- TORGEIR WATERHOUSE, direktør internett og nye medier i IKT-Norge
De siste par årene har vi sett det om igjen og om igjen. Vi så det i Bergen i august også.
Det kom frem at kommunen ikke hadde kontroll på passord og tilgang på data, da startet dere arbeidet med kommunikasjon. Kommunikasjon om hvem som skulle klandres for problemet.
Selvsagt ikke Bergen kommune, men et barn, det er jo tross alt jobben til kommunikasjonsfolkene deres å sørge for at kommunen ser bra og skyldfri ut. Det er klart barnet skal klandres, det er klart vi skal forklares at barnet ikke forsto alvoret, det er klart Bergen kommune ikke skal klandres.
Eller, er det egentlig slik? Det korte svaret er NEI.
Det er Bergen kommune som eier ansvaret for situasjonen, at et barn har gjort noe han ikke burde, endrer ikke på det. Det var egentlig barnet som forstod, det var kommunen som ved flere muligheter til å forstå ikke forsto og som vanlig har vært mer opptatt av «blame game» enn å faktisk håndtere problemet.
Dette er dessverre ikke noe nytt. Kommunen har tross alt profesjonelle kommunikasjonsfolk på lønningslista som står klare til å forklare situasjonen, gjerne løsrevet fra det faktiske hendelsesforløpet.
Der kommunen har en profesjonell stab, har barnet en forelder som gjør sitt beste for å forklare. Ikke bare hadde barnet oppdaget en betydelig svikt, men også varslet slik vi har grunn til å forvente av profesjonelle.
De som mottok varslet agerte ikke slik vi forventer av profesjonelle. Så nå i september 2018, nå snakker ansatte i Bergen kommune om dette som det er barnet som har gjort noe galt.
Joda, han har det, han har sendt meldinger han egentlig ikke burde, men det er ikke problemet, kommunen driver et stygt forsøk på blame game.
I sin egen pressemelding fra 15 august sier Bergen:
«Det er nylig avdekket at uvedkommende har kommet seg inn i skolenes brukeradministrasjon «e-Feide» og har dermed fått tilgang til personopplysninger til ansatte og elever på skolene i Bergen».
Det er bare det at barnet som fant problemet, fant det i mai, og varslet skolen sin i mai.
«I mai kontakta skulen IT-avdelinga i kommunen og la fram varselet som kom frå eleven, opplyser rektoren».
Så da burde det vært ryddet opp hos dere allerede da, dere fikk varsel, et viktig varsel til rett sted, men:
«– Saka blei undersøkt, men det blei aldri oppretta ei avviksmelding på eleven sin tilbakemelding. Ein har ikkje forstått at det eleven melde om, betydde at han hadde tilgang på eit administratornivå, seier kommunaldirektør Trine Samuelsberg til NRK».
Bergen, Kommunaldirektøren deres understreker også at varslet ikke ble ignorert fordi det kom fra et barn, som for å vise at man i Bergen tar barn på alvor.
Likevel ender det hos politiet og med den store pekefingeren rettet mot barnet dere ikke hørte på. Dette er et trist forsøk på å omgå realitetene i saken og skjule at det er kommunen som bør etterforskes.
«Politiet etterforskar hendinga, men ifølge politiet er guten ikkje sikta».
Tenk litt på det Bergen, et barn som forsøkte å fortelle de ansvarlige om at dørene deres stod åpne ble ignorert. Nå er det barnet som etterforskes. Hva med de ansvarlige voksne som i tillegg til å ignorere heller ikke hadde innført enkle og opplagte tiltak for å øke sikkerheten.
At alt «data- og mobilutstyr er beslaglagt» er forsåvidt vanlig i slike saker.
Men altså.
Kanskje kommunen i et øyeblikk av selvinnsikt og redelighet burde sørge for at barnet takkes ved at kommunen både overrekker nytt utstyr og inviterer barnet inn til de ansvarlig for å vise og fortelle om hva han gjorde og hvordan han fant frem til hvor de hadde sviktet og er ansvarlige for kommunens problemer.
Feilen burde ikke være mulig, varslet som ble gitt burde ikke vært ignorert og sikkerhetshullet burde ikke være mulig å utnytte flere måneder senere. Barnet skulle selvfølgelig ikke utnyttet kommunens svikt til å sende meldinger.
Uansett skulle ikke kommunen gått etter ham, kommunen skulle takket ham og bedt om hjelp.
Det heller ikke uvanlig å skylde på ansatte, Bergen er ikke noe unntak og sier at:
«– Dersom nokon har valt å ikkje følga prosedyren ved å velja eit nytt passord første gongen dei loggar på, ligg passordet tilgjengeleg».
Det er kanskje noe de ansvarlige i kommunen skulle fulgt opp eller? Det ville uansett ikke vært et problem om ikke kommunen hadde rotet med sikkerheten i utgangspunktet.
Bergen stoppet selvfølgelig ikke med barnet eller de ansatte, kommunikasjonsavdelingen skriver i en pressemelding at dette:
«er en sak vi virkelig tar på alvor. Slikt skal ikke skje. Systemet vi har er godkjent i tråd med det nye personvernregelverket. Likevel avdekker hendelsen svakheter med sikkerheten til systemet».
Det er bare at problemet var jo ikke det dere kaller «svakheter med sikkerheten til systemet», problemet var kommunens manglende kontroll på bruken, eller som leverandøren deres sier til NRK at det:
«ikkje er snakk om eit innbrot, men at ein person som ikkje er autorisert, har hatt lesetilgang på systemet gjennom ein superbrukar si innlogging».
Hos NRK kan vi også lese at:
«Onsdag jobbar IKT-avdelinga på rådhuset på spreng for å få oversikt over situasjonen».
Det er bra, neste gang bør Bergen jobbe på spreng når varslet kommer, ikke vente noen måneder og legge skylden på et barn.
Hva skjer neste gang en kommunikasjonsavdeling skylder på noen andre?
Neste gang en matbutikk lanserer en app og skylder på han som oppdaget sikkerhetshullet?
Neste gang et oljeselskap skylder på den ene ansatte som gjorde en feil fremfor eget oppsett?
Neste gang en kommune sender politiet og rykker ut i nasjonale medier for å skylde på et barn for sikkerhetsproblemene den har både skapt og ignorert?
Kanskje litt mindre kommunikasjonsfolk som skylder på barn, litt mindre plass i mediene til å skyfle skyld og litt mer it-folk med peiling i monitor neste gang? Takk!
