Ping Pong ligger bakom Skolplattformen – slopades av Göteborg

I går onsdag stängde Stockholm stad ner delar av Skolplattformen, it-systemet som staden använder för att sköta ärendet kring elevers skolgång, samt kontakten med barnens föräldrar.

Detta efter att en privatperson, som också är förälder och Skolplattformen-användare, upptäckt en säkerhetslucka som gjorde det möjligt att hämta känslig information om både elever och lärare från systemet.

Felet upptäcktes i en del av Skolplattformen som berör elevdokumentation. I den delen av systemet kunde privatpersonen hitta namn och personnummer på alla lärare och skolbarn i Stockholms stad - plus samtliga elevers skolomdömen.

Stockholms stad bekräftade sent på onsdagseftermiddagen att det finns en säkerhetslucka i funktionen för elevdokumentation.
I går onsdag inleddes dessutom en ”omfattande” utredning om den befarade personuppgiftsincidenten, berättar Johanna Engman, it-direktör i Stockholm stad, för Ny Teknik.

– I utredningen ska vi bland annat titta på vad som krävs för att vi ska kunna ta hela systemet i drift igen, säger hon.

När kommer utredningen vara klar?

– Vi har inget datum för det. Det rör sig om en grundlig undersökning av vad som har hänt, och vad som krävs för att få en säker leverans av tjänsten. Eftersom det är så pass mycket data, många användare och mycket information att titta på i utredningen är det ingenting som görs på en kvart.

För Ny Teknik berättar Johanna Engman att det är det svenska it-företaget Ping Pong som står bakom utvecklingen av den del av Skolplattformen där integritetskänslig information om lärare och skolbarn kan ha röjts.

Stockholmsföretaget Ping Pong, med cirka 40 anställda, har tidigare bland annat tagit fram lärplattformen Hjärntorget. Den plattformen valde Göteborgs stad att skrota tidigare i år efter massiv kritik från pedagoger, elever och vårdnadshavare.

Har Ping Pong varit med och utvecklat även andra it-tjänster hos er?

– De har tagit fram den del av Skolplattformen som hanterar elevdokumentation, men omfattningen av leveransen är lite större än vad vi har stängt ner i systemet. De andra delarna av funktionen som de har levererat är dock uppsatta på ett annat sätt än delen som handlar om elevdokumentation.

Men har samma leverantör tagit fram delar även i andra system hos er?

– Nej, det gäller bara Skolplattformen.

– Dessa delar har en helt annan uppsättning av api:er. Men i utredningen kommer vi att titta på fler delar i systemet än bara elevdokumentation, ja. Men huvudfokus kommer att ligga på just den delen, säger Johanna Engman.

Hur ser ert förtroende för Ping Pong ut i dag?

– Jag tänker inte gå in på det. Ingen kommentar.

För Ny Teknik bekräftar Johanna Engman att det funnits en kravspecifikation för it-säkerhet under utvecklingen av Skolplattformen, vilket är ett vanligt förfarande i den här typen av projekt. I kravspecifikationen har det tydligt framkommit vad leverantörerna ska leva upp till, rent it-säkerhetsmässigt.

Kan Ping Pong ha begått något slags avtalsbrott utifrån kravspecifikationerna?

– Vi kan inte uttala oss om det innan den pågående utredningen är klar.

Har ni testat it-säkerheten i just den del som rör elevdokumentationen?

– Vi har gjort tester i samband med att den delen av systemet levererades till oss, ja.

Vad har testerna omfattat?

– Det kan jag inte gå in på. Vi får ta det när utredning är klar.

Finns det några indikationer på att andra än användaren som upptäckte säkerhetsläckan kan ha tagit del av känsliga personuppgifter?

– Det är något som vi tittar på i utredningen.