Umeå
PA Adsten

Straffas för dataintrånget

Publicerad 29 januari 2015 (uppdaterad 29 januari 2015)

Umeå Erik Sundqvist gjorde intrång i kommunens datasystem för att påvisa bristerna. Nu har domen fallit.

FÖLJ ÄMNEN

VK har vid en mängd tillfällen berättat om det uppmärksammade dataintrånget i Umeå kommuns system som inträffade i slutet av 2013. Då upptäckte it-kontoret att någon hade gjort intrång genom att använda inloggningscertifikat som tillhörde personal på skolan.

Misstankarna riktades snabbt mot den då 16-årige Erik Sundqvist, som tidigare dömts för dataintrång mot kommunen och vid flera tillfällen försökt att påtala säkerhetsbristerna i it-systemet utan att få gehör för detta, vilket VK berättade om i torsdagens tidning.

Vid rättegången erkände han brott och nu döms han för dataintrång. Om han hade varit äldre hade han riskerat fängelse i tre månader, men hans unga ålder gör att påföljden bestäms till ungdomstjänst i 35 timmar.

Trots att det är bevisat att han påtalat bristerna innan brottet begicks, anser tingsrätten att det inte finns någon förmildrande omständighet i sammanhanget. Rätten menar att han hade oerhört goda datakunskaper och använde dessa till att bereda sig en mycket hög behörighet till informationen i kommunens datasystem.

Enligt Erik Sundqvist förstördes ingenting vid intrånget, vilket är uppgifter som inte har motbevisats.

Efter intrånget har kommunens lösenordsdatabas säkrats upp ytterligare. Dessutom har säkerheten höjts för den lokala it-strukturen på Dragonskolan, där Erik Sundqvist var elev.

Kommunen har med anledning av dataintrånget lämnat in ett ersättningsanspråk på nästan en halv miljon kronor. Skadeståndskravet kommer att hanteras i civilrättslig process efter att domen, som meddelades på torsdagen, har vunnit laga kraft. Det förutsätter dock att Umeå kommun väljer att driva vidare den delen, vilket inte är bestämt ännu.

– Eftersom vi måste driva skadeståndet civilrättsligt måste vi ta ställning till om det är värt att gå vidare efter att domen har fallit, och i så fall hur det ska göras. Samtidigt är det viktigt att det faktiskt blir något straff av det här brottet, sade Tommy Rampling, informationssäkerhetssamordnare på Umeå kommun, i en intervju med VK för några veckor sedan.

  • Birchleaf

    Idioter om de försöker knäcka en 17-åring (16-åring när intrånget skedde) ekonomiskt!

  • Magnus

    Umeå kommun borde byta ut säkerhetsansvarige mot Erik S! Ansvarig Umeå kommun verkar inte ha kompetens för sitt jobb i alla fall.

  • Amy

    Kommunen verkar föredra att obehöriga har möjlighet att ta sig in i deras system och komma åt känslig information eller sabotera deras datorer än att svälja sin stolthet och erkänna att en 16-åring vet bättre än deras egna datortekniker. Tack och lov att man har flyttat till en annan kommun, än en kommun som både rättsligt och civilrättsligt angriper en ärlig och hjälpsam människa.

  • Johannes_O

    Vansinnigt. Om han inte orsakade någon skada utan bara påvisade säkerhetsproblem är det direkt småsint av kommunen att försöka sätta åt honom på det här sättet.

  • Lennart

    Vad har det här intrånget kostat kommunen? Kräver dom grabben på mer pengar än vad det kostat så är det bara fruktansvärt agerande. Att han ska dömmas till ett straff är ju självklart men om kommunen skulle gå vidare i en civilrättslig process vore det ett direkt pinsamt agerande.

    • Jonaka

      Intrånget borde inte ha kostat något alls, eller väldigt lite, eftersom kommunen ändå hade fått investera för att fixa säkerhetsproblemen, d.v.s. intrånget innebär ingen merkostnad.

  • Marcus

    Vad tjänar det till att förstöra en ung människas ekonomiska framtid när allt kan sammanfattas med inkompetens från kommunens eget håll?
    Vad som är viktigt är inte att förstöra pojkens framtid, utan att lösa de kompetensbrister som kommunen har.
    Något av ett mastodontprojekt men någonstans måste man börja.

  • lasse

    Inte ska vi lära ungdomar att det är olagligt att gör olagliga saker, låt dem förstöra och göra intrång utan att de får ett ”straff” . Sen kan man hålla med att summan verkar lite väl hög

    • Marcus

      Ambitiösa ungdomar som i tidig ålder har skaffat sig en stor kompetens inom ett framtidssäkert område är ovanliga.
      Och dessa ska vi straffa tycker du?

      Det som borde vara olagligt i denna situation är att försöka rättfärdiga lönekostnader för de IT-ansvariga som inte ens kan stoppa en 16åring att använda sig av säkerhetsbrister som dessutom annonserats i förväg.

  • Åsiktsmaskinen

    Det står i artikeln att det inte finns några tecken på att ”någonting ska ha ändrats eller förstörts” i samband med intrånge(t/n). Det innebär att den skada kommunen eventuellt skall få ersättning för inte har ett värde på en halv miljon kronor utan på 0 kronor. Viss skillnad.

    De merkostnader de eventuellt HAR haft är för att förhindra framtida liknande intrång – som HADE kunnat resultera i åverkan på systemen. Som borde skett oavsett Eriks intrång, om nu en 16/17-åring kunde ta sig in, den enda skillnaden är att detta nu blivit uppenbart.

  • Martin

    Varför anställer de inte bara den här grabben så att han kan visa vad problemet är med säkerheten. Nej straffa honom istället… Tänk om Google hade varit lika trångsynta.

  • Carlsson

    Otroligt pinsamt av kommunen! Stå för att ni fått byxorna neddragna och ha vettet att tacka Erik för upplysningen istället för att prata om skadeståndskrav.

  • pinsamt kommunen

    Om de skulle få för sig att förstöra denna killes framtida ekonomi hoppas jag att folk samlas i protest och ordentligt säger ifrån.

  • Nicke

    Tommy Rampling borde skämmas ögonen ur sig. Att sätta dit en smart ung kille för att han påvisar brister borde leda till en anställning och en rejäl ersättning. Bra gjort Erik!

  • andreas

    Inte många som lär hjälpa kommunen när dom agerar så här, skamligt!! Kanske borde få anställning som it ansvarig istället??

  • Cobb

    Påtalar brist i systemet.
    Får lite eller ingen gehör.
    Blir arg och begår olagligt dataintrång för att ge eftertryck åt sin poäng.

    Så oavsett om han hade rätt i att det fanns brister eller om kommunen borde tagit honom på större allvar så förändras inte fakta; killen reagerade emotionellt genom att begå brott.

    Och den där ”ursäkta din dörr är olåst”-metaforen är så otroligt lam.
    Om jag påtalar för min granne att hans dörr är olåst och han väljer att inte agera – har jag då rätt att helt oinbjuden kliva in i hans lägenhet och sätta mig i vardagsrumssoffan?

    Bara för att man KAN göra något så innebär det inte per automatik att man får – eller ens BÖR – göra det.

    • Alaric40

      Det är faktiskt en jäkla skillnad på att påpeka att grannens dörr är olåst eller om kommunen har dålig säkerhet i sitt IT-system.
      Grannen hanterar med säkerhet inte sekretessbelagda uppgifter om känsliga ärenden, skyddade adresser, med mera.
      Att kommunen struntar i sin datasäkerhet trots att bristerna påpekas borde vara straffbart! Den säkerhetsansvarige borde få sparken!
      När du jämför med grannens dörr visar du bara att du helt saknar kunskaper om datasäkerhet. Jobbar du på kommunens IT-avdelning?

  • Gäst

    Det där var långt och raljerande, Oscar, men ärligt talat – killen i artikeln sade inte själv något om att han brutit sig in. Han blev avslöjad och åkte fast.

    Så han var inte en sån välgörare som du påstår och säkerheten var heller visst inte så dålig som han trodde.

  • Memme112

    Ovanligt! Förstår att Umeå Kommun måste mjölka pengar ur 17åringar. Dom har ju trots allt räkningar på flera hundra miljoner för skrytbyggena :)!

  • Surbubben

    Han visade att kommunen hade brister i sina datasystem.Kommunen hade kunnat hanterat detta den enkla och mogna vägen genom att snacka med grabben. Men det var tydligen för känsligt att bli näpsad om säkerheten av en liten grabb.

  • Martin Öjes

    Nej. Google betalar hittelön till den som upptäcker säkerhetshål i deras system. Upp till $20,000 betalas ut, beroende på hur allvarlig bristen är.
    http://www.google.com/about/appsecurity/reward-program/

    • Christoffer Gustavsson

      Förutsatt att du anmäler det förstås. Det är lite det som är poängen med buggrapporter, något var och en som använder öppna system borde ha stött på. Google har bara gått steget längre med dessa rapporter och betalar ut belöning. De betalar dock inte ut belöning om någon bryter sig in med andra avsikter: http://www.ibtimes.com/5-million-gmail-usernames-passwords-hacked-posted-russian-bitcoin-forum-report-1684368 (ett exempel bara)
      I Eriks fall skulle jag inte vilja kalla det för en buggrapport när IT-avdelningen upptäckte det själva.

      • Jonaka

        Från artikeln: ”Erik Sundqvist, som […] vid flera tillfällen försökt att påtala säkerhetsbristerna i it-systemet
        utan att få gehör för detta”

        • Christoffer Gustavsson

          En buggrapport räcker, man behöver inte utföra intrången för att bevisa att man kan, då är det inte en vanlig buggrapport längre.

          • Pontus Haglund

            Nej, det är en buggrapport som du MÅSTE lyssna på, istället för att desperat försöka ignorera. Nu kan ju inte IT-avdelningen sova på jobbet längre, så det är klart ungen ska ha samhällstjänst och betala skadestånd.

          • Christoffer Gustavsson

            Ingen förnekar nog att det var ett viktigt fel att lösa, vad som däremot ifrågasätts är att han var tvungen att utföra ett intrång trots att han visste att det var olagligt. Han hade inga skyldigheter gentemot kommunens IT-avdelning så hans rapport räckte om IT-avdelning brydde sig. Vad han sen kom åt kanske inte ansågs som viktigt i sig då han använde skolans utrustning och personalens inloggningscertifikat. Som jag nämnde i min tidigare liknelse: En städerska har tillgång till många rum på lasarettet men denne kommer ändå inte åt journaler och liknande. Samma sak kan ha gällt Eriks intrång, han behöver inte komma åt skyddade identiteter och annan känslig information bara för att skolans utrustning är uppkopplat mot kommunens nät.

  • Ethern

    Err… Nej Umeå kommun lilla. Ni kan inte söka skadestånd i en civilrättslig process. Dubbel bestraffning ÄR FÖRBJUDET OCH ETT BROTT MOT DE MÄNSKLIGA RÄTTIGHETERNA. Sverige är dömda för detta redan och HD har fastslagit att ja, dubbel bestraffning är därför olagligt i Sverige. Dom har fallit, så det ni kan göra är i så fall att överklaga domen, men ni kan då rakt inte påbörja en NY process för samma handling.

    • eugen_sandberg

      Det kan man visst. Det är två helt skilda saker, Sedan kan man ju ha synpunkter på om skadeståndet är relevant.

  • http://www.christher.se/ Christher Lenander

    Umeå kommun kan inte ha kollat på denna innan dom rekryterade den IT-ansvarige.
    https://www.youtube.com/watch?v=SrKdvHdrf8s

  • Stefan

    Varför skall personer som gör dataintrång gå fria? Skall en inbrottstjuv komma undan med att säga att man testade säkerheten på villan.

    • Ingenjören

      Ehm, här var ju hela grejen att han redan tidigare hade påpekat bristerna och försökt få dem att rätta till problemen men att de ändå sket i det.

    • Pontus Haglund

      För att killen gjorde det för att påvisa kommunens idioti. Inte för att stjäla/sälja kommunens ”hemligheter”.

    • Mikael Olsson

      Nu är det ingen villa det är frågan om. Skolan har ett lagkrav enligt PUL att skydda personuppgifter från obehöriga. Dvs Erik påvisade att skolan begick ett brott.

      • eugen_sandberg

        Javisst, genom att själv begå ett brott. två fel blir ju inte ett rätt. Däremot är skadeståndsanspråket orimligt.
        Sedan har jag svårt för att man gråter ut i pressen uppbackad av föräldrar.trots att man varit i blåsväder tidigare.

  • Pontus Haglund

    Vilka jävla klåpare. Ni borde anställa grabben istället för att kräva skadestånd från honom. Ni har fan så mycket mer att vinna på det en denhär SKANDALEN.

  • Pontus Haglund

    Om din granne lämnar dörren olåst när han är på semester och du märker det kanske du skulle ringt honom. Och om vi ska fortsätta liknelsen så skulle han vara tvärsäker på att hans säkerhet hemma är top notch, och att dörren är låst.

    Du får då idéen att ”fan, jag går in i hans hall och skickar en bild till honom innifrån”. När din granne bevisligen ser att hans dörr är olåst så skulle han tacka dig för din envishet och för din hjälp. Inte ringa snuten för att hans vänliga granne brutit sig in i hans hem.

  • Pontus Haglund

    Nej, men om de som har ansvar vägrar bry sig, så är nog det enda sättet att få dom att fatta; att faktiskt gå in och visa hur lätt det är.

    Kommunen ska vara glada att det är en 16-årig datornörd och inte någon som faktiskt skulle vara intresserad av informationen som fanns tillgänglig.

  • Mikael Olsson

    Samtidigt är det viktigt att det faktiskt blir något straff av det här brottet, sade Tommy Rampling, informationssäkerhetssamordnare på Umeå kommun,”

    … Bara det här brottet? Hur är det med brottet mot personuppgiftslagen, 31a paragrafen?
    31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.”

    Är det även viktigt att det blir straff av det brottet, eller är det av underordnad betydelse att säkerheten är så dålig att en 16-åring kan traska rakt in, och att kommunen sedan underlåter att åtgärda problemet?

Umeå: Polisen vädjar om hjälp efter rån

Umeå: Polisen vädjar om hjälp efter rån

Umeå Nu vädjar polisen om allmänhetens hjälp efter att en person blivit rånad i… ?

Rattfull körde rakt genom polisspärr

Rattfull körde rakt genom polisspärr

Umeå För att få ut bilföraren tvingades polismannen slå sönder vindrutan.
Händelsen… ?

Fjärrvärme stängs i Umeå

Umeå Ett område i Umeå får räkna med att vara utan värme och varmvatten på… ?

Manifestation till stöd för familj som ska utvisas

Manifestation till stöd för familj som ska utvisas

Umeå På torsdag hålls en manifestation i Umeå till stöd för den afghanska… ?

Varning: Kan komma flera decimeter

Varning: Kan komma flera decimeter

Umeå Nu går SMHI ut med en varning för ett omfattande snöfall som är på väg in över… ?