– Vedkommande har kome seg inn i systemet på administratornivå, der ein har tilgang til personopplysningar. Totalt dreier det seg om 35.000 brukarar, men vi veit enno ikkje om vedkommande har nytta seg av tilgangen til opplysningane, seier kommunaldirektør Trine Samuelsberg i Bergen til NTB.

Innbrotet blei oppdaga seint måndag kveld. Kommunen har brukt tida etterpå til å kartleggja saka.

Administratornivå er det høgste nivået ein kan logga seg inn i systemet på. Samuelsberg stadfestar at innbrotet i påloggingsportalen e-Feide er «ei svært alvorleg sak». Ho kan ikkje sjå bort frå at personopplysningar til fleire tusen personar er på avvegar.

– Førebels har vi ikkje nok kunnskap til å seia noko om vedkommande har sett desse opplysningane og kva som eventuelt har skjedd med dei. Vi kjenner ikkje til korleis ein har kome seg inn i systemet eller kva som er motivet for innbrotet, seier ho.

Saka er meldt til Datatilsynet. Bergen kommune vurderer også å melda saka til politiet.

Administratornivå

Ved å ta seg inn i e-Feide på administratornivå – eit nivå svært få personar har tilgang til – har gjerningspersonen fått tilgang til fødselsnummer, namn, adresse og kontaktinformasjon til elevar og tilsette, ifølgje ei melding frå kommunen onsdag ettermiddag.

– Denne saka er alvorleg av fleire grunnar, det er mange personar som kan vera ramma, og mange av dei er barn. Vi registrerer også at leverandøren tek hendinga alvorleg og har bidrege positivt til at tiltalane kan setjast i verk så snart som mogleg, seier rådgjevar Magnus Kroken i avdeling for personvern og informasjonstryggleik i kommunen.

Det er selskapet Identum AS i Bergen som har levert og som administrerer e-Feide. Selskapet oppdaga sjølv innbrotet rundt 23.45 måndag. Kommunen arbeider no saman med Identum for å få greie på kva som har skjedd, korleis det kunne skje og kva som er konsekvensen av innbrotet.

Skjerpar tryggleiken

Kommunen har no teke fleire grep for å skjerpa tryggleiken til systemet. Alle tilgangar blei straks stengde då innbrotet blei oppdaga, og alle passord er nullstilte.

Administratorar har hittil kunna logga seg inn i éin operasjon ved å skriva inn passord. Kommunen har no bestilt eit to-faktorsystem, som inneber at ein må identifisera seg to gonger før ein blir logga på.

Kommunen vurderer også om det skal innførast eit sporingssystem i systemet.

– Systemet vi har er godkjent i tråd med det nye personvernregelverket. Likevel avdekkjer hendinga svake sider med tryggleiken. Dette er no forsterka. Vi vil at tilsette og elevane våre skal kunne stola på at informasjonen vi har om dei, blir teken vare på på ein trygg og sikker måte, seier Samuelsberg.

