Personvern i fare – skoleelever kan kontaktes åpent på nett
Norske skolebarn i mange kommuner er kontaktbare via Teams på nett fra hvem som helst. Ved kun å vite fornavnet og etternavnet på barnet er det i mange tilfeller enkelt å ta direkte kontakt.
Computerworld har over tid jobbet med å identifisere et personvern-problem basert på standard e-postadresser som tildeles barn for innlogging på blant annet Teams.
Under pandemien stengte skolene og mye av undervisningen flyttet over på videoplattformer, og i mange tilfeller Microsoft Teams. Elevenes epost-adresser, som brukes til innlogging i andre tjenester som Feide, ble da brukt til å logge inn som brukere.
Skoleeposter er i veldig mange tilfeller satt opp i formatet fornavn.etternavn@skolenavn.no. Ofte er også adressen registrert under kommunen, slik at om det er flere skoler i kommunen er disse samlet under kommunens navn. Skolene i kommunen Lier, som et eksempel, bruker @lierskolen.no som samleadresse for alle skolene i kommunen.
Potensielle farer
Computerworld ønsker å sette fokus på denne saken på grunn av de potensielle farene ved at både fremmede og familie kan ta direkte kontakt med barn via Teams. Etter pandemien er mange barn i barneskole-alder vante med å bruke Teams som et verktøy til å chatte eller ha video-samtaler, og har kanskje lavere terskel for å svare på plattformer som Teams, fremfor andre kontaktflater som Showbie eller mail, som primært brukes i undervisningen.
Terskelen virker anekdotisk sett også lavere for barn å åpne videosamtaler på teams, uten å vite hvem eller hva som befinner seg på den andre siden.
Det er også enkelt å sette opp Teams-kontoer under falske navn, og det er mulig å sette brukernavnet til et navn barnet kjenner igjen, eller en versjon av «pappa» eller «mamma». Dermed er det også mulig å be barnet for eksempel låse opp en dør eller komme ut. Det er samtidig enkelt for barn på forskjellige skoler i kommunen å kontakte hverandre, uten at det er noen form for aksept eller tillatelser til stede. Faren for mobbing på tvers av skolene øker dermed også.
I verste fall er det enkelt for involverte parter i en barnevernssak å kontakte barn under falskt eller eget navn.
Feide og Teams
Shahzad Rana, teknologidirektør hos Microsoft sier navnekonveksjonen blir definert i Feide, og at skolene bruker denne videre i Teams.
– Etter Computerworlds henvendelse har vi sjekket internt i Microsoft. Vår erfaring tilsier at kommuner og skoler tar personvern og sikkerhet på alvor for sine elever. Autentiseringen til Teams i skolene skjer gjennom Feide, en tjeneste levert av Uninett i samarbeid med Utdanningsdirektoratet og Unit. Det er i Feide skolene definerer navnekonvensjonen som brukes til pålogging av skolens digitale resurser. Vi opplever at de fleste skoler bruker en form for anonymiserte navnekode f.eks p1234@skolenavn.no i Feide, men forstår det kan oppstå personvernsutfordringene der navnekonvensjonen er ‘fornavn.etternavn@skolenavn.no’ slik Computerworld skisserer.
Hildegunn Vada, avdelingsdirektør hos Uninett, som utvikler Feide, sier de er opptatt av sikkerhet, men at sikkerheten ikke kan baseres på utformingen av brukernavn.
– Uninett er svært opptatt av barns sikkerhet på nett. Brukernavn i Feide ser forskjellig ut fra kommune til kommune, og man kan ikke basere sikkerhet på hvordan brukernavn er utformet. Kommunen eller skoleeierne må benyttes de funksjoner og muligheter som ligger i Teams til å oppnå riktig nivå på elevenes sikkerhet, slik at barna ikke kan kontaktes, sier Vada i en epost til Computerworld.
Skoleeier er ansvarlig
Feide er utviklet av Uninett som samarbeider med Utdanningsdirektoratet og Unit om forvaltningen. Avdelingsdirektør Einar Simonsen Plahter i Utdanningsdirektoratet sier direktoratet gir generelle råd om personvern, risikovurderinger og informasjonssikkerhet, men at de i utgangspunktet ikke går inn i enkeltsaker innenfor kommunenes eget ansvarsområde.
– Skole- og barnehageeier er ansvarlig for å ivareta personvernet til barn og elever i barnehage og skole, ansatte og foresatte, sier Plahter.
Plather sier videre at de registrerer at brukernavn i de større kommunene ofte følger en formel basert på de første bokstavene i for- og etternavn, ofte med et løpenummer eller tilfeldig tall foran og bak. Oslo kommune er en av disse og deres løsning er beskrevet senere i saken. Plather er likevel klar på at direktoratet ikke sitter på en formell rolle med hensyn til hvilke e-postadresser kommunene etablerer til sine elever.
LES OGSÅ: Datatilsynet: Skolene må vurdere risiko
– Vi arbeider for tiden med tiltak for å gi bedre veiledning og for å heve kompetansen til sektor innenfor områdene personvern og informasjonssikkerhet. Målet er å gjøre kommunene bedre i stand til å ta gode faglige vurderinger innenfor personvern og informasjonssikkerhet. I tillegg ser KS, ved Skolesec, på hvordan de kan heve kompetansen og utnytte felles erfaringer hos kommunene. Elevenes personvern og sikkerhet er, slik dere i Computerworld peker på her, viktig å beskytte. Vi oppfordrer skoleeierne til å fortsette den gode dialogen med leverandører, oss i Utdanningsdirektoratet og andre i skolesektoren om hvordan de kan håndtere sikkerhet og personvern på en best mulig måte.
Kripos: Snakk med barna
Vi skal ikke mene så mye om de enkelte tjenestetilbyderne eller oppsettet av e-postadresser. Det skriver Jonas Fabritius Christoffersen, Seniorrådgiver i Stab for kommunikasjon i Kripos.
Likevel er Kripos mer enn innforstått med at noen personer, som har en seksuell interesse for barn, vil forsøke å kontakte barn på forskjellige typer plattformer.
- Det er viktig at vi voksne snakker med barna om at de må si fra dersom de opplever noe ubehagelig, eller en voksen de ikke kjenner kontakter dem på nettet. Vi må også snakke med barna om deres digitale liv, på lik linje med at vi snakker med dem om hvordan dagen har vært på skolen, hos venner eller på forskjellige fritidsaktiviteter, skriver Christoffersen til Computerworld.
Ta kontakt med politiet
Christoffersen mener det er viktig at politiet får beskjed dersom man får kjennskap om voksne som tar kontakt med barn på denne måten, da det er vanskelig å avdekke slike saker uten publikums hjelp.
Dersom et barn sier fra om en ubehagelig opplevelse på nett, er det mulig å diskutere saken med politiet, som for eksempel nettpatruljene i hvert distrikt. De kan gi råd om hva man bør gjøre i den konkrete situasjonen.
- Blir ikke da ansvaret lagt over på barna, at det blir deres oppgave å oppdage uvedkommende?
- Barna har absolutt ikke ansvaret, men dette er situasjoner som kan oppstå i deres hverdag, på forskjellige typer plattformer. Derfor er det viktig at foreldre og andre voksenpersoner lærer dem hva de skal gjøre i slike situasjoner.
LES OGSÅ: Sikkerhetsbransje med hakeslepp
Christoffersen skriver også at det er viktig at man rapporterer den typen aktivitet til plattformen der kontakten skjedde. Dermed kan tjenesten vurdere om dette er oppførsel de ønsker på sin plattform, og utestenge brukere som bryter med deres vilkår.
- Det er mange av tjenestene som er pliktige til å rapportere slike henvendelser videre til myndighetene, og da vil Kripos gjennom internasjonale kanaler, bli varslet om forhold som gjelder personer bosatt i Norge, skriver han.
Løsninger
Det finnes løsninger på dette problemet, som tar for seg forskjellige deler av sikkerhetskjeden. Det er mulig å låse ned Teams slik at ingen utenfor organisasjonen kan ta kontakt, men det kan samtidig virke som et større problem at vi fremdeles tar i bruk elevens navn som identifikator til kontoer som brukes blant annet i Feide.
Osloskolen har i utgangspunktet løst dette problemet ved å anonymisere epost og forteller i en epost til Computerworld hvordan dette er gjort:
– Brukere i Osloskolen har (brukernavn og) adresser som er satt sammen av fire bokstaver fra for- og etternavn, en løpebokstav og et tre-sifret løpenummer. Ansatte har i tillegg et epost-alias bygget opp på formatet fornavn.etternavn@osloskolen.no. Det vil være mulig å gjette seg frem til et brukernavn som er i bruk, men det vil ikke være mulig å se hvilken skole eller trinn brukeren er koblet til eller om det er en elev eller ansatt. Til informasjon er det i dag ca 112.000 aktive brukere på løsningen.
Det er skoleeier som er ansvarlig for at sikkerheten og personvernet er i henhold til loven, men det krever samtidg en samlet innsats for å trygge barn på skolene.