Prestesøknader åpent på nett

Prestesøknader åpent på nett

Ingen kryptering og håpløs passordsikring for søknader til Den norske kirke. - Tabbe er et mildt ord, synes Datatilsynet.

På Den norske kirkes nettsider har det siden februar vært mulig for teologistudenter å registrere seg til ”Veien til prestetjeneste”. Men Kirken har slurvet med informasjonssikkerheten, og sensitiv informasjon har blitt sendt ukryptert over nettet.

Enda verre er det at det har vært mulig å logge seg på administrasjonsgrensesnittet til databasen med helt banalt brukernavn og passord: ”test” og ”test”.

I webgrensesnittet er det mulighet for å få informasjon om alle søkere, deres utdanning, fødselsdato, adresse, telefonnummer og så videre. Databasen har 45 registrerte søkere.

Det har vært mulig å redigere, slette og godkjenne søknader.

Generalsekretær Christofer Solbakken i Bispemøtet har hatt ansvaret for løsningen. Da Computerworld konfronterte ham med den svake beskyttelsen, var overraskelsen stor.

- Dette er helt klart en glipp, det må vi få stoppet ganske kjapt. Jeg er glad for at du ringte om dette, så vi får stoppet dette her, sier Solbakken.

Han forsøker å slette test-brukeren fra systemet mens han sitter i telefonen. Han får det ikke til, og må få hjelp fra it-avdelingen.

Ble med i produksjon

Brukeren ble opprettet i forbindelse med en innkjøringsperiode.

- Vi hadde en test-versjon av systemet før vi tok den i bruk. Den har ligget der, og vi har kunnet prøve det ut før vi publiserte det. Det drev vi på med i høst, sier Solbakken.

- Men nå er dere altså i produksjon, og den ble med over?

- Ja, det var ikke meningen.

- Har dere noen andre, tilsvarende brukere på systemet?

- Det har jeg vanskelig for å tro, det skal det ikke være, sier Solbakken.

Total forvirring

Den tekniske sikkerhetsvurderingen har Solbakken og Den norske kirke latt være opp til deres leverandør av løsningen, Inbusiness. Men selskapet hevder løsningen ikke er produksjonssatt.

- Nei, det er den ikke. Den ligger på et prosjektområde hos oss til det er godkjent av kunden og klart for lansering, så blir det lagt inn i et domene, sier it-sjef Peder Arne Godø i Inbusiness.

It-sjefen har ikke selv jobbet med løsningen og uttaler seg på vegne av selskapet. Han har likevel har fått beskjed fra konsulenten som har jobbet med løsningen at det ikke var gitt beskjed til Kirken om at løsningen kunne tas i bruk.

- Meg bekjent er det ikke sagt. Kundekonsulenten sier også at det ikke er blitt sagt at man kunne gå i produksjon, sier Godø.

Likevel har altså både det elektroniske skjemaet og innloggingsfunksjonen ligget ute under domenet www.kirken.no siden begynnelsen av februar.

Ifølge Solbakken i Bispemøtet var avtalen med Inbusiness at løsningen skulle leveres før fristen for registrering til prestekurs gikk ut, 15. februar.

- Løsningen skulle opprinnelig vært levert 1. februar, men det ble noe forsinkelse. Det elektroniske skjemaet ble derfor publisert 10. februar, mens login-sidene ble lagt ut 11. februar, sier Solbakken.

Løsningen var altså, etter planen, teknisk produksjonssatt. Det var Inbusiness klar over, selv om de mener de aldri har sagt det var klart.

- Det var godkjent og Inbusiness var vel vitende om at det ble lagt ut. Slik vi oppfatter det har vi rullet ut, sier Solbakken.

Godø forsikrer likevel om at det elektroniske registreringsskjemaet skal ha SSL-kryptering. Når det gjelder sikkerheten i systemet, tar selskapet selvkritikk.

- Kundekonsulenten kunne nok ha hatt litt mer oppfinnsomhet enn ”test” og ”test”, sier Godø.

Datatilsynet reagerer kraftig - les mer på neste side.

Les om: