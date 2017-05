Ved hjelp av få tastetrykk var det mulig å se på, endre og slette personlig informasjon om andre medlemmer. Direktøren i IKT Norge mener at både NIF og idrettslagene som brukte systemet har sviktet.

Datatilsynet er koblet inn, og bekrefter overfor VG at de undersøker saken.

Så langt er årsaken til at det var mulig å redigere forhold rundt andres identitet i medlemsregisteret ukjent. Men det er på det rene at systemet også gjorde det mulig å sperre av kontoen for andre brukere.

Verken NIF IT eller den NIF-godkjente leverandøren Rubic var klar over feilen før VG gjorde dem oppmerksom på det.

Direktør i IKT-Norge, Torgeir Waterhouse, ser svært alvorlig på saken.

– Hvis du kan sperre ute andre medlemmer, så har du tatt kontroll over deres identitet. Det er det ene. Det andre er at du kan finne folk som ikke vil bli funnet. Det kan skape farlige situasjoner. Mange har med god grunn hemmelig adresse og identitet. Disse skal få lov å være med i et idrettslag uten å være bekymret for at adressen deres blir spredt.

SVÆRT ALVORLIG: Torgeir Waterhouse i IKT-Norge sier at funksjonsfeilen kunne skapt farlige situasjoner. Foto: Jan Petter Lynau , VG

Omfanget av funksjonsfeilen er ikke kjent, men VG har dokumentasjon på at den elektroniske manipulasjonsmuligheten var mulig i minst tre idrettslag.

Slik kunne det bli gjort:

Ved å knytte til seg familiemedlemmer ble man oppført som hovedkontakt for det valgte medlemmet. Dermed kunne man gå inn å redigere medlemmets profil akkurat som man ville. I praksis kunne hvem som helst lage en profil i disse idrettslagene og knytte relasjon til de andre medlemmene.

NIF IT har tidligere hatt trøbbel med sin egen elektroniske medlemsløsning. I mars avdekket Digi.no en alvorlig feil i Idrettsforbundets egent nettjeneste Min idrett. Omtrent samtidig slo en intern rapport full alarm om den økonomiske utviklingen rundt utviklingen av IT-arbeidet i forbundet.

Les også: NIF kassa tømt - tyr til millioner

Rubic var overrasket da VG tok kontakt, og tok umiddelbart grep. Funksjonen ble sperret kort tid senere. Etter et hastemøte i selskapet forteller daglig leder Rune Solholm Bakken at Rubic er i god dialog med NIF om saken. Ellers vil han ikke kommentere saken utover følgende:

«Etter samtale med Louise Samnøy ble vi gjort oppmerksom på at vår funksjon for familierelasjoner kunne føre til uønskede hendelser. Selv om vi ikke har mottatt varsel eller rapporter om problemer med denne funksjonen tidligere, har vi valgt å slå av funksjonaliteten inntil videre. Vi har derfor rutinemessig varslet datatilsynet om saken».

Selv om leverandøren er godkjent av NIF, mener NIFs IT-sjef Kjetil Bakke at ansvaret hviler på IT-leverandøren.

– Det er ingen tvil om at dette er Rubic sitt ansvar å rydde opp i. Det er de som driver medlemssystemet og er ansvarlig for databehandlingen. Det er en grunn til at vi anbefaler idrettslagene å bruke vårt eget system. Da tar vi ansvar for registrering og behandling.

GIR LEVERANDØREN ANSVAR: IT-sjef i NIF Kjetil Bakke mener at Rubic må ta ansvaret for funksjonsfeilen som oppstod hos idrettslagene som hadde brukt et system fra IT-leverandøren. Foto: Hallgeir Vågenes , VG

– Hvorfor har dere godkjent andre IT-leverandører hvis dere ønsker at lagene bruker deres eget system?

– Det er for å skape valgmuligheter for idrettslagene og sørge for at det er konkurranse i markedet. Vi godkjenner at systemene oppdaterer NIFs database, men vi sertifiserer ikke systemene og kvalitetssikrer ikke prosedyrene deres.

Har du lest? Sykkelklubber i IT-kamp mot NIF

Bakke mener at klubben som kjøper tjenesten må ta ansvaret selv dersom de ikke velger NIFs egen løsning. SFK Lyn er en av klubbene som bruker Rubic og som ble utsatt for funksjonsfeilen. Oslo-klubben var ikke klar over funksjonsfeilen før VG tok kontakt, og mener at de ikke hadde hatt muligheten til å gjøre noe annerledes i denne situasjonen.

– Det er et fullstendig produkt vi har kjøpt, og vi har ikke hatt innflytelse på selve oppsettet. Rubic har laget dette basert på gamle medlemslister, sier daglig leder Sjur Skridshol i Lyn. Han er glad for at leverandøren reagerte raskt etter at det ble informert om funksjonsfeilen.

Fakta I idrettsstyrets forskrift fra 4. februar 2016 har NIF pålagt alle lokallag å registrere medlems- og organisasjonsdata elektronisk.



I reglene står det at medlemsregisteret må føres i NIFs eget system, KlubbAdmin, eller annet elektronisk medlemsregister godkjent av NIF.



Ifølge NIFs egne IT-sider på nett er tretten forskjellige leverandører godkjent, mens fire leverandører fortsatt er i godkjenningsprosess.



– Vi tok kontakt med Rubic og ba dem stoppe dette umiddelbart. Da hadde de allerede stengt av funksjonen.

- Bruker ikke nok ressurser

Ifølge Torgeir Waterhouse må ansvaret fordeles.

– Her har både NIF og lokallagene et ansvar, og begge har sviktet. Dette er dessverre et vanlig og bekymringsverdig problem. Systemets leverandør har opplagt ansvar for å levere en løsning etter avtalen og sørge for å følge etablerte lover i Norge, men de ikke nødvendigvis ansvar i denne situasjonen, sier IKT-direktøren.

For selv om elektroniske løsninger totalt sett gir en klar effektivisering betyr det ikke nødvendigvis mindre arbeid for alle. Det er det mange som ikke har skjønt, tror Waterhouse.

– Man tar i bruk et system, men bruker ikke nok ressurser til å sette opp og vedlikeholde systemet. Selv om systemet i seg selv fungerer, kan det settes opp på feil måte.