En administrator på den statslige id-løsning Uni-Login er meldt til politiet efter at have misbrugt sine rettigheder.
»Vi kan bekræfte, at der er en bruger, der har misbrugt sine administratorrettigheder,« fortæller kontorchef i Styrelsen for IT og Læring Klaus Østergaard Jensen.
»Den bruger er blevet politianmeldt, og så vidt vi kan forstå, har politiet sigtet vedkommende. Nu foregår der en efterforskning, som vi ikke kan sige så meget om,« fortsætter han.
Uni-Login er et digitalt id for elever, forældre, og medarbejdere på institutioner, som stilles til rådighed af styrelsen. Login’et bruges som id-løsning ved en lang række digitale tjenester på undervisningsområdet, såsom de nationale test, Undervisningsministeriets digitale prøveafviklingssystem, de nationale trivselsmålinger m.v.
Der er dog ikke noget, der tyder på, at misbruget er anvendt til at hente eller få adgang til personfølsomme oplysninger, siger Klaus Østergaard Jensen.
»Man kan ikke få adgang til enkelte brugeres besvarelser på for eksempel trivselsundersøgelser. Man kan bruge det til at afgive oplysninger, men det er de her brugere ikke blevet anvendt til,« forklarer han.
Gode logs
Som administrator i Uni-Login har man blandt andet adgang til andre brugeres brugernavne og passwords.
Og her har personen hentet andre brugeres login-oplysninger, og brugt dem til at logge ind på brugeradministrationen og enkelte andre af undervisningsministeriets systemer, forklarer kontorchefen.
»De passwords, personen har brugt, har vi nulstillet, og vi har kontaktet brugerne.«
I har ikke valgt at nulstille alle brugere?
»Vi har ret gode logs over, hvilke brugere der er blevet misbrugt, så derfor har vi valgt kun at nulstille dem.«
På hver af landets 3-4.000 institutioner er der som regel flere, der har administratorrettigheder. Dertil kommer, at kommuner typisk har en administrator, der har adgang til flere skoler.
Klaus Østergaard Jensen kan ikke sige noget om, hvor mange skoler den pågældende har været administrator for.
Indfører NemID
Præcis hvor længe misbruget har stået på, vil nu være en del af politiets efterforskning.
Klaus Østergaard Jensen bekræfter, at misbruget blev opdaget af den tekniske overvågning, som styrelsen har sammen med blandt andre SkoleIntra.
Episoden har givet anledning til at gå sikkerheden efter i sømmen hos Styrelsen for It og Læring.
»Vi kan se et behov for generelt at stramme op på sikkerheden omkring administratorer i systemet,« Klaus Østergaard Jensen og fortsætter:
»Derfor har vi planlagt at nulstille alle administrator-passwords, vi indfører krav om NemID for at logge ind på brugeradministrationen, og vi begrænser den information, man kan se i brugeradministrationen.«