Stockholm har minst sagt haft lite motgräs det senaste när det gäller IT-lösningar för sin utbildningsverksamhet. Man har haft svårt att skydda de med hemlig identitet, installationen av Microsoft Teams tillät vuxna att prata med barn de inte kände samt att skolplattformen varken fungerar eller är i närheten av en rimlig budget. Den har snart kostat en miljard, det vill säga mer än en säsong av Game of Thrones och som ett års drift av internetjätten Wikipedia.

Igår briserade ännu en bomb i ett av de dyraste skitsystemen i Sveriges historia. Stockholms stads skolplattform, igen. En webbutvecklande pappa tänkte titta lite på det utskällda systemet. En person likt mig som kan lite allt möjligt om IT och blir nyfiken på saker i sin vardag som inte funkar så bra som de borde.

Läsa den per definition öppna HTML-koden

Hans fynd började med att konstatera att det är långsamt och att utvecklarna skrivit uppgivna kommentarer i (den fullt öppna) koden, att de inte förstår sig på den kod de hanterar. Sedan ändrar han i några adresser och börjar se saker han inte ska ha åtkomst till. Bland annat elevers betyg, personnummer och även lärares personuppgifter.

Stockholms stad svarar

“Åtkomsten till personuppgifter har endast varit möjlig genom att i inloggat läge aktivt göra ändringar i programmeringskoden.”
– Johanna Engman, it-direktör i Stockholms stad

Märk väl att denna pappa inte ändrat eller ens haft tillgång till någon programmeringskod. Det är ett uppseendeväckande okunnigt uttalande från någon som jobbar med IT-frågor. Nej, en IT-direktör kanske inte måste vara expert på allt inom IT, men detta är faktiskt inte en detaljfråga.

Och att det var i ett inloggat läge är inte heller det någon ursäkt. Stockholm har tydligen 140 000 elever, och även deras föräldrar och lärare har åtkomst till inloggning. I Stockholm finns tusentals yrkesverksamma som kan de enkla saker det handlar om här. Och nästan varenda högstadieelev med minsta lilla teknikintresse klarar också av att utforska baksidan av ett webbsystem på detta sätt.

Bli en “hacker” - fyra enkla steg vem som helst klarar av

Verktyget de behöver finns redan i praktiskt taget alla webbläsare.

1. Alla som använder webben är införstådda i konceptet med URL:ar (adresser på webben).
2. Genom att högerklicka på en webbsida kan man se HTML-koden.
3. I den koden finns typ alltid andra adresser. Klicka på dem så får du se ett halvkryptiskt språk.
4. Ändra sedan i den adressen som nu står i webbläsarens adressfält så kan du råka se saker det inte var tänkt.

Det är inte svårare än så.

Tycker Internetstiftelsens säkerhetschef säger det bra till Expressen:

“Vi pratar väldigt mycket om den offentliga förvaltningens e-tjänster, och oftast gör vi det i ett rosa skimmer av att allt kommer att bli effektivt och bra. I själva verket dyker det gång efter annan upp sårbarheter som är av ganska allvarlig karaktär.”
– Anne-Marie Eklund Löwinder

Mer om skolplattformen

• Tråd: Måns Jonasson on Twitter: “Igår tänkte jag titta lite närmare på #skolplattformen tekniskt utifrån en användares perspektiv. Lite findings följer.”
• Skolplattformen i Stockholm har stora säkerhetshål • axbom.blog

En som tidigare skrivit om skolplattformen är Peter Hedenskog:

• Skolplattformen SWE
• Skolplattformen del 2 SWE
• Skolplattformen del 3 SWE
• Också läsvärt: Hur många IT-konsulter behövs det för att skruva i en lampa åt det offentliga?
• Också läsvärt 2: DN Åsikt. ”Stoppa de orimligt dyra it-satsningarna”

Tieto är en av företagen bakom skolplattformen, de har även tidigare varit inne i Stockholms skolwebbar och råkat fumla till det (inklusive väldigt många andra) under många dagars tid:

"Stockholm stads skolwebb, en tjänst som används för frånvarorapportering, ligger nere under avbrottet."
– Tietohaveriet - dag för dag

Medier skriver om veckans nyhet om skolplattformen

• Skolplattformen stängd – efter stor säkerhetslucka i systemet
• Sårbarhet i Stockholms skolplattform – personuppgifter kan ha läckt | SVT Nyheter
• Skolplattform läcker omdömen och elevdata – Stockholms stad panikstänger - Computer Sweden
• Säkerhetshål i Stockholms skolplattform – systemet stängs - DN.SE
• Kodaren slog larm – nu akutstoppas Skolplattformen i Stockholm - Breakit
• Känsliga uppgifter om elever i Stockholm läckta | Aftonbladet
• Delar av stadens skolsajt avstängd – personuppgifter kan ha läckt – Mitt i Stockholm
• Stockholm panikstänger skolplattform – ”Chockerande att säkerheten är så dålig” | Ny Teknik