Vildi upplýsa um veikleika í Mentor

Markmið skráðs notanda skólaupplýsingakerfisins Mentor sem safnaði saman persónuupplýsingum um fjölda barna í leik- og grunnskólum í síðustu viku var að koma áleiðis ábendingu um veikleika í kerfinu en ekki að dreifa upplýsingunum. Umræddum einstaklingi tókst að safna upplýsingum um 422 börn í 96 grunn- og leikskólum víðsvegar um landið, n.t.t. kennitölum og prófílmyndum barnanna. Reykjavíkurborg hefur rannsakað málið í vikunni og tilkynnti um öryggisbrestinn til persónuverndar í gær.

Í 179 tilfellanna var um að ræða börn í grunn- eða leikskólum í Reykjavík. Nánari athugun leiddi í ljós að 160 nemendur urðu fyrir áhrifum enda var um tvítekningar að ræða í vissum tilfellum, þ.e. þegar viðkomandi börn höfðu skipt um skóla.

Sendu bréf til allra foreldra í skólum borgarinnar

Dagbjört Hákonardóttir, persónuverndarfulltrúi Reykjavíkurborgar, sendi skólastjórnendum í öllum grunn- og leikskólum borgarinnar bréf vegna málsins í byrjun vikunnar og óskaði þess að það yrði áframsent til allra foreldra- og forsjáraðila sem ættu þar börn. Annað bréf verður sérstaklega sent foreldrum þeirra barna sem getið var í gögnunum á mánudag, en bréfið er nú í þýðingu. Þá á Reykjavíkurborg í samstarfi við önnur sveitarfélög þar sem viðbrögð við málinu hafa verið sambærileg. Fyrirtækið InfoMentor er rekstraraðili Mentor-kerfisins.

160 börn í skólum í Reykjavík urðu fyrir áhrifum af öryggisbrestinum, en 422 nemendur í 96 skólum á landsvísu voru í þeim gögnum sem safnað var úr Mentor.

„Við höfum varið vikunni í að framkvæma rannsókn á málinu og lagt áherslu á að vera í virkum samskiptum við foreldra. Við fengum ekki endanlega tilkynnt um umfang brestsins fyrr en á mánudag frá InfoMentor, sem er vinnsluaðili [persónuupplýsinga skv. persónuverndarlögum] í málinu. Sem ábyrgðaraðilar í skilningi persónuverndarlaga erum við ábyrg fyrir því að tilkynna þetta til persónuverndar. Fyrst tilkynntum við um brestinn á laugardagskvöldið þegar okkur var fyrst gert viðvart um hluta brestsins. Klukkan fjögur á mánudag fengum við síðan upplýsingar um heildarumfangið,“ segir Dagbjört, en endanleg tilkynning var send persónuvernd í gær auk viðbótarupplýsinga um umfang gallans.

Hefur borist á annað hundrað fyrirspurnir

„Við settum í forgang að skrifa tilkynningu til allra foreldra og skóla í Reykjavík sem nota Mentor-kerfið um að bresturinn hefði átt sér stað. Þessi tilkynning var líka send til skóla sem bresturinn náði ekki til því okkur fannst mikilvægt að allir vissu að þetta hefði átt sér stað,“ segir Dagbjört, en skólunum, foreldrum- og forsjáraðilum var boðið að vera í sambandi við persónuverndarfulltrúa borgarinnar vegna málsins. Dagbjörtu hafa nú borist á annað hundrað fyrirspurnir og hefur þeim öllum verið svarað að hennar sögn.

Frétt af mbl.is

Ekki í annarlegum tilgangi

Í tilkynningunni kemur fram að veikleika kerfisins hafi verið eytt og öryggi kerfisins tryggt. Jafnframt segir að sannreynt hafi verið að ekki hafi um neinar aðrar upplýsingar verið að ræða en kennitölu og forsíðumynd viðkomandi nemenda, ekki hafi verið hæft að nálgast aðrar upplýsingar eða breyta þeim. Þá hafi engin lykilorð verið í hættu.

Spurð hvort minnsti möguleiki sé á því að frekari upplýsingar hafi lekið út úr kerfinu segir Dagbjört að Reykjavíkurborg hafi engar forsendur til þess að ætla annað en að frásögn InfoMentor sé rétt.

Einstaklingurinn vildi upplýsa um galla á kerfinu

Strax í viðtali við forstjóra InfoMentor í síðustu viku kom fram að ekki væri ástæða til að ætla að upplýsingasöfnunin hefði verið í annarlegum tilgangi. Snemma tókst að nafngreina þann einstakling sem stóð að henni og hefur viðkomandi nú undirritað yfirlýsingu þess efnis að athæfið verið gert í þeim tilgangi að finna veikleika á kerfinu, upplýsa InfoMentor um hann og reyna á kerfið, en ekki að dreifa upplýsingunum.

Frétt af mbl.is

Málið litið grafalvarlegum augum

Einstaklingurinn sem um ræðir mun hafa komið upplýsingum um brestinn áleiðis til upplýsingafyrirtækisins Syndis í formi textaskrár með kennitölum úr Mentor. InfoMentor var í framhaldinu upplýst um brestinn, á fimmtudag í síðustu viku.

Tilvikið eigi erindi á borð lögreglu

Dagbjört segir Reykjavíkurborg ekki hafa ástæðu til að vefengja að athæfið hafi verið framkvæmt í þeim tilgangi að finna veikleika á kerfinu. „Oft er ráðist á veikleika kerfa af hálfu þriðja aðila í þeim tilgangi jafnvel að bæta kerfin. Þetta er þekkt innan tækniheimsins,“ segir Dagbjört.  

„Samt sem áður höfum við komið því á framfæri við InfoMentor að okkur finnist tilvik sem þessi eiga heima hjá til þess bærum yfirvöldum, þ.e.a.s. lögreglu. Ég veit að InfoMentor hefur brugðist við ráðleggingum Reykjavíkurborgar og verið í samskiptum við netöryggissveit lögreglu. Hvort kæra verður lögð fram er í þeirra höndum, en við höfum óskað fregna um það hver niðurstaðan verður af því mati,“ segir hún.

Notandi Mentor sem safnaði saman upplýsingum um börnin vildi sýna fram á veikleika í kerfinu, en ekki dreifa upplýsingum úr því. mbl.is/Hanna

„Þetta breytir því þó ekki að þetta er mjög óþægilegt fyrir Reykjavíkurborg sem og önnur sveitarfélög, nemendur sem verða fyrir þessu, foreldra og forsjáraðila. Það er okkar persónuverndarfulltrúanna að tryggja að svona endurtaki sig ekki,“ segir Dagbjört

Málið á borði persónuverndar

Spurð um frekari rannsókn á málinu og næstu skref segir hún að nú sé málið á borði persónuverndar.

„Fyrstu viðbrögð í öryggisbrestum sem þessum eru að tryggja upplýsingaflæði og tryggja að öllum hlutaðeigandi sé haldið upplýstum. Það hefur verið í forgangi hjá okkar teymi. Það sem er næst á dagskrá er að eiga samráð um það sem orðið hefur og við erum samstíga í samskiptum persónuvernd. Það hefur ekki enn verið tekin ákvörðun um leiðir og aðferðir við að tryggja það að sambærilegt geti ekki endurtekið sig,“ segir Dagbjört, en næstu skref í málinu verða tekin í næstu viku.

• Blogga um frétt