Laguner i it-sikkerheden

Skolerne skal tage sig i agt for ikke at give nem adgang til følsomme oplysninger på skoleportal og intranet

Publiceret Senest opdateret

Bemærk

Denne artikel er flyttet fra en tidligere version af folkeskolen.dk, og det kan medføre nogle mangler i bl.a. layout, billeder og billedbeskæring, ligesom det desværre ikke har været teknisk muligt at overføre eventuelle kommentarer under artiklen.

Det gælder om at se sig for, når man anskaffer software til sin skoleportal. Helt ned til brug af password kan der dukke problemer op.

Det mener skolekonsulent i Randers Jørgen Schirmer Nielsen.

Han har gransket de forskellige skoleportaler på markedet og mener, at en af dem, KMDs MinSkole, bringer både lærernes og elevernes datasikkerhed i fare.

»Anderledes kan man ikke se det«, siger han. »Den valgte løsning passer ind i firmaets øvrige softwareudvikling, men slet ikke til det, skolerne har behov for«.

KMD, der tidligere hed Kommunedata, har valgt at tildele alle brugere en kode, der består af dels personens CPR-nummer, dels en adgangskode på otte cifre efter eget valg.

Sikkerhedskæden hopper efter skolekonsulentens mening af to steder.

»Når læreren i en undervisningssituation sammen med eleverne skal logge på systemet, kan eleverne med et lille simpelt stykke software, der kan downloades fra nettet, optage det, læreren taster ind, og vupti så er både CPR-nummer og adgangskode til en mængde oplysninger på skolens datanet afsløret«.

Den anden sikkerhedsbrist angår eleverne.

»Mange mindre elever vil ikke kunne huske deres fulde CPR-nummer og slet ikke den ottecifrede pinkode. Skolerne vil derfor komme til at flyde med små papirlapper med CPR-numre og pinkoder. Det giver masser af muligheder for misbrug«, siger Jørgen Schirmer Nielsen.

To eksperter i datasikkerhed giver ham ret.

»Det lyder imponerende med en så omfattende adgangskode, men så snart den bruges på en computer, der ikke er sikker, kan koden afsløres, uanset hvor lang den er. Så er det mere sikkert at give lærerne to koder, der giver adgang til forskellige områder, så de ikke risikerer at afsløre adgangen til for eksempel personfølsomme oplysninger, siger teknisk chef i Fort Consult, Kim Willén.

Små gule sedler

»Der er masser af muligheder for at aflæse et password. Det kan være et spy-wareprogram, som en anden bruger har lagt ind, eller en virusorm, der sender password til en e-mail-adresse. Medmindre der er et fysisk element, for eksempel en token, med i løsningen, kan sikkerheden gennemhulles«, siger direktør Lars Neupart, Neupart A/S.

Han mener desuden, at skolekonsulenten fra Randers har ret i, at et password på i alt 18 cifre næsten er en opfordring til at skrive små gule sedler.

I KMD kender man godt kritikken, men ...

»Vi har aldrig hørt om, at der er opdaget spywareprogrammer på skoler i Danmark«, siger produktmarkedschef Jeffrey Porsborg-Smith, KMD.

Dermed afviser firmaet dog ikke, at der er et problem.

»Man er nødt til at passe på sit løsen, og viser det sig, at der opstår sikkerhedsproblemer på skolerne, så kan vi indføre et ekstra password til lærerne, der giver adgang til de personfølsomme områder«.

Det mener Jørgen Schirmer Nielsen ikke er nok.

»CPR-nummeret og den samme adgangskode bruges også i KMDs og Post Danmarks e-boks-system, som folk bruger til at opbevare kontoudtog og lønsedler i, så et ekstra password gør det ikke«, siger han.

De to andre store aktører på markedet for skoleportaler, UNI-C og Tabulex, har valgt andre og ifølge Kim Willén og Lars Neupart mere sikre password-løsninger.

folkeskolen@dlf.org

Spyware: En fællesbetegnelse for software, der kan aflæse, hvad en bruger foretager sig på en computer. Oplysningerne kan via internetforbindelsen sendes videre til tredjeperson.

Token: Transportabel hardware, der sættes ind i computeren, og som bruges til at godkende brugerens password.

Powered by Labrador CMS