Aðrar leiðir til að láta vita af veikleikum

Niclas Walter, forstjóri InfoMentor, rekstraraðila skólaupplýsingakerfisins Mentor, segir fyrirtækið vita af öllum skrefum sem skráður notandi kerfisins tók þar, en viðkomandi tókst að finna veikleika í kerfinu sem gerði að verkum að hann gat sótt upplýsingar um kennitölur hundruða barna og forsíðumyndir þeirra. Hann segir að aðrar leiðir færar til að láta vita af veikleikum tölvukerfa heldur en þá sem foreldrið fór.

Frétt af mbl.is

Vildi upplýsa um veikleika í Mentor

Niclas vill ekki upplýsa um það hver viðkomandi er, en segir að manneskjan sé foreldri skólabarns á Íslandi. Viðkomandi upplýsti í kjölfarið um veikleikann og var honum eytt í kjölfarið.

Spurður hvort fyrirtækið hafi lagt fram kæru vegna atviksins vísar hann til þess að skólarnir séu viðskiptavinir InfoMentor, en fyrirtækið hafi afhent allar upplýsingar málsins til persónuverndar. Hann segir það liggja ljóst fyrir af hálfu fyrirtækisins að viðkomandi hafi ekki haft annarlegan ásetning.

Eruð þið viss um að umræddur einstaklingur hafi ekki misnotað gögnin eða sé með þau enn?

„Viðkomandi hefur gefið okkur skriflega staðfestingu á því að hafa ekki nein vistuð gögn. Við getum séð nákvæmlega hvaða gögn viðkomandi náði að komast yfir og viðkomandi gat ómögulega breytt neinu í kerfinu,“ segir hann. Spurður hvort fyrirtækið geti vitað fyrir víst að ekki hafi verið misfarið með gögnin segir Niclas að það sé ekki hægt staðfesta það.

Frétt af mbl.is

Málið litið grafalvarlegum augum

„Við getum ekki vitað það fyrir víst, en við höfum skriflega staðfestingu um það frá þessu foreldri um nákvæmlega það sem gerðist og afhendum hana persónuvernd. Það skal haft í huga að þessi manneskja hafði hefðbundinn aðgang að kerfinu sem foreldri,“ segir hann. Aðspurður segir Niclas fyrirtækið hafa upplýsingar um öll skref sem viðkomandi tók innan kerfisins.

Aðrar leiðir séu færar til að láta vita af veikleikum

Fyrirtæki víðsvegar um heim bjóða fólki verðlaun sem uppgötva veikleika í kerfum þeirra. Spurður hvort InfoMentor standi í einhvers konar þakkarskuld við foreldrið fyrir að hafa uppgötvað öryggisbrestinn segir Niclas að erfitt sé að segja það.

„Í rauninni erum við það ekki. Það er til hefðbundinn farvegur fyrir þá sem komast að einhverjum veikleikum í forritum, það er hægt að upplýsa fyrirtæki beint um það. Ég myndi ekki ganga svo langt að segja að við séum þakklát. Aðstæður eru ekki aðrar fyrir þessa manneskju, það er engin ástæða fyrir neinn til þess að gera nokkuð sem þetta,“ segir Niclas.

Frétt af mbl.is

Ekki í annarlegum tilgangi

„Við höfum skrifað foreldrinu bréf þar sem fram kemur að aðrar leiðir séu færar til þess að gera svona hluti. Þ.e.a.s. það eru eru leiðir til þess að gera svona hluti [upplýsa um veikleika] og síðan aðrar leiðir til þess að gera prófanir. Viðkomandi hefði getað látið okkar vita að það væri möguleiki á því að ná gögnum út úr kerfinu og við hefðum þá umsvifalaust lokað þeirri leið,“ segir hann, en sem fyrr sagði tókst foreldrinu hvort tveggja að uppgötva veikleikann og ná út úr kerfinu gögnum um börnin.

„Það var ekki að okkar ósk sem þessi manneskja gerði þetta, en við höfum í framhaldinu farið eftir öllum ferlum og upplýst bæði viðskiptavin okkar og persónuvernd sem hefur gripið til aðgerða og við fylgjumst með,“ segir hann.

• Blogga um frétt