Ny säkerhetslucka i Stockholms stad – utbildningsminister kallas till utskott

I veckan avslöjade Ny Teknik att Stockholms stads inloggningssystem har en omfattande säkerhetslucka. Staden har känt till luckan, som i interna mejl beskrivs som ”permanent och enorm”, sedan åtminstone i december, utan att täppa till den. Både den, och en annan sårbarhet, hittade i Stockholms stads skolplattform.

Enligt uppgifter till Ny Teknik har en ny säkerhetsbrist hittats på Skolplattformen. Genom en lucka kunde en angripare hitta personuppgifter om hela Sveriges befolkning, alltså även de som inte bodde i Stockholm.

Enligt Stefan Carlson, enhetschef på Stockholms stads centrala it-avdelning, gällde felet två av stadens e-tjänster.

– I en url kunde man stoppa in ett annat personnummer än sitt eget och på sätt få fram uppgifter om namn, adress, och om personen är folkbokförd i Stockholms stad. Det har inte gått att komma åt något annat än det, säger han.

Vet ni om sårbarheten använts av någon för att komma åt uppgifter den inte ska ha rätt till?

– Nej, vi har inga registrerade incidenter och känner inte till att det tillämpats på något sätt.

Tacksam för de som letat fel

Sårbarheten rapporterades till Stockholms stad i söndags kväll och hade åtgärdats på måndagen. Det gick alltså betydligt snabbare än med de sårbarheter som rapporterades tilll staden i början av december, och som sedan inte rättades till på nästan fyra månader.

– Det här var mycket enklare att åtgärda på ett säkert sätt. Så fort vi fick reda på det stängde vi tjänsterna, och nu pågår tester för att kunna ta upp de igen vilket jag hoppas kunna ske i dag, säger Stefan Carlson.

Han kallar sårbarheten för oacceptabel, men säger samtidigt:

– Jag vill verkligen inte bagatellisera det här, många har aktivt letat fel i våra tjänster och det är jag glad och tacksam för. Men man behöver sätta det i perspektiv till de upp emot 100 e-tjänster som staden har, att det hittats fel i två och känsligheten i just detta. Inga skyddade personuppgifter eller annan känslig information kopplat till de specifika tjänsterna har exponerats.

C kallar utbildningsministern till utskottet

Riksdagsledamoten Niels Paarup-Petersen (C) är en av dem som har reagerat på nyheterna om säkerhetsluckor.

– Det är extraordinärt illa. Hade det varit liknande problem med de fysiska lokalerna i Stockholm hade det varit uppror, men som så ofta är det svårt att få politiken att förstå problem i den digitala sfären, säger han till Ny Teknik.

Efter avslöjandena har han kallat utbildningsminister Anna Ekström (S) till riksdagens utbildningsutskott, för att förklara hur arbetet med digitalisering av skolan ska gå framåt.

– Det som händer i Stockholms stad är deras ansvar, men att alla kommuner måste bygga sina egna it-system för skolan är för att staten har abdikerat från området, säger Niels Paarup-Petersen.

Tillsammans med sitt parti driver Paarup-Petersen frågan om att inrätta en it-haverikommission för att utreda fel vid samhällskritiska IT-haverier.

– Det här är ett typexempel på när det skulle vara användbart för att ge ökad säkerhet i hela Sverige genom att problem och lösningar kommuniceras till andra organisationer i samhället. Då kommer lösningar och insikter inte bara till nytta i det enskilda systemet utan i hela landet, säger han.