IT-bommert førte til at vitnemål og personnummer var søkbare på nettet

Det var Nasjonal Sikkerhetsmyndighet som først fant ut hva som hadde skjedd, via egne undersøkelser, og ga beskjed til Kunnskapsdepartementet i et brev datert 16. mai. To dager senere ble Universitetet i Oslo (UiO) også varslet av en ansatt, som hadde kommet over resultatene via søk på internett.

Etter at søkemotoren Bing endret måten den søkte opp sider på i vår, ble vitnemålene til åtte tidligere studenter fra universiteter og høyskoler, hvorav en hadde studert ved UiO, ved en feil gjort tilgjengelige for hvem som helst.

Ifølge Datatilsynet skal det ha vært mulig å søke dem opp over en to måneders periode, fram til de ble fjernet 19. mai. Vitnemålene inneholdt, i tillegg til karakterer, personnummer.

Har du lest? Advarer mot falske vitnemål

Rask reaksjon

Vitnemålsportalen er utviklet og drives av CERES (Nasjonalt senter for felles systemer og tjenester for forskning og studier). Universitetet i Oslo har ansvar for å følge opp driften, på vegne av kunnskapsdepartementet som har det formelle behandlingsansvaret.

Ifølge IT-direktør ved UiO Lars Oftedal ble dokumentene gjort utilgjengelige raskt.

– Fjerning av søkeresultater og info hos Bing ble lagt inn av UiO-CERT (UiO sin sikkerhetsgruppe, red. anm.) kvelden 19. mai. Info var bekreftet fjernet fra Bing i løpet av 20. mai, skriver Oftedal i en e-post.

Les også: Universitetet innrømmer ulvolig datalagring

– Retter ikke opp svakheten

Datatilsynet var ikke fornøyd med tiltakene. Dokumentene var fortsatt mulige å åpne hvis man bare hadde lenken. Dermed anså ikke Datatilsynet den grunnleggende svakheten for å være rettet.

UiO svarte CERES at de skulle få på plass et system med passord innen utgangen av august, slik at tilsvarende sikkerhetsbrudd ikke skjer igjen.

Ifølge Oftedal var løsningen som ble innført imidlertid planlagt tidligere.

– Det var planlagt å iverksette tiltak med passord eller kode før varsel om vedtak fra Datatilsynet ble gitt til Kunnskapsdepartementet, men det tar tid å implementere slike løsninger, sier han.

Ikke første gang: Ny personvernsbrøler på UiO

Ikke veldig alvorlig i seg selv

Juridisk rådgiver i Datatilsynet, Gullik Gundersen, mener sårbarheten i systemet er en mer alvorlig sak enn det som har skjedd i seg selv.

– Det er snakk om få dokumenter, og informasjonen i dem er jo beskyttelsesverdig, men det er ikke veldig sensitive personopplysninger. Det er heller ingen indikasjoner på at de har blitt brukt. Hendelsen er ikke isolert sett alvorlig, men den underliggende sårbarheten er langt mer alvorlig, sier Gundersen.

Han vil ikke kritisere UiO og Ceres for at de valgte denne løsningen i 2007, da systemet ble innført.

– Denne mekanismen har vært ansett som trygg lenge, men sårbarheten er stor. I retrospekt burde man kanskje tenkt at her er det nødvendig med to ting: Både kode og nettadresse for eksempel, men jeg har inntrykk av at de tar saken alvorlig, sier Gundersen.

IT-direktør Lars Oftedal svarer på samme måte.

– Da vitnemålsportalen ble planlagt og utviklet i 2012 var det «bransjestandard» å gjøre deling av info på denne måten. Lenkene som ble generert var unike og umulig å gjette. Det ble utført risiko- og sårbarhetsvurdering som fant at løsningen som ble valgt hadde god nok sikkerhet, sier Oftedal.