Öppna Skolplattformen polisanmäls av Stockholms stad

Ja vad händer om det uppstår en bugg eller säkerhetshål i Stockholm stads system?

De hade kunnat göra detta rätt nämligen sagt "bra jobbat med alternativa plattformen, hur kan vi ersätta er för ert fina arbete?" Men istället ska det nu bedrivas hetsjakt på de här uppenbart begåvade personerna och utöver detta ska man tvinga alla att använda den kassa lösningen. Det är ju inget snack om att det blivit en fråga om prestige.

Såklart det finns en risk att ha olika plattformar i att någon skulle vara trasig i utförandet eller läcka data.

I det stora hela är risken att en främmande makt använder sig av trasiga APIer värre och sker förmodligen redan idag. I det senare fallet har personen i fråga inget val att lägga medans i fallet olika plattformar så är det en medveten exponering som en användare gör. Likt jag kan lämna ut mitt körkort till någon för att hämta ut paket i mitt namn.

Ur den synvinkeln anser jag att ansvaret för dataskydd ligger hos Skolplattformen, eftersom de har ett API som är en sådan katastrofal säkerhetsrisk när de kan få ut personuppgifter á la Ratsit - Darknet Edition. Sådana utnyttjas garanterat av främmande makt och borde skyddas bättre. Räcker med en sån miss för att all information teoretiskt ska hinna läcka ut. Det är en misstolkning av lagen att ansvaret enbart ligger hos den som tillskansar sig obehörig åtkomst till system oavsett öppenhet. Det korrekta att det kan finnas två förövare, dels den svensk som rimligen kan antas veta att det är känsliga uppgifter som hen inte har tillgång till tillskansar sig den datan, dels den som tillhandahållt känslig data på ett vårdslöst sätt.

Här har Öppna Skolplattformen gjort rätt, eftersom de använder sig av autentisering för att öppna och läsa informationen. På så vis kan de peka på att de har fått delegerad behörighet att läsa relevant data om personerna i fråga.

Min personliga åsikt är att anmälan borde leda till nya åtalspunkter gällande datasäkerhet för Skolplattformen och Stockholms Stad, då det verkar som att det finns eller har funnits stora brister i APIet. Det här borde över huvud taget inte inträffa, utgångspunkten för säkerhet skall vara att systemet kommer attackeras och därmed bör ha ett resonligt skydd då det kommer ske och oftast av personer som aldrig kommer kunna lagföras för det eftersom det inte är olagligt där de befinner sig.

Det här är ett fall där en person hanterat olåsta behörigheter på ett synnerligen vårdslöst sätt.

Skulle det bli så, kommer vi snarare skjuta oss själva i foten eftersom det kommer bli mycket svårare att granska och testa de APIer som lagts upp eftersom det finns en risk att bli straffad. Sverige kommer ha ett uselt skydd á la Security by obscurity istället. Speciellt i sådana här fall skulle det vara förödande. Tänk om Öppna Skolplattformen inte upptäckt att Skolplattformens API var ett Ratsit - Darknet Edition? Nåväl, bara vi svenskar är lyckligt ovetandes om hur oskyddade vi är så går väl allt ... ?

Har inte haft tid att sätta mig in i detaljerna kring denna fråga men jag tror det är just detta som många missförstår. Det handlar om juridik, inte teknik. Det kan mycket väl vara så att Stockholms Stad känner sig tvingade att driva denna process trots att man inte vill, för att inte själva vara de som bryter mot lagen. Det behöver inte vara så att alla inom kommunen är idioter bara för att man gör något som framstår som idiotiskt. Sen finns så klart även möjligheten att alla inblandade från kommunen är hämdlystna idioter men jag hoppas att så inte är fallet.

Innan man anklagar andra för inkompetens bör man kanske själv ha koll på vad som är och inte är myndigheter

Detta visar väl lite vart mognadsgraden ligger rent allmänt för kommuner och statliga verk ang. just begrepp som API:er, Öppna data, Öppen källkod mm.

Det behöver ju inte nödvändigtvis vara "öppna data" som är ledordet i de sammanhang då Internetsladden råkat kopplas in i hårddisken.

Ser att fler länkat till nedanstående avsnitt, det kan nog vara bra att det här sprids när våra skattepengar gödslas med för det vilda, portalen har ju inte varit någon billig historia så långt.

https://kodsnack.se/410/

Kan ju bara hoppas på en förbättring på det här området. Något nationellt initiativ för skolportaler kanske skulle vara något istället för att alla skall uppfinna hjulet på nytt varje gång, på varsitt håll dessutom. Bara en tanke.

Jag fattar inte:

Stockholm stad har ett gäng öppna API:er och nu polisanmäler de folk för att de använder det? Wat?!

Lösningen känns ju rätt enkel, begränsa användningen genom att slå på någon nyckel. Tyvärr kommer väl någon konsultfirma fakturera några hundra miljoner över några år för något så enkelt. Om det nu är så att API:et läcker data så kan man nog anta att Kina och USA redan hämtat ut det mesta. Men nää, låt oss polisanmäla hederliga skattebetalande medborgare istället!

Det är nästan så att man borde spendera helgen framför datorn och hacka ihop något mög som använder API:et för att se om man blir polisanmäld för det

Att API:t kräver autentisering motsätter inte att det öppet, dock. Det handlar snarare om att API:t är dokumenterat och man uppmuntrar andra applikationsutvecklare att interagera det. Ett exempel (bland många) är Bungie:s API in till spelet Destiny 2 som låter tredjepartsapplikationer ha åtkomst till att t.ex. hantera objekt i spelarens inventory. Detta kräver dock att användaren autentiserar mot API:t och tillåter applikationen. Öppna API:er finns i alla möjliga sektorer, som sociala media, dataspel, förvaltningar, och t.o.m. banker.

"Öppet" i det här sammanhanget betyder inte att det inte krävs autentisering. Och de enda som påstår att Skolplattformens API är öppet verkar ironiskt nog vara just Stockholms stad själva...

Skolplattformens API är inte öppet i något av de två bemärkelserna. Det krävs autentisering, och API-dokumentationen är inte offentlig (trots att den enligt offentlighetsprincipen ska vara det).