Ett IT-system som används i många skolor får skarp kritik. »Sannolikt har fler kommuner brister i säkerheten«, säger Per Mosseby på SKL.
— Det var vidöppna dörrar rakt in i systemet, säger Lars Bergsten (M), stadsrevisionens ordförande i Göteborg.
Att stadsrevisionen väljer att göra en särskild satsning och tittar på informationssäkerheten är bra, menar Per Mosseby, chef för SKL:s avdelning för digitalisering.
— Det skulle kunna göras oftare i kommunerna. När ett 50-tal kommuner har samma system är det naturligtvis stor sannolikhet att det finns fler som har brister, säger Per Mosseby.
I rapporten påtalar stadsrevisionen i Göteborg flera säkerhetsbrister. En stor mängd känsliga personuppgifter var åtkomliga. Rutiner för att följa upp informationssäkerheten saknades. Den externa IT-konsult som stadsrevisionen anlitat för att göra granskningen såg också en risk att betyg och omdömen kan ändras.
— Det går att kapa en identitet. Om den identiteten har full behörighet att ändra betyg och omdömen så kan en hacker också göra det, säger Lars Bergsten.
Efter publiceringen av stadsrevisionens rapport för några veckor sedan har förvaltningen arbetsmarknad och vuxenutbildning hävdat att den del av kritiken som gäller betygen inte stämmer, men den invändningen tillbakavisar Lars Bergsten.
— Både min och konsultens uppfattning kvarstår. Betyg är myndighetsutövning och då ska det vara vattentätt. Konsulten hittade 19 säkerhetsbrister i systemet, säger han.
Om någon obehörig varit inne i systemet är däremot oklart.
— Vi granskar inte om det hänt, utan om det finns en risk att det kan ske, säger Lars Bergsten.
Som en följd av kritiken skärper Göteborgs stad nu säkerheten kring inloggningen i systemet Alvis. Från 1 maj krävs att man verifierar sin inloggning med ett lösenord som skickas via sms eller bank-id.
Nästa vecka träffas de för att se om säkerheten behöver stärkas ytterligare, utöver de förbättringar som leverantören, IT-företaget Gotit, gjort efter stadsrevisionens kritik. På sin hemsida skriver bolaget att det sett över sina säkerhetsrutiner. Den funktion som används för att ändra betyg skyddas nu i flera steg, bland annat med kryptering och behörighetskontroll.
— Det ligger också på oss kommuner att se över våra egna säkerhetsrutiner, säger Frida Svärd, rektor för vuxenutbildningen i Kungsbacka.
Att som stadsrevisionen i Göteborg granska de datorsystem som den kommunala utbildningsverksamheten använder, hör till undrantagen. Datainspektionen kontrollerar ibland hur personuppgifter skyddas i enskilda kommuner, men inte rutinmässigt på det sätt som till exempel Skolinspektionen arbetar.
— Det ligger på de enskilda skolorna att se till att de har en ordentlig säkerhet kring hur de använder både traditionella IT-system och molntjänster, säger Ulla Harnesk, jurist på Datainspektionen.