Ping Pong ligger bakom Skolplattformen – slopades av Göteborg

2019-08-22 16:45  

Det är it-företaget Ping Pong som har utvecklat den del av Skolplattformen där känsliga elevdata var åtkomlig för obehöriga. Ping Pong har tidigare tagit fram det kritiserade it-systemet Hjärntorget, som nyligen skrotades av Göteborg stad.

I går onsdag stängde Stockholm stad ner delar av Skolplattformen, it-systemet som staden använder för att sköta ärendet kring elevers skolgång, samt kontakten med barnens föräldrar.

Detta efter att en privatperson, som också är förälder och Skolplattformen-användare, upptäckt en säkerhetslucka som gjorde det möjligt att hämta känslig information om både elever och lärare från systemet.

Felet upptäcktes i en del av Skolplattformen som berör elevdokumentation. I den delen av systemet kunde privatpersonen hitta namn och personnummer på alla lärare och skolbarn i Stockholms stad - plus samtliga elevers skolomdömen.

Stockholms stad bekräftade sent på onsdagseftermiddagen att det finns en säkerhetslucka i funktionen för elevdokumentation.
I går onsdag inleddes dessutom en ”omfattande” utredning om den befarade personuppgiftsincidenten, berättar Johanna Engman, it-direktör i Stockholm stad, för Ny Teknik.

– I utredningen ska vi bland annat titta på vad som krävs för att vi ska kunna ta hela systemet i drift igen, säger hon.

Läs mer: Stockholm panikstänger skolplattform – ”Chockerande att säkerheten är så dålig”

När kommer utredningen vara klar?

– Vi har inget datum för det. Det rör sig om en grundlig undersökning av vad som har hänt, och vad som krävs för att få en säker leverans av tjänsten. Eftersom det är så pass mycket data, många användare och mycket information att titta på i utredningen är det ingenting som görs på en kvart.

För Ny Teknik berättar Johanna Engman att det är det svenska it-företaget Ping Pong som står bakom utvecklingen av den del av Skolplattformen där integritetskänslig information om lärare och skolbarn kan ha röjts.

Stockholmsföretaget Ping Pong, med cirka 40 anställda, har tidigare bland annat tagit fram lärplattformen Hjärntorget. Den plattformen valde Göteborgs stad att skrota tidigare i år efter massiv kritik från pedagoger, elever och vårdnadshavare.

Har Ping Pong varit med och utvecklat även andra it-tjänster hos er?

– De har tagit fram den del av Skolplattformen som hanterar elevdokumentation, men omfattningen av leveransen är lite större än vad vi har stängt ner i systemet. De andra delarna av funktionen som de har levererat är dock uppsatta på ett annat sätt än delen som handlar om elevdokumentation.

Läs mer: Varför får Sveriges sämsta it-företag ta hand om våra barn?

Men har samma leverantör tagit fram delar även i andra system hos er?

– Nej, det gäller bara Skolplattformen.

Kommer ni att titta på it-säkerheten även i de andra delar som de har levererat till er?

– Dessa delar har en helt annan uppsättning av api:er. Men i utredningen kommer vi att titta på fler delar i systemet än bara elevdokumentation, ja. Men huvudfokus kommer att ligga på just den delen, säger Johanna Engman.

Hur ser ert förtroende för Ping Pong ut i dag?

– Jag tänker inte gå in på det. Ingen kommentar.

Läs mer: Ygeman om dataläckan i skolplattformen: Det är upprörande

För Ny Teknik bekräftar Johanna Engman att det funnits en kravspecifikation för it-säkerhet under utvecklingen av Skolplattformen, vilket är ett vanligt förfarande i den här typen av projekt. I kravspecifikationen har det tydligt framkommit vad leverantörerna ska leva upp till, rent it-säkerhetsmässigt.

Kan Ping Pong ha begått något slags avtalsbrott utifrån kravspecifikationerna?

– Vi kan inte uttala oss om det innan den pågående utredningen är klar.

Har ni testat it-säkerheten i just den del som rör elevdokumentationen?

– Vi har gjort tester i samband med att den delen av systemet levererades till oss, ja.

Vad har testerna omfattat?

– Det kan jag inte gå in på. Vi får ta det när utredning är klar.

Finns det några indikationer på att andra än användaren som upptäckte säkerhetsläckan kan ha tagit del av känsliga personuppgifter?

– Det är något som vi tittar på i utredningen.

Kalle Wiklund

Kommentarer

Välkommen att säga din mening på Ny Teknik.

Principen för våra regler är enkel: visa respekt för de personer vi skriver om och andra läsare som kommenterar artiklarna. Alla kommentarer modereras efter publiceringen av Ny Teknik eller av oss anlitad personal.

  Kommentarer

Debatt