Fjernede '_secure' fra url i studie-it og fik advarsel: »Sørgeligt, at afgørelsen har trukket så langt ud«

26. april 2017 kl. 13:0110
Datatilsynet er nået frem til en afgørelse på baggrund af en anmeldelse fra 2015, der kostede en gymnasieelev en advarsel.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Da daværende gymnasieelev Jonas Boserup tilbage i 2015 fandt et sikkerhedshul i et studieadministrativt system, som han anmeldte til Datatilsynet, modtog han en advarsel fra det gymnasium, han gik på.

Nu er Datatilsynet nået frem til en afgørelse, hvor der bliver rejst kritik af sikkerheden i systemet, som Styrelsen for It og Læring (STIL) står bag.

I dag er Jonas Boserup færdig med sin uddannelse på gymnasiet og læser software engineering på Syddansk Universitet. Version2 har spurgt ham til, hvordan han har det med, at der nu lader til at være sat punktum i sagen.

»Det er jo selvfølgelig godt i den forstand, at der er sket noget, men det er også sørgeligt, at det har trukket så langt ud, som det har,« siger han.

Artiklen fortsætter efter annoncen

Datatilsynet beklager i afgørelsen den lange sagsbehandlingstid, som bliver begrundet med stor travlhed.

»Et organ som Datatilsynet burde helt klart have flere ressourcer, end de har,« mener Jonas Boserup.

Fjernede ‘_secure’

Kritikken i den aktuelle afgørelse fra Datatilsynet, som Version2 tidligere har omtalt, går på, at STIL’s behandling af personoplysninger i systemet EASY-P - et system til praktikadministration - ikke har levet op til kravet om fornødne sikkerhedsforanstaltninger i persondataloven.

Tilbage i 2015 havde Jonas Boserup opdaget, hvordan det var muligt at omgå sikkerheden i systemet blot ved at fjerne '_secure' fra en url. Og herefter kunne folk søges frem via CPR-nummer.

Ifølge Jonas Boserup var denne CPR-søgning vel at mærke ikke begrænset til elever på den pågældende skole; Teknisk Gymnasium på Selandia i Slagelse.

Jonas Boserup anmeldte sin opdagelse til Datatilsynet i august 2015, hvilket efterfølgende resulterede i, at han modtog en advarsel fra skolen med begrundelsen, at det ikke var lovligt »at gå ind og rode i de systemer, hvor vi har vores personnumre og vores aktiviteter at styre efter,« som direktør for Selandia-skolen Michael Kaas-Andersen dengang udtrykte det.

I dag fortæller Jonas Boserup, at han efter advarslen ikke 'har fjernet _secure fra nogen url-adresser siden', ligesom han generelt heller ikke har rodet rundt i nogle studieadministrative systemer.

10 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
10
28. april 2017 kl. 14:59

Nej, men det er helt sikkert "Uautoriseret ophold" at gå ind.

Nu ved du ikke om banke holder sent åbent ?

Selvom det i dag nok er mere tilfældet at de har helt lukket. Men også ligegyldigt hvis du skal have penge, de har ingen.

Jeg bruger da også at ændre i adressefeltet, for hurtigere og nemmere tilgang til filer, drev og andet. Hvis man derved kommer ind på noget man ikke må. Så må de prøve at sagsøge mig. Men jeg tror at jeg tager det helt roligt, det svarer til at en bilproducent, sagsøger en fører af en bil som er kørt galt. Fordi deres bremser svigtet.

Men det viser vel helt sikker at STIL’s system EASY-P, er noget lort, og ikke virker efter hensigten. Samt er meget usikker og ubrugeligt. Når de så samtidigt bagefter vil sagsøger deres kunders klienter, så springer kæden da helt af. Altså STIL EASY-P

8
27. april 2017 kl. 14:50

Er det ulovligt at tage i dørhåndtaget i banken efter lukketid for at sikre at de passer godt på dine penge?

6
27. april 2017 kl. 13:33

.... ?

4
26. april 2017 kl. 17:02

Et forældrepar kontaktede mig. Deres søn var anklaget for hackning på sin skole.

Skolen smed ham ud, og krævede 25.000 kr for dækning af deres tab.

De 25.000 kr skulle basalt dække de ikke havde styr på deres recovery process. Og mit gæt er de stadigvæk ikke har styr på det.

Jeg bede skolen om at dokumentere deres krav. Dokumentationen kom aldrig, men de havde intet problem i at smide eleven ud.

Hele skolens netværk var frit tilgængelig fra Internet, alle PC'er, printer og servere, selv switchen kunne man logge på fra Internet med default password.

Udstyret var ej patchet.

Skole anklager en elev, men ikke selv har styr på de mest basale ting, som:

  • audit trail.
  • recovery process.
  • netværks segmentering.
  • patch process.
  • hardning af udstyret.

Jeg er dog sikker på de havde installeret antivirus på deres PC'er suk

2
26. april 2017 kl. 14:47

Ahhh, hold nu op - det er jo tydeligt for enhver at det er bundulovligt at fjerne _secure. Du går jo heller ikke bare ind af en dør som der står "Låst" på, vel? ... eller noget...

Spøg til side... det er det jo nok desværre - de straffer ham jo ikke for anmeldelsen, men for dét der førte til anmeldelsen (modsvarende ovenstående analogi). Var der ikke også noget med at de fra starten faktisk bortviste ham, men måtte trække det tilbage da de fandt ud af at det bare måske var dem selv der burde bortvises til tid og evighed?

1
26. april 2017 kl. 14:32

Jonas Boserup anmeldte sin opdagelse til Datatilsynet i august 2015, hvilket efterfølgende resulterede i, at han modtog en advarsel fra skolen med begrundelsen, at det ikke var lovligt »at gå ind og rode i de systemer, hvor vi har vores personnumre og vores aktiviteter at styre efter,« som direktør for Selandia-skolen Michael Kaas-Andersen dengang udtrykte det.

Jonas anmelder et brud på persondatabeskyttelsen til myndighederne.

Den skole som er dataansvarlig myndighed og dermed i den anklagedes rolle, vælger at give en advarsel til anmelder og derved true anmelder på hans videre uddannelsesforløb.

Er det lovligt på den måde at straffe og true den der anmelder en til myndighederne?