– Vedkommende har kommet seg inn i systemet på administratornivå, hvor man har tilgang til personopplysninger. Totalt dreier det seg om 35.000 brukere, men vi vet ikke ennå om vedkommende har benyttet seg av tilgangen til opplysningene, sier kommunaldirektør Trine Samuelsberg i Bergen til NTB.

Innbruddet ble oppdaget sent mandag kveld. Kommunen har brukt tiden siden da til å kartlegge saken.

Administratornivå er det høyeste nivået man kan logge seg inn i systemet på. Samuelsberg bekrefter at innbruddet i påloggingsportalen e-Feide er «en svært alvorlig sak». Hun kan ikke utelukke at personopplysninger til flere tusen personer er på avveie.

– Vi har ikke nok kunnskap foreløpig til å si noe om vedkommende har sett disse opplysningene og hva som eventuelt har skjedd med dem. Vi kjenner ikke til hvordan man har kommet seg inn i systemet eller hva som er motivet for innbruddet, sier hun.

Saken er meldt til Datatilsynet. Bergen kommune vurderer også å anmelde saken til politiet.

Administratornivå

Ved å ta seg inn i e-Feide på administratornivå – et nivå svært få personer har adgang til – har gjerningspersonen fått tilgang til fødselsnummer, navn, adresse og kontaktinformasjon til elever og ansatte, ifølge en melding fra kommunen onsdag ettermiddag.

– Denne saken er alvorlig av flere grunner, det er et stort antall personer som kan være berørt, og mange av dem er barn. Vi registrerer også at leverandøren tar hendelsen alvorlig og har bidratt positivt til at tiltakene kan iverksettes så snart som mulig, sier rådgiver Magnus Kroken i avdeling for personvern og informasjonssikkerhet i kommunen.

Det er selskapet Identum AS i Bergen som har levert og som administrerer e-Feide. Selskapet oppdaget selv innbruddet rundt 23.45 mandag. Kommunen jobber nå sammen med Identum for å ta rede på hva som har skjedd, hvordan det kunne skje og hva som er konsekvensen av innbruddet.

Skjerper sikkerheten

Kommunen har nå tatt flere grep for å skjerpe sikkerheten til systemet. Alle tilganger ble umiddelbart stengt da innbruddet ble oppdaget, og alle passord er nullstilt.

Administratorer har fittil kunnet logge seg inn i én operasjon ved å skrive inn passord. Kommunen har nå bestilt et to-faktorsystem, som innebærer at man må identifisere seg to ganger før man blir logget på.

Kommunen vurderer også om det skal innføres et sporingssystem i systemet.

– Systemet vi har er godkjent i tråd med det nye personvernregelverket. Likevel avdekker hendelsen svakheter med sikkerheten. Den er nå forsterket. Vi vil at ansatte og elevene våre skal kunne stole på at informasjonen vi har om dem, blir tatt vare på på en trygg og sikker måte, sier Samuelsberg.

