåligt byggda system fortsätter uppenbarligen att byggas för hantering av vår personliga data, och uppmärksammas nu regelbundet. Någon måste ta ansvar så att organisationerna helt upphör med att acceptera och tillåta dylika brister.
I Sverige har vi en digitaliseringsminister, just nu Anders Ygeman, som leder något som kallas Digitaliseringsrådet. Rådet ska “hjälpa regeringen med strategiska analyser och rekommendationer”. Ett delmål i digitaliseringsstrategin är digital trygghet. “Det behöver finnas goda förutsättningar för tillit och förtroende i ett digitalt samhälle.” skriver rådet.
Jag tänker att när vi befinner oss mitt i en rusande digitalisering i Sverige så spelar det här rådet en jätteviktig roll. Döm då om min förvåning när jag går in på Rådets webbplats för att se vilka datum de har beslutande möten. Digitaliseringsrådet har nämligen haft exakt noll beslutande möten i år och har inga planerade. Förra året hade de två. Deras arbete drivs alltså i huvudsak med odokumenterade informella möten och samtal.
Givet hur digital trygghet nu brister i sömmarna måste vi ställa högre krav på att det här rådet tar en betydligt tydligare ledningsposition i landets digitalisering. För vad händer om vi inte ens har förtroende för rådet som ska ha ett strategiskt ansvar för vår digitala trygghet?
Obesvarade frågor som journalister gärna får ställa
I fallet med dataläckor och säkerhetshål blir det ofta ganska ytliga frågor i media och man kommer sällan till problemets kärna. Vi behöver komma förbi frågor som “Hur känns det här?” och “Vad ska ni göra nu?”. Vi behöver förstå varför det gång på gång blir som det blir och vilka mekanismer som finns på plats för att skydda medborgarnas information i offentliga system. Här finns därför lite hjälp på traven för de som vill gräva djupare.
- Finns det en loggfil som kan visa om andra aktörer/personer har utnyttjat den här sårbarheten i systemet? Följdfråga: hur säkra kan ni vara på att sårbarheten inte utnyttjats till att ladda hem information om alla användare?
- Det som skapat sårbarheten i systemet är att det byggts på ett felaktigt sätt. Varför har kvalitetssäkringen av systemet inte uppdagat detta tidigare?
- Varför har ni inte kontaktat personen som upptäckte sårbarheten och haft ett möte med honom? (Om de till slut gör det, varför tog det så lång tid?)
- Hur vanligt tror ni det är att en sådan här sårbarhet finns i offentliga system?
- Är ni beredda att betala en sanktionsavgift om Datainspektionen kommer fram till att det är aktuellt?
- När går ni ut till alla användare och talar om vad som skett? (Som dataskyddsförordningen kräver.)
- Till Anders Ygeman: När ska Digitaliseringsrådet ha sitt nästa beslutande möte (med tanke på att de inte haft något i år)?
- Finns anledning att tro att PingPongs system (som används för lärplattformar i hela landet, på skolor och myndigheter) har samma säkerhetshål i alla installationer?
- Är delar av skolplattformen bygga på publika molntjänster som kan innebära ytterligare säkerhetsrisk?
- Varför lagras personnummer öppet i plattformen utan kryptering?
Läs mer
Här samlar jag länkar till kritiken mot plattformen, och det löpande arbetet med att granska den:
- 2019-10-28 Dags att granska skolplattform – Inköpsrådet
- 2019-10-16 Nu inleds en översyn av kritiserade Skolplattformen – DN.SE
- 2019-08-22 Omfattande kritik mot skolplattformen – SVT
- 2019-06-27 Datainspektionen inleder granskning av Stockholm stads skolsystem – Computer Sweden Efter att utbildningsnämnden i Stockholms stad själva anmält personuppgiftsincidenter där felaktiga behörigheter till elevregistret tilldelats skolpersonalen inleder Datainspektionen en granskning.
- 2019-04-10 Vuxna kan chatta med barn de inte känner på Stockholms skolplattform – Computer Sweden I höstas rullades chattjänsten Teams ut i Stockholms skolor. Men eftersom alla skolor är sökbara i tjänsten kan elever vid Komvux chatta med okända barn i småklasserna.
- 2019-03-01 Varför får Sveriges sämsta it-företag ta hand om våra barn? | Ny Teknik Hur kan skolans lärplattformar vara så opedagogiska? Någonstans mellan Hjärntorget, Ping Pong och några av Sveriges sämsta it-företag letar Ny Tekniks reporter Simon Campanello desperat efter ett svar.
- 2019-01-15 Stockholms skolplattform dyrare än beräknat – en kvarts miljard över budget – Computer Sweden Stockholms stads skolplattform kostar mer än beräknat. Hittills har budgeten överskridits med 258 miljoner kronor.
- 2018-12-07 Stockholms it-direktör om haveriet med skolplattformen – Computer Sweden Stockholms hårt kritiserade skolplattform fortsätter att irritera användarna. I dagsläget kommer den skarpaste kritiken från skolelevernas föräldrar.
- 2018-10-25 Lärare kritiska till nya skolplattformen – DN.SESkolplattformen, den gemensamma digitala plattformen för Stockholms stads skolor, tog drygt fem år att utveckla och har hittills . Men lanseringen har kantats av problem. Nu har lärarna fått nog.kostat över en halv miljard kronor
- 2018-10-08 Skolplattformen i Stockholm – lika dyr som Wikipedia – Mitt i Stockholm Stockholms stads nya digitala plattform för skolor har utsatts för hård kritik. Dels eftersom den fortfarande inte fungerar fullt ut, men också på grund av den höga kostnaden. Budgeten på 695 miljoner kronor är lika mycket som det kostar att driva den globala internetjätten Wikipedia.
- 2018-09-12 Skolplattform Stockholms lansering kantas av problem – DN.SE Skolplattformen, den gemensamma digitala plattformen för Stockholms stads skolor, tog mer än fem år att utveckla och har hittills kostat över en halv miljard kronor. Men flera veckor efter lanseringen dras satsningen fortfarande med stora tekniska problem som drabbar både elever, lärare och föräldrar.
- 2016-10-21 Kris I Stockholms stads digitala prestigeprojekt Stockholms stad har investerat mer än en halv miljard kronor i en ny digital plattform för skolor. Nu hotas projektet av förseningar och kostnadsökningar, enligt flera källor. ”Vi vet inte vart pengarna har tagit vägen”, säger Lärarnas Riksförbund.
Förtydligande: Jonasson har i vissa nyhetsartiklar valt att vara anonym. Han har dock gett mig tillåtelse att nämna honom vid namn i detta inlägg.