Stockholm anlitar ”hackare” för att säkra skolplattformen

– Vi vill säkerställa att det inte finns några ytterligare brister utan att säkerheten håller den standard som vi förväntar oss, säger Stockholms stads it-direktör Johanna Engman till Ny Teknik.

It-säkerhetsföretaget Certezza kommer nu att få tillgång till systemen för att utföra så kallade penetrationstester. Det betyder att de i princip agererar som hackare för att försöka hitta fler sårbarheter och buggar i systemet innan de kan utnyttjas för dataintrång.

Ni har tidigare sagt att de aktuella systemen redan har utsatts för externa penetrationstester när de levererades. Ändå fanns de här sårbarheterna, som beskrivs som ganska basala, kvar. Var de första testerna inte tillräckligt bra?

– Jag vill inte göra den bedömningen innan vi är klara med vår utredning, men med facit i hand borde fler saker ha testats.

Tycker du att ni borde ha större kompetens internt att upptäcka den här typen av brister?

– Vi har valt att köpa in testerna dels för att vi vill ha en extern granskning men också för att de ska ha en hög kompetens kring området.

Det har gått en vecka sedan Stockholms stad panikstängde delar av it-systemet Skolplattformen. Detta efter att en förälder visat hur det enkelt gick att ladda ned barns personuppgifter via tjänsten.

Två incidenter på en vecka

Bara några dagar senare uppmärksammades kommunen på ännu en sårbarhet. Även den här gången kom tipset från en förälder som hörde av sig till Johanna Engman. Via tjänstens startsida gick det att söka upp föräldrars namn, telefonnummer, adress och e-post.

– I det fallet var man tvungen att ha kunskap om någons personnummer, och hade man det kunde man sedan se de uppgifterna, säger Johanna Engman.

Båda sårbarheterna fungerade på liknande sätt. Genom att gå in i utvecklarläget i webbläsaren gick det att ändra vilket anrop som skickades till systemets backend, och därmed få ut mer information än man egentligen var behörig att ta del av.

Den här andra sårbarheten var dock betydligt enklare att komma åt och kunde åtgärdas redan samma dag som tipset inkom.

– Det var samma väg för att komma åt informationen men åtgärden var betydligt lättare, det var en enkel förändring i koden för att täppa till det där, säger Johanna Engman.

Stockholms skolplattform är uppbyggd i flera olika moduler som levererats av olika it-företag. Den modul där den första sårbarheten upptäcktes kallas för elevdokumenationen och är fortfarande nedstängd för allmänheten.

Kommunen har bett it-företaget Ping Pong, som levererat modulen för elevdokumentation, att bygga om den från grunden för att åtgärda bristerna. Detta arbete beräknas ta åtminstone 3-4 veckor.

– Vårt fokus är att vi får upp en modul som håller säkerhetskraven snarare än att det går fort. Säkerhet går före snabbhet, säger Johanna Engman.

När den nya modulen är färdigbyggd ska även den utsättas för penetrationstester.