Säkerhetsexpert: Staden kunde undvikit plattformshaveriet

Skolplattformen har säkerhetsgranskats av en extern leverantör, enligt Stockholms stads IT-direktör.
Skolplattformen har säkerhetsgranskats av en extern leverantör, enligt Stockholms stads IT-direktör.
En missad säkerhetsgranskning kan ha orsakat att obehöriga kunnat läsa information på Stockholms stads Skolplattformen.
Det säger IT-säkerhetsexperten Joel Rangmo.
Stockholms stads IT-direktör säger att plattformen har säkerhetsgranskats men kan inte säga något om resultaten av granskningen.
Fakta

Turerna kring Stockholms stads "Skolplattformen"

1. Projektet startade 2013

Lagom till höstterminens början lanserade Stockholms stad Skolplattformen i skolan. Projektet startade 2013 och är en IT-lösning för alla skolformer i staden där all information samlas på ett och samma ställe.

Tanken är att elever, föräldrar och personal ska kunna logga in och ta del av scheman, allmän information och nyhetsbrev. Andra funktioner är frånvaroanmälning och betygsrapportering.

2. Strul redan innan start

Men problemen har varit många sedan lanseringen. Det har inte fungerat att logga in i tjänsten och funktioner som frånvaroanmälning har legat nere.

Dessutom har flertalet användare har klagat på att plattformen är krånglig och mycket långsam att använda. Namnet Skolplattformen var dessutom upptagen av ett annat företag.

3. Kostar närmare 1 miljard

Hela projektet hade en budget på 695 miljoner kronor enligt beslut i kommunfullmäktige. Men driftsbudgeten för 2018 och 2019 samt dyra engångskostnader innebär ytterligare kostnader om 258 miljoner kronor – utöver de 695 miljoner som tidigare budgeterats.

4. Granskning inledd mot Skolplattformen

I maj rapporterade Computer Sweden om att Datainspektionen inlett en granskning av Skolplattformen efter att Stockholms stad själva anmält personuppgiftsincidenter där felaktiga behörigheter till elevregistret tilldelats skolpersonalen.

Problemen med Stockholms stads skolsajt – Skolplattformen – som uppdagades i onsdags då obehöriga kunde komma åt information på sajten, skulle högst sannolikt ha upptäckts om det gjorts en säkerhetsgranskning av kunnig personal.

Det tror IT-säkerhetsexperten Joel Rangmo:

– Jag har inga detaljer, men av den information som ligger ute på twitter tycks det handlar om brister i plattformens behörighetshantering, det som hindrar att man kan se uppgifter andra än sina egna, säger Joel Rangmo.

Privatperson gjorde upptäckten

Bristen uppdagades av en privatperson och enligt Joel Rangmo var det många it-branschen som följde diskussionen och den information som lades ut på sociala medier. Den allmänna meningen var – enligt Rangmo – att det som hänt kan ha handlat om ytterst triviala saker som gått snett.

– Att denna typ av relativt grundläggande säkerhetsbrister påverkar tjänsten samt att detta inte upptäckt tidigare av varken leverantören eller Stockholms stad antyder att väsentligt säkerhetsarbete inte genomförts eller prioriterats.

Hade problemet kunnat undvikas?

– Utan att veta några mer detaljer så skulle jag gissa att det är högst sannolikt, förutsatt att säkerheten prioriterades och granskades i tjänsten.

Kan staden rätta till felet?

– När denna typ av triviala brister upptäcks i publika delar av en tjänst så brukar det också innebära att övriga delar av systemet inte håller särskilt hög kvalitet. Just den här bristen kanske kan åtgärdas ganska snabbt, men att åtgärda hela plattformen tar längre tid.

Kan inte kommentera

Johanna Engman, IT-direktör i Stockholms stad, säger att hon inte kan kommentera vad som orsakat felet. Hon tillbakavisar att staden låtit leverantören själva göra säkerhetsgranskningen.

– Vi har extern leverantör som gjort tester, det är inte leverantören som gjort tester, säger Johanna Engman. 

Kände ni er trygga med de testerna?

– Jag kan inte gå in på om vi kände oss trygga.

Johanna Engman, IT-direktör i Stockholms stad

Skolplattformen har säkerhetsgranskats av en extern leverantör, enligt Stockholms stads IT-direktör Johanna Engman. Foto: Stockholms stad.