Kronik

Uklare regler om it-sikkerhed i folkeskolen

Folketinget har afsat 500 millioner kroner til at opgradere it i folkeskolen. Men flere centrale spørgsmål omkring it-sikkerhed er uafklarede.

Offentliggjort Sidst opdateret

Bemærk

Denne artikel er flyttet fra en tidligere version af folkeskolen.dk, og det kan medføre nogle mangler i bl.a. layout, billeder og billedbeskæring, ligesom det desværre ikke har været teknisk muligt at overføre eventuelle kommentarer under artiklen.

Uafklarede spørgsmål om it-sikkerheden gør det sværere for skolerne at vælge, hvordan de får mest it for pengene uden at komme på kant med loven. Dilemmaet er, at det er dyrt at investere i it-sikkerhed, og at det er endnu dyrere at investere for lidt eller forkert.

Derfor skal politikerne se at komme i gang med at sætte nogle rammer og stille klare og konkrete krav til, hvor sikre folkeskoler skal være på it-fronten. For så ved skolerne også, hvor mange penge de kan bruge på computere, undervisningsmaterialer, netværk og administration.

En af de væsentlige, aktuelle sikkerhedstrusler er identitetstyveri, hvor kriminelle opsnapper brugernavn og adgangskode gennem eksempelvis key logging, som er et lille program, der registrerer, hvilke taster man har trykket på. Er man først inde på en lærers pc, kan man hurtigt få adgang til adresselister, karakteroversigter og adgangskoder til Facebook, intranet og netbank.

Nogle af de uafklarede spørgsmål er således, om lærere og elever må bruge en skolecomputer uden at være logget ind? Må man gå på nettet uden at være logget ind? Skal skolen have firewall og antivirus? Må der ligge personfølsomme data på en skolecomputer? Hvordan undgås identitetstyverier? Hvor går grænsen - hvor sikkert skal det være?

I England skal harddisken krypteres

Er det eleven, læreren eller skolen, der bliver stillet til ansvar, hvis der findes kopibeskyttet materiale såsom sange, videoer og programmer på en skole-pc? Hvad er logningskravet, og hvem har ansvaret, hvis brugernavne og adgangskoder bliver afluret, eller hele kommunens netværk bliver lagt ned på grund af uregelmæssigheder?

I England er det besluttet ved lov, at harddiske skal være krypterede. Så hvis en skole-pc bliver stjålet, kan tyven ikke få adgang til hverken at se billeder fra venindefnis på ungdoms-værelset, adgangskoder til Facebook og netbank eller læse den danske stil, hvor lille Maria eller Pelle fortæller om deres voldelige far og drikfældige mor.

Skole-pc'er bliver brugt til alt muligt af elever og lærere - lige fra kærestebreve og klagebreve til karakteroversigter og klasserejser. Derfor skal der være klare retningslinjer for, hvordan computere i skolen skal beskyttes.

Skrækscenariet er, at hvis vi ikke gør noget nu, skal vi om to-tre år tilføre en masse penge for at lukke sikkerhedshuller, som vi for en billig penge kunne have fået styr på allerede i dag. Og hvis pengene til den tid ikke er der, må man indføre store begrænsninger i, hvad skolens it-udstyr må bruges til, hvilket heller ikke er sjovt. Derfor skal politikerne og Ministeriet for Børn og Undervisning udstikke retningslinjer nu, så skolerne kan ramme det rette sikkerhedsniveau i første hug.

Sjovt nok angiver EU-forordninger, hvor sikre computere på biblioteker, hoteller og andre steder i det offentlige rum skal være. Men lovgiverne har komplet overset skolecomputere. Derfor er folkeskolen de facto den nemmeste platform at udføre for eksempel et hackerangreb fra.

Hvis hver af Danmarks 98 kommuner i snit stiller et par tusinde pc'er til rådighed for elever og lærere, så er der tale om et par hundrede tusinde usikre computere. Det er relativt mange.

Ingen regler i folkeskolen

Et spørgsmål, jeg har fået fra flere skoler, er, om det er lovligt, at eleverne lader være med at logge på ved timens begyndelse, fordi man så slipper for at bruge de første fem-ti minutter af hver time på login-bøvl og får mere tid til reel undervisning.

Men kan skolen overhovedet tillade, at skolens netværk bliver benyttet, uden at brugeren først logger på? Hvem bliver gjort ansvarlig, hvis en hacker eller terrorist bruger skolens netværk, eller hvis en person installerer piratsoftware på skolens maskiner, eller elever misbruger hinandens private data uden at være logget på?

Og gælder der de samme sikkerhedsregler for elever, der bruger skolens computere, i forhold til elever, der tager deres egen computer med i skole?

Skoler i vildrede

Flere skoler er i vildrede om disse spørgsmål, som jeg derfor sendte videre til en kontorchef fra Kontor for styring af folkeskolen i Uddannelsesstyrelsen.

Svaret herfra var, dels at folkeskoleloven ikke indeholder regler om edb-sikkerhed eller lignende, dels at regler for behandling af personoplysninger fremgår af de generelle regler i Persondataloven, som hører under Datatilsynet.

Kontorchefen tilføjede, at edb-sikkerhedsforanstaltninger skal træffes lokalt. Han anbefalede mig derfor at kontakte skolens ledelse eller kommunens skoleforvaltning for at få oplysninger om de lokale sikkerhedsregler. Det er jo absurd, al den stund at det var skoleledernes usikkerhed, der havde startet debatten!

Bedømt ud fra myndighedernes svar er der et hul i lovgivningen eller i forvaltningen af den, som bør afklares, så folkeskolerne kan finde det rette niveau for sikkerheds-investeringer.

Jeg kan kun opfordre til, at skoleledere, lærere og forældre stiller krav til deres politikere om at komme med konkrete svar om krav til it-sikkerhed i folkeskolen. Og for min skyld kunne et løsningsforslag sagtens komme fra et udvalg, som udarbejdede nationale retningslinjer for hele landet, for udfordringerne må formodes at være nogenlunde ens over hele landet.