Varianter over denne overskriften har vi sett i mange aviser den senere tiden. Forløpet ser ut til å være rimelig likt i de fleste tilfellene: en elev får tak i en lærers brukernavn og passord på en eller annen måte og benytter dette til å endre informasjon i karakter- og fraværssystemet. I mange tilfeller blir også passordet spredt til andre elever og til og med solgt for en mindre fortjeneste. På et vis gjør dette det verre, men på den andre siden gjør det mye enklere å oppdage og rette opp i det. Hvem vet hvor mange som har kunnet endre egen informasjon og unnlatt å skryte av det og delt passordet med andre.
Disse hendelsene var nok en av årsakene til at jeg ble spurt om å snakke om to-faktor autentisering, Feide og eID på sommerens fylkeskommunale IT-forum i Arendal.
De 60 tilhørerne varierte fra administrative ledere til hardbarka teknikere så innholdet i presentasjonen ble litt vanskelig å velge ut, men det endte med at jeg fokuserte mest på hva to-faktor er og noen viktige konsekvenser en innføring av dette ville få for skoleeierne.
Mange som møter utfrdringene vi her snakker om hopper dessverre rett til en teknologiskløsning, for eksempel engangspassord på SMS eller en kodekalkulator, uten å tenke gjennom hva er det de egentlig har behov for og hvorfor. Om det ikke er gjort før er det på tide å ta en skikkelig risikovurdering av viktige tjenester og ut i fra denne beslutte hvilke tiltak som skal iverksettes. Om denne risikovurderingen viser at det er et behov for en sterkere autentisering av brukerne er sannsynligvis to-faktor autentisering veien å gå, men da må også skoleeierne være villige til å ta konsekvensene av dette.
Noen eksempler kan være:
- Endringer i håndtering av person- og autentiseringsinformasjon
- Endringer i fagsystemer og støttesystemer
- Kostnader forbundet med disse endringene, samt
- Økte kostnader i selve autentiseringsløsningen
I tillegg til, eventuelt i stedet for, en sterkere autentisering vil jeg også slå et slag for bedre opplæring og bevisstgjøring av elever og lærere rundt informasjonssikkerhet og ikke minst bedre funksjonalitet i fagsystemene slik at uautorisert bruk har en større sjanse for å bli oppdaget.
Noen eksempler på funksjonalitet jeg skulle ønske var i alle kritiske fagsystemer:
- Kan du se tidspunkter du sist logget inn i tjenesten og hva du da gjorde?
- Kan du se alle endringer som er gjort for viktig informasjon og hvem som gjorde endringen? Kanskje også med obligatorisk kommentar for endringen.
- Kan du hente tilbake til tidligere verdier av informasjonen på en sikker måte?
- Kan du sette opp en saksflyt slik at endringer må godkjennes av noen andre? For eksempel at faglærer gjør endringer, men kontaktlærer må godkjenne?
Endringer i sikkerhetsnivå og funksjonalitet vil koste, både i direkte utgifter og i organisasjonsendringer, men jeg tror det er nødvendig for å bedre sikre riktig informasjon om elevene når de går ut av skolen.
Se på slideshare: To-faktor-autentisering og Feide.