En nå 13 år gammel skoleelev tok seg i fjor sommer ulovlig inn i IT-systemet til Bergen kommune og mistet etterhvert datautstyret sitt i en politirazzia. Tre uker senere var han igjen på ferde. Denne gangen med et script som spredde seg til 8 000 maskiner for å kartlegge skolenettet. Det skriver NRK.
Bergenseleven oppdaget i fjor et sikkerhetshull som eksponerte brukernavn og passord til 35 000 lærere og elever. Skolen ble varslet, men ingen ting skjedde. Da tok eleven saken i egne hender og latterliggjorde sikkerheten i datasystemet til kommunen via en masseutsendt epost.
– Var sur på kommunen
13-åringens datautstyr ble beslaglagt av politiet, men det stoppet ham ikke fra å gjøre mer ugagn.
Ved hjelp av en midlertidig skolePC tok han i bruk et script som skapte mer trøbbel for kommunens IT-avdeling.
– Han var nok litt sur på kommunen på det tidspunktet, fordi han akkurat hadde fått beskjed om at han ikkje ville få tilbake utstyret sitt. Men han hadde ingen intensjon om å skada kommunen, sier faren anonymt til NRK.
Slo full alarm
6. september ble det slått full alarm, og Bergen kommune trodde de stod ovenfor et fiendtlig angrep, skriver NRK. Nasjonal sikkerhetsmyndighet ble varslet, og sikkerhetsselskapet Mnemonic ble hentet inn for å bistå.
– Når me ser ein slik type aktivitet på nettet vårt, så trykker me på den store raude knappen, sier digitaliseringsdirektør Kjetil Århus i Bergen kommune til NRK.
Mnemonic mente scriptet var så avansert at gutten måtte ha samarbeidet med en tredjepart. Sikkerhetsselskapet fant også kode som kunne ha skadet kommunes IT-systemer.
Genererte mye trafikk
Scriptet 13-åringen benyttet skapte mye trafikk på nettverket, men utover det fikk ikke kartleggingen noen konsekvenser for kommunen. Ifølge rapporten fra Mnemonic kunne små endringer i skripet gjort skade på kommunes systemer.
Kommunen tar selvkritikk for at skoleleven kunne ramme nettverket på denne måten, og har nå strammet inn adgangskontrollen på på skolenettet for elevene.
Digitaliseringsdirektøren får kritikk for at kommunen har for dårlig kompetanse på sikkerhet, men avfeier dette.
– Me har gode avtalar med ytterlegare spisskompetanse, og dialog med tryggingsorgan og -miljø. Då me hadde trong for å analysera koden, kunne me gjera eigne analysar. Me fekk oversikt over situasjonen og fann måtar å handtera det på, ganske raskt, sier Århus til NRK.