Oplanerat avbrott 211219

Löpande information om incident i Skola24

220125 klockan 14.45

Personuppgiftsincident

Baserat på den rotorsaksanalys som genomförts kommer ett flertal uppdrag att planeras inom Skola24s förvaltningsorganisation. För att undvika att ett motsvarande tillbud skall kunna inträffa igen kommer vi framför allt att förändra våra testprocesser. Våra analyser visar att vi helt enkelt att vi inte haft tillräckliga tester – särskilt när det kommer till att testa samtidighet (kapacitet för samtidiga användare mot en tjänst).
Vi kommer också att arbeta med målsättningen att öka andelen automatiska tester såväl som att tillföra utökad manuell test och bevakning vid releasetillfällen. För att minera effekt av allvarliga tillbud såväl som att kunna få ut rikligare information från Skola24 kommer vi även att se över möjligheter till utökad systemövervakning och loggning för att skapa bättre förutsättningar för att fånga och följa upp avvikelser.
Vi kommer slutligen att se över tidpunkter för planerat underhållsarbete då flertalet kunder framfört att tidpunkten för releasen inte varit optimal (då det anses vara för nära inpå ett terminsavslut).
Härmed kommer vi också att upphöra med central information kopplat till incidenten och uppdatera den här webbsidan. Om ni som kund har några frågor eller funderingar, hänvisar vi i första hand till kontakt med utpekad kundkontakt.

 

220105 klockan 10.10
En rotorsaksanalys har genomförts och för mer utförlig information kopplat till dig som kund som blivit påverkad av incidenten ber vi dig ta kontakt med respektive kundansvarig. Vi arbetar vidare med analys kommer löpande komma med mer information.

211229 klockan 14.55 

Vi arbetar vidare med fördjupande analyser kopplat till incidenten. Vi har löpande direktkontakt med de kunder som är intresserade av mer information via våra kundansvariga.

212123 klockan 14:30 

Vi har tagit fram ett textunderlag  som kan ge svar på flera av de frågor som du som kund kan tänkas ha kopplat till incidenten. Vi arbetar vidare med analys av grundorsak och med vidare information som vi kommer att så snart som möjligt ta i personlig kontakt med berörd kund.
Vid intresse av FAQ-underlag kontakta din kundansvarig.

211222 klockan 16:30 
Vi har löpande kontakt med de kunder som kan ha drabbats av personuppgiftsincidenten.

211221 klockan 19:45

Utskick har nu gått iväg till de kunder som ej blivit påverkade av incidenten och har alltså inte haft någon otillbörlig exponering av personuppgifter i Skola24. 

Utskick har ockå gått iväg till de drygt 20 procent som kan ha påverkats av incidenten.

211221 klockan 13:00 
Kompletterande information om incident kopplat till Skola24
Utifrån olika insatser och analyser så har resultat visat att det är en begränsad del av våra kunder som har påverkats av incidenten. Det rör sig om drygt 20 procent som kan ha upplevt viss störning och alltså 80 procent som inte haft någon påverkan alls under den period driftstörningen pågick. 

Vi arbetar vidare med analyser och hoppas så snart som möjligt kunna lämna ut information kring de kunder som har haft påverkan eller inte. Kontakt kommer tas med respektive kund.

211220 klockan 20:35 

Kompletterande information om incident kopplat till Skola24 

  • 2021-12-17 kl. 18:15 – systemuppdatering påbörjad
  • 2021-12-18 kl. 11:20 – systemuppdatering genomförd
  • 2021-12-19 kl. 15:55 – beslut fattas att stänga ned systemet
  • 2021-12-19 kl. 21:30 – beslut fattas att gå tillbaka till känt systemläge
  •  2021-12-20 kl. 04:23 – systemet görs åter tillgänglig för våra användare 

Efter systemuppdateringen 2021-12-19 fick vi både interna indikationer samt rapporter från kund att det förekommit obehörig exponering av personuppgifter. Det handlade framför allt om inloggningar där användare exponerats av personuppgifter som de inte har någon koppling till. Klockan 15:55 samma dag togs därför ett beslut om att stänga ned systemet. 

Att återställa systemet till ett känt läge kändes utifrån omständigheterna som den enda rimliga lösningen för att på så sätt kunna begränsa omfattningen av att personuppgifter i vissa fall kunde exponeras mot fel personer. Det primära tillbudet begränsades således 2021-12-19 klockan 15:55.  

En effekt av återställningen är att eventuella operationer (så som schemaförändringar) som genomförts inte har registrerats i systemet (mellan 2021-12-18 klockan 11:20 och 2021-12-19 klockan 15:55).  

Vi bedriver just nu ett flertal olika utredningar för att försöka att identifiera exakt vilka kunder som påverkats, och framför allt till vilken omfattning. Aktuellt läge är att vi har mer data att analysera innan vi har en mer komplett bild av situationen. 

De indikationer som Skola24 har mottagit är kopplade till exponering via mobilappen Skola24. Vår egen analys, där vi står just nu, pekar på att det endast är gränssnittet i appen som exponerat personuppgifter på ett felaktigt sätt för en begränsad mängd kunder (det vill säga gäller det inte alla kunder). 

Vi fortsätter under kvällen arbetet med att analysera situationen för att säkerställa så många aspekter som möjligt kring vilka av våra kunder som har påverkats och till vilken omfattning.

211220 klockan 15:50 

Sedan systemet öppnades för användning vid 04:23 så har inga incidenter rapporterats utan Skola24 fungerar enligt förväntan.
Just nu pågår en utredning för att konstatera vilka kunder som påverkats av incidenten och i vilken omfattning. Mer information kommer publiceras löpande.

211220 klockan 10:50 

Från det att systemet var uppe för användning igen vid 04:23 har frånvaroanmälningar registrerats och sparats i systemet och behöver ej läggas in igen. 
Vid återgång till systemläge som var gällande före uppdateringen som genomfördes 2021-12-17 klockan 18:15 så är frånvaroanmälningar gjorda mellan 2021-12-17, klockan 18:15  till 2021-12-20, klockan 04:23 ej kvar.

211220 klockan 9:40
Statusuppdatering
Gällande den incident som Skola24 hade natten mellan söndag och måndag så är systemet återigen uppe för användning.

Med anledning av den incident som identifierats under helgen så har vi återgått till det systemläge som var gällande före uppdateringen som genomfördes 2021-12-17.

På grund av att vi går tillbaka till ett känt systemläge, så innebär det att förändringar som genomförts under helgen inte finns registrerade i Skola24, exempelvis schemaändringar och frånvaroanmälningar.

Vi arbetar för närvarande med att försöka identifiera grundorsak och omfattning. Det vi känner till just nu är att incidenten varit begränsad till frånvaroanmälningar som genomförts. 

Vår aktuella uppfattning är just nu att en handfull situationer förekommit där det funnits risk för obehörig exponering. När Skola24 identifierade den första händelsen, valde vi direkt att stänga ned systemet för att begränsa eventuella risker.

Arbete fortsätter med att utreda detaljer för att vi ska kunna kontakta kunder som kan varit utsatta.

211219 

Personuppgiftsincident Skola24
Med anledning av en uppdatering som genomfördes 2021-12-17 har en säkerhetsbrist identifierats.

För att minimera risken för samt för att kunna fokusera mot felsökning togs systemet ur drift 15:55 2021-12-19.

En felanalys har initierats som indikerar att det rör sig om en avgränsad del av Skola24, som givet ett antal omständigheter kan ha medfört att en inloggad person har kunnat se personuppgifter som personen inte skall ha åtkomst till.

Skola24 fortsätter nu ett intensivt jobb med felsökning samt åtgärder för att Skola24 skall kunna återgå till ett normalläge. Kompletterande information kommer att skickas löpande.