Sønderborg Statsskole er en af de fem skoler i Syd- og Sønderjylland, som er ramt af et alvorligt hackerangreb. Her er strengt fortrolige personoplysninger på mere end 7.500 elever og 750 ansatte blevet hacket, bekræfter IT-center Syd overfor TV SYD. 

Rektor Ole Kamp Hansen er forfærdet over, at det har kunnet ske.

- Det er helt forfærdeligt og en meget ubehagelig situation, vi står i. Det er noget, vi tager meget alvorligt.

Det drejer sig om persondata vedrørende unge under 18 år, CPR-numre, hemmelige adresser, sundhedsoplysninger og lønkonti. Og oplysningerne kan have ligget offentligt tilgængeligt i flere uger.

Fem skoler angrebet

Udover Sønderborg Statsskole er EUC Syd, Gråsten Landbrugsskole, Privatskolen Als og Sønderborg International School blevet ramt af cyberangrebet, der skete fredag den 31. august. Et angreb som har ramt hverdagen på skolerne.

- Vi opdagede angrebet ved, at vi intet kunne åbne eller bruge af det elektronisk udstyr, da vi mødte ind den torsdag, og det fortsatte også om fredagen, hvor vi var helt lagt ned, fortæller rektor Ole Kamp Hansen.

- Vi kunne ikke benytte computere, telefoner, printere, eller elektroniske døråbnere eller noget som helst andet koblet på elektronik. Og selv her 25 dage efter er vi stadig helt lavpraktisk påvirkede af angrebet med vores printere, der endnu ikke virker helt, som de skal.

Kathrine M. Palnov går i 3. g på skolen. Hun og de andre elever har i dag mandag den 25. september - altså tre uger efter angrebet - fået et brev fra skolen, som forklarer, hvad der er sket og hvad de som elever skal være opmærksomme på.

- Meget ubehageligt

- Det er meget ubehageligt at få at vide, hvad det rent faktisk kan betyde for os. Fremmede kan få indsigt i vores sundhedsoplysninger, tider hos lægen, og ikke mindst adgang til vores CPR-numre, og på den måde for eksempel svindle med vores penge. Det er ret uhyggeligt, når man tænker over det, siger den unge forperson for skolens elevråd.

Ifølge skolens rektor har de først skrevet ud i dag mandag, fordi man havde brug for at få indsigt og rådgivning fra blandt andet datatilsynet, så de har kunnet give korrekt rådgivning.

- Vi har nu skrevet ud til dem, hvordan de skal forholde sig til dem – vi fortæller dem dels, hvad der er sket, og hvilke data der kan være tale om, der er lækket, samt hvilke konsekvenser det kan have for dem.

I brevet står der:

'at man vurderer, at der er en høj risiko for, at der blandt de lækkede data kan være personfølsomme oplysninger (...) samt at det ikke kan udelukkes, at der er øget risiko for identitetstyveri.

Og hvis man har hemmelig adresse eller telefonnummer, kan de komme fremmede til kendskab'.

Ifølge GDPR-reglerne er der skærpede krav til sikkerhed, når man skal behandle og opbevare mindreåriges personfølsomme oplysninger.

IT-center opdagede ikke lækket i første omgang

Hackerangrebet skete ved, at en elev på en af skolerne havde fået virus på sin private computer, som betød, at hackerne ad den vej fik adgang til systemet. Herved fik hackerne adgang til yderligere 71 computere samt en administrationskonto, og dermed fuld kontrol over skolerens it-system.

Den 8. september meldte IT-Center Syd ud til skolerne, at der ikke var personfølsomme oplysninger, der var blevet lækket. Fire dage senere får it-selskabet et tip om, at det stod mere grelt til.

- Vores første undersøgelse viste ikke, der var et datalæk. Organisationen, der har været inde i vores system, arbejder meget professionelt, og de har sørget for at rydde op efter sig, så der var ikke nogle væsentlige spor, der signalerede kopiering eller flytning af data, fortæller vicedirektør på EUC Syd og formand for styregruppen for IT-Center Syd, Birgitte Kastrup Hansen.

Hackerne, som få dage efter angrebet henvendte sig til skolerne med skærmbilleder fra hackergruppen Rhysida, som bevis for, at de har de følsomme data, kræver en løsesum på fem bitcoin eller det der svarer til næsten en million kroner, fortæller Birgitte Kastrup Hansen. Det fik de fra den 12. til den 18. september, ellers ville oplysningerne blive offentliggjort.

- Det har vi ikke haft planer om at imødekomme, siger hun.

- Vi er af den indstilling at ved at betale penge til sådan en organisation, bidrager vi positivt til, at deres næste angreb finansieres, siger Birgitte Kastrup Hansen.