Sök ikon

Kodaren slog larm – nu akutstoppas Skolplattformen i Stockholm delvis

Måns Jonasson upptäckte säkerhetshålet på Skolplattformen (flickan på bilden är inte med i texten). Foto: TT

Skolplattformen har kritiserats hårt och kostat nästan 1 miljard att bygga. Nu tvingas Stockholms stad akut att stänga delar av tjänsten.

Erik Wisterberg

Erik Wisterberg

Reporter

Skolplattformen är Stockholms stads digitala plattform för alla grundskolor och förskolor. Den är utvecklad av ett flertal privata företag, som gått segrande ur offentliga upphandlingar.

Under onsdagsförmiddagen började programmeraren Måns Jonasson på Twitter berätta om de säkerhetshål han hittat på plattformen. Måns Jonasson visade, bland annat via skärmdumpar, hur en rad uppgifter om elever och lärare som inte ska vara offentliga gick att nå.

"Det verkar som att jag kan få ut namn och personnummer på ALLA lärare i Stockholms stad", skrev Måns Jonasson.

"Och elever", tillade han senare. 

Även elevernas omdömen ska ha gått att komma åt.

Nu meddelar Stockholms stad att plattformen, som hittills kostat närmare en miljard, delvis stängs ned. Detta på grund av vad man kallar en "befarad personuppgiftsincident".

”Den del som är tillfälligt stängd är elevdokumentation där det finns personuppgifter om elever och lärare. Stockholms stad ser allvarligt på det inträffade”, skriver staden i ett pressmeddelande.

Enligt Dagens Nyheter krävdes att man var inloggad för att se uppgifterna. Computer Sweden skriver vidare att ett enkelt skript i webbläsaren Google Chromes inbyggda utvecklarverktyg krävdes för att läckan skulle uppstå. Uppgifterna ska alltså inte ha varit direkt åtkomliga för vem som helst, men relativt enkla att gå tag på.

"Det krävs ingen avancerad kunskap för att utnyttja sårbarheten", säger Anne-Marie Eklund-Löwinder, säkerhetschef på Internetstiftelsen, till SVT.  

Datainspektionen är tillsynsmyndighet för ärenden gällande personuppgifter i Sverige. Under onsdagseftermiddagen var det oklart om myndigheten ska granska incidenten. 

"I nuläget har vi inte beslutat om vi ska inleda tillsyn eller inte", skriver Per Lövgren, pressansvarig på Datainspektionen i ett sms till Breakit. 

Vid 18-tiden på onsdagen gick Stockholms stad ut med ytterligare information, efter att under dagen ha genomfört felsökning med leverantören. I ett pressmeddelande skriver Stockholms stad att "personuppgifter i skolplattformen har varit möjliga att nå genom att i inloggat läge aktivt göra ändringar i programmeringskoden". 

Enligt leverantören har personuppgifter på skyddade identiteter inte kunnat nås, enligt pressmeddelandet. 

Johanna Engman är it-direktör i Stockholms stad.

"Åtkomsten till personuppgifter har endast varit möjlig genom att i inloggat läge aktivt göra ändringar i programmeringskoden. Det är självklart allvarligt nog. Vi stängde skyndsamt ner den del av skolplattformen som berörs för att förhindra åtkomst. Vi utreder nu händelsen för att kartlägga omfattningen och åtgärda bristerna", säger Johanna Engman. 

Skolplattformen ska enligt staden användas av 23.500 anställda samt 140.000 elever. De flesta kommunala skolor i Stockholm använder sedan förra läsåret plattformen som kommunikationsväg mellan lärare, elever och deras vårdnadshavare.

Bygget av plattformen inleddes 2013, då Tieto vann den första av fem leverantörsupphandlingar. Senare fick Nova Software och Ping Pong uppdrag att sköta olika delar av utvecklingen.

Projektet har sedan lanseringen fått svidande kritik. Detta eftersom plattformen har fungerat dåligt, vilket gjort att föräldrar har haft svårt att ta del av viktig information kring barnens skolgång.

Breakit kunde tidigare i år avslöja att staden hamnat i konflikt med en privat entreprenör kring Skolplattformen. 

Towe Boström har bidragit till den här artikeln. 

Personuppgifter – detta gäller

• Om uppgifter om en eller flera registrerade personer har blivit förstörda eller kommit i orätta händer kallas det för personuppgiftsincident.

• Alla organisationer måste anmäla vissa typer av personuppgiftsincidenter till Datainspektionen.

• Det ska ske inom 72 timmar efter det att överträdelsen har upptäckts. 

• Syftet är bland annat att Datainspektionen ska kunna bevaka vad de personuppgiftsansvariga gör för att motverka negativa effekter. I vissa fall kan myndigheten tvinga de personuppgiftsansvariga att vidta nödvändiga åtgärder.

Läs mer