Lillesand vgs: N/A Foto: Thor Børresen

Sikkerhetsavviket: Holdt tilbake informasjon

(Agderposten) Dersom uvedkommende har fått tak i opplysningene, kan datakyndige identifisere elevers skole, kommune, studieretning, karakterer for 1. og 2. termin, og midtveisvurderinger med eventuelle kommentarer.

Les også
Sikkerhetsbrudd: Opplysninger om elever og lærere kan være på avveie

Agderposten kan i dag avsløre at de ikke bare opplysninger som kan brukes til identitetstyveri som kan være på avveie etter sikkerhetsavviket som ble oppdaget i Agder fylkeskommune i forrige uke, men også helt konkrete elevvurderinger av en sårbar gruppe elever.

Agder fylkeskommune valgte å ikke opplyse om dette da de gikk ut med informasjon om sikkerhetsbruddet i forrige uke i en pressemelding.

Les også
Sikkerhetsbrudd ble oppdaget etter seks uker: Elever og lærere er bekymret

Sikkerhetsbrudd i seks uker

Den 11. mai fikk Agder fylkeskommune beskjed fra deres leverandør om at leverandøren hadde oppdaget et sikkerhetsbrudd i programmet Conexus Engage. Det har vært en åpning i serveren som har medført at personopplysninger til elever og lærere fra sju videregående skoler fra gamle Aust-Agder fylkeskommune kan ha kommet på avveie. Dette gjelder Arendal videregående skole, Dahlske videregående skole, Lillesand videregående skole, Risør videregående skole, Sam Eyde videregående skole, Setesdal vidaregående skule og Tvedestrand videregående skole. Også Trøndelag og Innlandet fylkeskommuner er rammet av sikkerhetsbruddet som var åpent i over seks uker før det ble oppdaget.

Agderposten har bedt fylkeskommunen om en konkret beskrivelse av hva programmet Conexus Engage brukes til og for hvilke elever programmet det angår. Conexus Engage er det programmet skolen bruker for å identifisere, kartlegge og følge opp elever som står i fare for å avslutte opplæringen.

Avdelingsleder jus og informasjonssikkerhet i Agder fylkeskommune, Anne Kristin Lindseth, sier at fylkeskommunen opplever stor pågang fra elever og lærere som har spørsmål etter at sikkerhetsbruddet ble kjent for offentligheten torsdag ettermiddag. Foto: Jan Aabøe

– Elever i risikogruppa

Fylkeskommunen beskriver programmet blant annet slik: «Engage er det digitale verktøyet skolene benytter for denne systematiske identifisering, kartlegging og oppfølging av alle elever i risikogruppa.»

Hensikten med programmet er at skolen skal komme raskt i gang med målrettede tiltak for denne gruppen elever.

Fylkeskommunen skriver at resultat av kartleggingen kan lagres i elevens mappe i fylkeskommunens saks- og arkivsystem.

– Informasjon om kommer fram av kartleggingen lagres altså ikke i Engage, men i elevens egen mappe i arkivsystemet til fylkeskommunen.

Elevvurderinger

Informasjonen som er tilgjengelig i Conexus Engage er ifølge fylkeskommunen fornavn, etternavn, fødselsnummer, fødselsdato, kjønn, e-post og mobiltelefonnummer.

Men det er mer informasjon som også kan være på avveie og som potensielt kan være tilgjengelig for uvedkommende. Dette ble det ikke informert om i pressemeldingen som fylkeskommunen sendte ut i forrige uke.

Artikkelen fortsetter under annonsen.

Fylkeskommunen skriver: «I tillegg er det mulig for datakyndige å sammenstille ulike kilder i datagrunnlaget som videre identifiserer elevers: Skole, kommune, studieretning, termin 1 karakterer, termin 2 karakterer og midtveisvurderinger med eventuelle kommentarer.»

I orienteringsbrevet som ble sendt ut til ansatte og elever etter at sikkerhetsbruddet ble oppdaget, fremgår det også at lærernes kommentarer og midtveis-vurderinger kan gjenskapes dersom uvedkommende har lastet ned informasjonen.

Holdt tilbake informasjon

Agderposten har vært i kontakt med Anne Kristin Lindseth, avdelingsleder for jus og informasjonssikkerhet i Agder fylkeskommune, med spørsmål om hvorfor man ikke ga opplysningene om at også elevvurderinger for sårbare elever kunne være på avveie da pressemeldingen ble sendt ut i forrige uke.

– Pressemeldingen var en omforent formulering fra de tre fylkeskommunene som var rammet. Når informasjonen blir spredd gjennom media, løper man også en risiko for at situasjonen kan bli verre enn den er. Da vi gikk opp løypa i denne saken, var bekymringen at kriminelle skulle få mer informasjon enn nødvendig. Derfor ville vi avvente dette en stund. Vi visste også at elever og ansatte hadde brevene hvor dette fremgår, og at vi ville risikere å miste kontrollen på informasjonen etter hvert, sier Lindseth.

– Vet dere i dag om uvedkommende faktisk har brukt sikkerhetsbruddet til å laste ned informasjon?

– Nei, foreløpig vet vi ikke noe om det, sier Lindseth.