Skolplattformen i Stockholm har stora säkerhetshål

Skolplattformen i Stockholm har stora säkerhetshål

Runt 10-tiden i morse skrev Måns Jonasson illavarslande på Twitter att han via skolplattformen lyckas komma åt personnummer och namn på alla lärare och elever i Stockholm, inklusive elevernas omdömen.

Genom att mecka lite (ytterst lite) med anropen till backend kan jag få ut personnummer på alla lärare min son har eller har haft i skolan.

snart följt av:

Förresten, det verkar som att jag kan få ut namn och personnummer på ALLA lärare i Stockholms stad.

Och elever. 🤬😱

Och deras omdömen. 😤

Ett försök att förstå varför plattformen är så långsam slutade i att Jonasson snubblade över en allvarlig säkerhetslucka.

Nyheterna om detta trillade in mellan 14 och 15 på dagen:

Fler reaktioner i efterspelet:

När kontaktar de ansvariga Måns för en dialog?

Det här uttalandet från Jonasson klockan 14:27 gjorde mig dock väldigt bekymrad. Varför har han inte blivit inbjuden till dialog av ansvariga för skolplattformen?

Det finns fler grejer som de inte täppt till än. Vet inte ens var jag ska anmäla skiten. Tips?

Måns efterlyser alltså tips om vart han ska vända sig för att upplysa om fler säkerhetsbrister. Jag frågar om jag uppfattat det rätt, “att varenda nyhetskanalrapporterar om det men att du inte har blivit kontaktad av ansvariga för skolplattformen för en dialog?” “Korrekt“, får jag till svar av Jonasson vid 15:30.

Skyldighet att informera berörda

Notera att enligt dataskyddsförordningen (GDPR) så måste berörda parter informeras skyndsamt. Som berörd part med barn i plattformen förväntar jag mig att få se ett sådant meddelande inom kort. Vi får se hur lång tid det tar.

Enligt förordningen måste ni informera de registrerade direkt och utan onödigt dröjsmål om en personuppgiftsincident sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. (Datainspektionen)

Hög risk för fysiska personers rättigheter innebär det garanterat när personnummer är på vift, samt att barn är utsatta (deras omdömen går att komma åt). Dessutom är plattformen redan under utredning. En ytterligare omständighet är att alla medier skriver om det och att många människor självklart undrar vad som egentligen händer.

Stockholm stad informerar

Det finns nu ett pressmeddelande från Stockholms stad. Det är inga direkta nyheter, förutom att förklaringen av vad som gått fel gör att man rycker till:

Åtkomsten till personuppgifter har endast varit möjlig genom att i inloggat läge aktivt göra ändringar i programmeringskoden.

Ofta försöker man förklara på ett enkelt sätt vad som ligger bakom åtkomst till information, men det som hänt är verkligen inte att någon ändrat i programkoden. Tänk själv vilken enorm säkerhetsbrist det skulle vara om alla inloggade användare kunde ändra i skolplattformens programkod. Eller så kanske någon hade byggt om den till något bättre.

Ett bättre sätt att förklara vad som hänt är att för varje inloggad användare frågar plattformen efter personuppgifter för att kunna visa dem på skärmen (namn, schema, osv). Det är en fråga som ställs till ett register med information. Det som hänt här är att man väljer att ställa en annan fråga till registret (något som görs med ett skript i webbläsaren, inte i plattformens programkod), och registret svarar glatt utan att kolla om personen som frågar borde få se den informationen. Tänk dig att du går in på banken och frågar hur mycket pengar dina grannar har på sina bankkonton och banken glatt svarar. Den som ansvarar för registret struntar i om det är känslig information. Det är precis det som har hänt här.

Så här skriver Jonasson själv:

Reagerar på att ansvarig på staden säger att jag ‘ändrat i programmeringskoden’. Det är väldigt vilseledande. Det jag gjorde var mer som om jag skulle måla över en av siffrorna på mitt bankkort med en annan siffra och plötsligt dras pengarna på nån annans konto.

Skyddade personuppgifter

Stockholms stad är väldigt noga, när de intervjuas, att tala om att personer med skyddad identitet inte kunnat röjas. Det är kanske ett klumpigt sätt att försöka ta udden av att information om 140 000 elevers namn, personnummer och omdömen faktiskt har kunnat röjas. Men det finns också ett annat skäl. Så sent som i mars spreds nämligen elevuppgifter till obehöriga. I ett av fallen gällde det en elev med skyddad identitet, där information gick till den vuxen som eleven var skyddad ifrån.

Den här plattformen har inte lite problem, och trots att läckorna lagas finns snart en ny.

Vem är det som byggt skolplattformen?

Tittar man tillbaka på upphandlingarna som gjordes 2013-2014 så kan vi se vilka leverantörer som varit inblandade i skolplattformens olika delar:

Vi hittar också pressmeddelandet som berättar om att projektet Skolplattform Stockholm ska påbörja upphandlingarna. Ur texten:

Projektet Skolplattform Stockholm har tagit sin avstamp i regeringens strategi om den digitala agendan som en process som ska leda till att Sverige blir bäst i världen på att använda digitaliseringens möjligheter.

Här finns även ett tjänsteutlåtande från november 2016 som går igenom problemen med leverantörer och styrning, då projektet också flyttade från utbildningsnämnden till statsledningskontoret.

Vem är ytterst ansvarig för att vi har osäkra, offentliga system?

Från fall till fall finns det självklart en ledare inom organisationen som har det formella ansvaret. Men inget förändras i grunden av att organisationer säger förlåt, gör snabb efterhandsåtgärd eller att ett huvud ryker. Dåligt byggda system fortsätter uppenbarligen att byggas för hantering av vår personliga data, och uppmärksammas nu regelbundet. Någon måste ta ansvar så att organisationerna helt upphör med att acceptera och tillåta dylika brister.

I Sverige har vi en digitaliseringsminister, just nu Anders Ygeman, som leder något som kallas Digitaliseringsrådet. Rådet ska “hjälpa regeringen med strategiska analyser och rekommendationer”.  Ett delmål i digitaliseringsstrategin är digital trygghet.  “Det behöver finnas goda förutsättningar för tillit och förtroende i ett digitalt samhälle.” skriver rådet.

Jag tänker att när vi befinner oss mitt i en rusande digitalisering i Sverige så spelar det här rådet en jätteviktig roll. Döm då om min förvåning när jag går in på Rådets webbplats för att se vilka datum de har beslutande möten. Digitaliseringsrådet har nämligen haft exakt noll beslutande möten i år och har inga planerade. Förra året hade de två. Deras arbete drivs alltså i huvudsak med odokumenterade informella möten och samtal.

Givet hur digital trygghet nu brister i sömmarna måste vi ställa högre krav på att det här rådet tar en betydligt tydligare ledningsposition i landets digitalisering. För vad händer om vi inte ens har förtroende för rådet som ska ha ett strategiskt ansvar för vår digitala trygghet?

Obesvarade frågor som journalister gärna får ställa

I fallet med dataläckor och säkerhetshål blir det ofta ganska ytliga frågor i media och man kommer sällan till problemets kärna. Vi behöver komma förbi frågor som “Hur känns det här?”  och “Vad ska ni göra nu?”.  Vi behöver förstå varför det gång på gång blir som det blir och vilka mekanismer som finns på plats för att skydda medborgarnas information i offentliga system. Här finns därför lite hjälp på traven för de som vill gräva djupare.

  1. Finns det en loggfil som kan visa om andra aktörer/personer har utnyttjat den här sårbarheten i systemet? Följdfråga: hur säkra kan ni vara på att sårbarheten inte utnyttjats till att ladda hem information om alla användare?
  2. Det som skapat sårbarheten i systemet är att det byggts på ett felaktigt sätt. Varför har kvalitetssäkringen av systemet inte uppdagat detta tidigare?
  3. Varför har ni inte kontaktat personen som upptäckte sårbarheten och haft ett möte med honom? (Om de till slut gör det, varför tog det så lång tid?)
  4. Hur vanligt tror ni det är att en sådan här sårbarhet finns i offentliga system?
  5. Är ni beredda att betala en sanktionsavgift om Datainspektionen kommer fram till att det är aktuellt?
  6. När går ni ut till alla användare och talar om vad som skett? (Som dataskyddsförordningen kräver.)
  7. Till Anders Ygeman: När ska Digitaliseringsrådet ha sitt nästa beslutande möte (med tanke på att de inte haft något i år)?
  8. Finns anledning att tro att PingPongs system (som används för lärplattformar i hela landet, på skolor och myndigheter) har samma säkerhetshål i alla installationer?
  9. Är delar av skolplattformen bygga på publika molntjänster som kan innebära ytterligare säkerhetsrisk?
  10. Varför lagras personnummer öppet i plattformen utan kryptering?

Läs mer

Här samlar jag länkar till kritiken mot plattformen, och det löpande arbetet med att granska den:

Förtydligande: Jonasson har i vissa nyhetsartiklar valt att vara anonym. Han har dock gett mig tillåtelse att nämna honom vid namn i detta inlägg.


Kommentera