Sikkerhet er en tungvindt ting

For noen år siden bestemte Datatilsynet at ansatte i skolen måtte ha sterk autentisering mot en god del av systemene sine:

Bruk sterk autentisering ved behov
De skolene og barnehagene vi har vært på kontroll hos, og som bruker informasjonssystem som inneholder opplysninger om mange barn, har vi pålagt at må etablere sterk autentisering for de ansatte ved innlogging dersom løsningen er tilgjengelig fra eksterne nett.

Med sterk autentisering mener vi for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til for eksempel læringsplattform, skoleadministrative system eller annet pedagogisk verktøy på nett. Dette hindrer at noen som får tak i brukernavn og passord klarer å skaffe seg tilgang til systemet.

Begrunnelsen var, rimelig nok, at den enkelte ansatte hadde tilgang til så mye elevinformasjon at enkel autentisering med brukernavn og passord ikke var sikkert nok. Det sier seg selv når du tenker etter – hva får en elev tilgang til om denne lærer seg brukernavn og passord til en lærer? Spesielt i våre dager når brukernavn og passord stort sett er likt over alle plattformer (tenker på deg nå, FEIDE). Læringsplattformer (i form av både itslearning, Office365 og GSuite), skoleadministrative system, andre større tjenester som f.eks. Engage (tidligere Vokal) er enkelt tilgjengelig via FEIDE. Hvis enkel autentisering er eneste hinder kan elever få tilgang til svært mye informasjon de ikke skal ha tilgang til – og de kan endre ting de ikke skal kunne endre.

Løsningen er selvfølgelig å legge på sterk autentisering (2FA) i form av ekstra kode som må legges inn. Den vanligste løsningen er kode via SMS, men det finnes også kode-apper på mobil, mobil som autentiseringsnøkkel eller, det som nå kommer, kodenøkkel via USB. Det er enkelt å skru på 2FA i FEIDE for ansatte, som da sender en SMS til registrert mobiltelefonnummer. Denne er ikke akkurat billig for arbeidsgiver, siden denne må betale for hver SMS som sendes. Flere velger også ID-porten som løsning og da kan du logge på med f.eks. MinID (som er gratis for arbeidsgiver).

Jeg tipper at dette er et vondt kapittel for mange kommuner – og det er ikke uten utfordringer i Randabergskolen heller. De fleste kommuner jeg har vært i kontakt med har ikke aktivert noen form for sterk autentisering for ansatte overhode.

I Randabergskolen har vi tvunget 2FA for ansatte i GSuite for Education (elevene kan velge det selv). Vi bruker Googles egen 2FA-løsning. Brukerne kan da velge mellom reservekoder på papir, talemelding eller SMS til mobil, autentiserings-appen til Google, direkte forespørsel fra Google til mobiltelefonen eller, nå nylig, en sikkerhetsnøkkel via USB. De fleste bruker SMS til mobilen. Vi har satt systemet opp slik at ansatte må inn med 2FA hver 7. dag per enheter du logger deg på. Altså er en enhet godkjent med 2FA i 7 dager før du må inn med 2FA på nytt. I mellomtiden kan du logge deg på med bare brukernavn/passord.

Vi har også også 2FA med eget brukernavn og passord i Visma sin skyløsning for IOPer – Visma FLYT Sampro. Der får alle som skal logge seg på en SMS, eller en epost, med en kode etter de har lagt inn brukernavn og passord.

…og det var det. Ingen andre systemer bruker 2FA for ansatte, selv om det er noen som i alle høyeste grad burde ha det (og skal ha det). Det skoleadministrative systemet Visma FLYT Skole, Conexus Engage, Identum sin enkle skypålogging (for tilgang til eFEIDE) og PAS/PGS er de systemene som burde ha det.

Nå nylig bestemte vi at fra august 2018 skal det være 2FA på disse tjenestene i Randabergskolen. Vi har informert rektorene og Utdanningsforbundet om at det skjer, så det ikke skal komme som noen overraskelse på de ansatte. Det kan godt hende at noen synes det blir tungvindt, men skal ting være sikkert så blir det slikt.

Disse tjeneste kan ikke være så åpne som de er nå. At ingen elever har logget på Visma FLYT Skole med lærerbruker er bare et spørsmål om tid (og flaks). Du verden så mye elevene kunne sett og gjort som ansatt i Visma FLYT Skole. De kan se igjennom alle anmerkninger for alle elever, de kan endre karakterer (også standpunkt) og de kan se hva som ligger under elevdokumenter i arkivet. Ikke glemt at etter GDPR trer i kraft skal slike eventuelle brudd meldes direkte til Datatilsynet innen 72 timer, så dette er ikke noe skolen kan «ordne opp i» selv.

Å skru opp sikkerheten i form av 2FA løser en god del utfordringer, men det lager også noen nye. For å bruke FEIDE eller MinID til 2FA  ansatte bruke mobiltelefon. Og de må bruke den en god del oftere enn de gjør med 2FA i GSuite for tiden. Ikke det, ansatte i Randabergskolen er allerede godt vant med å bruke mobiltelefonen sin til 2FA pga at vi gjør dette i GSuite – så jeg tror det går rimelig greit for vår del.

Vi har også planer om å bruke GSuite for Edu til behandling av sensitiv informasjon. Det kan vi ikke gjøre før vi skrur opp sikkerheten noen hakk her også, så vi tenker å sette 2FA til 24 timer i stedet for 7 dager. I den forbindelse tester vi også ut sikkerhetsnøkler via USB. Dette er små USB-pinner som pares mot Google-kontoen din og når du blir bedt om 2FA setter du inn nøkkelen og den overfører en sikkerhetskode til maskinen som slipper deg inn. Dette skal løse behovet for å ha med mobiltelefonen…

Kan er det ikke så overraskende at jeg ikke er fornøyd med nøkkelen. Den er tungvindt å sette opp (for en ordinær bruker). Jeg synes også den er upraktisk å bruke. For det første må du ha en USB-A-port og det er ingen selvfølge lenger på bærbare maskiner med USB-C. Nøkkelen virker ikke via USB-huber, som kan være direkte stress når du da må lete etter USB-porten på desktop-maskinen din. Og – jeg synes ikke alltid den virker. Jeg må for ofte ta den ut og inn, eller trykke på knappen på den (alt etter hvilken type du har).

For å toppe det hele velger Google sikkerhetsnøkkelen som standard 2FA etter at du har registrert den og jeg må klikke på «Har du problemer?» for å få opp andre 2FA-alternativer. Det var ikke helt intuitivt. Jeg hadde ikke problemer – jeg ville bare velge en annen 2FA-metode. Nøkkelen er i praksis lett å glemme igjen i maskinen, eller å rote bort. I praksis synes jeg SMS, kodeapp eller mobilautentisering er utrolig mye enklere. Jeg har alltid mobilen i nærheten og jeg glemmer den sjelden igjen der jeg har vært. Dessuten virker ikke FEIDE eller andre tjenester med denne sikkerhetsnøkkelen enda, så ansatte må uansett ha med seg mobilen når se skal logge inn i via FEIDE 2FA.

Hvis læreren glemmer igjen sikkerhetsnøkkelen i klasserommet er det lett for eleven å lage sin egen(!) sikkerhetsnøkkel for lærerbrukeren. Og læreren kommer i praksis aldri til å oppdage at det er registrert en ekstra sikkerhetsnøkkel! Vet at dette er kanskje litt søkt, men du vil før eller seinere ha en slik elev i systemet.

Så den viktige regelen er enda – Ikke la andre vite hva passordet ditt er!

 

Et hverdagsglimt…

Fra en kommune et sted i landet fikk jeg her forleden et kjent glimt av hvordan det er å være IKT-mann i skole. Skolefolk med IKT-kompetanse og gode ideer hadde jobbet frem gode IT-løsninger for skolen, og ble i møte med rektorene som ønsker en LÆRINGSPLATTFORM (ja, med store bokstaver) avskrevet med at det de drev med var «pjatt». Og i stedet for noe de kunne hatt et godt eierforhold til, og som kunne gitt bedre og mer strømlinjeformede løsninger, ender de opp med Fronter. Ikke det at det er noe direkte galt med Fronter (bortsett fra den drepende kritikken om universell utforming), men det finner bedre og mer spenstige løsninger… og da snakker jeg ikke om itslearning ;-).

I møtet med rektorers «De andre har det», som betyr «Vi må også ha det!», er det lite en kan stille opp med. Hva «det» er kan variere en del, men dette er noe som ofte skjer når en snakker om læringsplatformer. Hvorfor «må» vi ha Fronter (eller itslearning)? Jo, fordi «de har det». Om «de» i denne sammenhengen er en annen skole, en annen kommune eller noen andre ett sted i Norge er uviktig. En variant av dette argumentet er at «vi må velge det, fordi alle andre bruker det». En dårlig løsning blir ikke bedre om alle andre bruker den. Og ja, mange kan enda opp med «feil» system, fordi de som velger ofte ikke er de som skal bruke.

Et fri programvare-triks jeg er glad i er rett og slett å installere et annet LMS (f.eks. Moodle) på en tjener i kommunen/skolen og begynne å bruke det. Det er vel nesten det en kan kalle «diruptive» / forstyrrende metode, og du kan bli ansett som litt uhøflig fordi du ikke følger «vanlige» måter å gjøre ting på. Men det er nesten den eneste måten det er mulig å løfte frem fri programvare-prosjekter på. Kommersielle løsninger har ofte aktive selgere som springer villig rundt på skolen for å skryte av hvor sykt godt produkt de har – og alle utfordringene det løser (som ofte ingen har savnet). Fri programvare-prosjekt har ingen slike selgere, rett og slett fordi du stort sett ikke trenger å betale for å ta i bruk fri programvare-løsninger. Selvfølgelig finnes det fri programvare-prosjekt som har selgere og som du må betale for å bruke (f.eks. RedHat og moodle.com er fri programvare du må betale for), men de er på langt nær så interessert i å «selge seg» til markedet som andre rene kommersielle aktører med lukkede løsninger. Men dette er jo også en av fordelene med fri programvare – du kan ta dem i bruk uten å måtte betale noen for det!

Jeg må føye til et nytt punkt i Odins lille katekisme – #6: «Det er alltid noen som er misfornøyd med gjeldende løsning – uansett!». Velger du itsleaning er det noe som er galt og det samme gjelder Fronter, Moodle, Google Apps, Moava, PedIT osv. Ingen løsning løser alt slik alle vil det. Allikevel er noen løsninger er mer fremoverlent i det å skyve bruk av IKT i den retningen ting utvikler seg, mens andre sitter fast i gamle former og løsninger. Og for å si det litt stygt – om en rektor, som ikke har peiling på data, liker en løsning fordi rektoren synes den virker snedig og bra, er det kanskje på sin plass å stille et par spørsmål om hva og hvorfor. Som jeg har skrevet om tidligere er jeg langt i fra sikker på om et LMS er rett vei å gå i utgangspunktet for skolene. Det finnes bedre løsninger der ute på nettet, men det krever litt mer planlegging og tankekraft enn å si at «vi må ha det, fordi de har det». Det skumle skoleledere må gjøre er å stole på erfarne IKT-folk i skolemiljøene og trekke dem med i prosessene når de skal lage en IT-plan for årene som kommer. Ikke fall for selgeres tilsynelatende enkle løsninger – og så får IKT-folkene i skole våge å vise frem det de faktisk tror er de gode løsningene for skolen, enten noen vil se dem eller ikke…

Og til slutt… Artikkelen i engelsk Wikipedia om «Learning Management Systems» er slett ikke verst om at et LMS har lite med læring å gjøre…

Certain learning tasks are well suited for an LMS (centralized functions like learner administration and content management). Learning itself is different – it is not a process to be managed. Learning is by nature multi-faceted and chaotic. Organizations that now lock into enterprise-level systems will be able to do an excellent job of delivering courses. They won’t, however, be positioning themselves well for informal learning, performance support, or knowledge management. The concept is simple: one tool can’t do it all without losing functionality. The more feature-rich an individual tool becomes, the more it loses its usefulness to the average user. Connected specialization, modularization, and decentralization are learning foundations capable of adjusting to varied information climate changes.

Skyen og Loven

Mens Google, Narvik og Datatilsynet prøver å bli enige om hva som er godt nok har jeg tenkt litt på skytjenester, personopplysningsloven og databehandleravtaler – og det er noe som skurrer når personopplysningsloven møter virkeligheten på det store Internettet. I det videre skriver jeg med utgangspunkt i skolen (siden det er den jeg kjenner best), men problemstillingen gjelder for alle norske virksomheter som bruker skytjenester.

Personopplysningsloven §15 stiller krav om at det skal være en avtale mellom skolen og en skytjeneste som behandler personopplysninger – en databehandleravtale. Og bare så alle er enige – en personopplysning er «opplysninger og vurderinger som kan knyttes til en person» (§2). Det er i denne sammenheng likegyldig hva slags opplysning det er. Sensitive personopplysninger er en spesiell type opplysninger om personen, som vi i denne runden ikke tar opp. Loven gjelder alle former for behandling av disse opplysningene med elektroniske hjelpemidler eller når opplysningene inngår i et personregister (altså en samling av personopplysninger). Det er skolen som må lage avtalen med skytjenesten. Selvfølgelig kan skytjenesten ha klart et forslag, men det er ansvarlige som skal opprette en avtale med behandler.

Det første jeg måtte avklare for meg selv var hvilke skytjenester som krever en avtale, og nå tenker jeg bare på at en må ha en avtale – ikke hva som skal stilles som krav i avtalen (som er sentral del av diskusjonen rundt Google Apps og Narvik). Hvilke skytjenester har opplysninger som kan «knyttes til en person»? Det er de fleste, fordi de har en eller annen form for autentisering. Da lagres automatisk en del opplysninger direkte knyttet til en person (og husk at vi nå snakker om hvilke som helst opplysninger) og da må en ha lage en avtale. Alle FEIDE-tjenester ramler inn her.

Jeg vil også ta utgangspunkt i at en bare må inngå en slik avtale når skolen bruker en skytjeneste systemisk – at elever og lærere ikke kan la være å bruke den, fordi det ligger i skolens planer at alle skal bruke tjenesten. En trenger ikke gjøre det om det er frivillig – da kan de som ikke vil bruke den bare la være.

Da sitter jeg igjen med en interessant liste med avtalepliktige skytjenester (som ikke er uttømmende):

  • Fronter
  • Cyberbook
  • NRK Skole (om du bruker FEIDE)
  • Gyldendals Smartbok
  • Kindle
  • Mobilskole
  • itslearning
  • Google Apps
  • Microsoft Live@EDU
  • iTunes/iCloud/iTunesU
  • Android Market
  • MinSkole
  • NDLA
  • Apper på mobil/nettbrett som krever identifisering (f.eks. en del kommende norske digitale lærebøker)

Du kan faktisk også kreve det av Wikipedia om elevene har som arbeidsoppgave på skolen å skrive i der, fordi da kreves det som regel en pålogging/identifisering av bruker.

Noe sier meg at skoler ikke lager slike avtaler og ingenting er som et praktisk eksempel. Jeg ville se om skoler inngår avtale med LMSene de bruker. Via via via fant jeg ut at bare en kommune har inngått en databehandleravtale med Fronter – og det er Oslo. Ingen andre. Det betyr i praksis at alle andre skoler/kommuner som bruker Fronter ikke følger det viktigste punktet i personopplysningsloven – og bruken av systemet er dermed ikke lovlig. Jeg har ikke funnet ut hvordan det står til med itslearning, men ansvarlige itslearning-administratorer der ute som kan bekrefte eller avkrefte om de har en slik avtale må bare ta kontakt. Jeg skjønner at dette er litt pirkete og at de fleste enkelt kan lage en databehandleravtale med Fronter, men det er ingen som har gjort det – eller tenker at de burde det. Tydeligvis.

Så kom jeg på enda en ting, som Google er veldig flinke til å informere deg om – hva skjer om du kobler en tredjepartstjeneste / underleverandør til skytjenesten? Jeg tar et eksempel fra Google Apps, men dette gjelder mange andre skytjenester og det mest nærliggende er kanskje Ephorus i Fronter og itslearning. I Google Apps kan du lett koble deg opp til andre tjenester som f.eks. Aviary Design Tools, som er en pakke med online-verktøy for redigere lyd og bilde. Du får promte beskjed fra Google om hvilken informasjon Aviary vil ha tilgang i Google Apps-basen:

User Provisioning (Read only)
This app will give your users access to Aviary and provide help to them get started.

Docs (Read/Write)
This app saves your creations to your Docs account for easy access and sharing.

Og vips – så ble Aviary en ny databehandler for skolen i og med at de kan lese brukerinformasjon (og bruker den for å holde orden på hvem som lager hva) og at de har sin helt egen «Security Policy» enn Google nødvendigvis har. I følge loven må skolen da også inngå en databehandleravtale med Aviary, fordi Google allerede uttrykkelig har sagt at de ikke tar ansvar for hva Aviary bruker informasjonen de henter ut av Google Apps til. Dette kommer også frem i Datatilsynets veileder for databehandleravtaler (s. 13).

Du møter kravet om databehandleravtale igjen og igjen og igjen og igjen – og det før du skal prøve å leve opp til Datatilsynets forventninger til hva du konkret skal kreve/forvente i disse avtalene. Blar du igjennom Datatilsynets krav til Narvik kommune ifm bruk av Google Apps og kikker på listen over skytjenester tidligere i innlegget, skjønner du raskt at den enkelte skole eller kommune kan få store problemer med å bruke tjenestene.

Jeg er ikke motstander av at Datatilsynet passer på at vi ikke skal finne oss i avtaler vi kommer til å angre på, men det er noe som skurrer kraftig når personopplysningsloven møter «Skyen» på denne måten. Det er noe med at «Skyen» bare ikke virker slik personopplysningsloven forutsetter at verden skal virke.

Om de tre LMSene

Det som kommer nå er et «første møte» med de tre systemene. Jeg har i ulik grad bruk alle tre systemene før, men jeg har nå tilgang til den siste utgaven av alle tre og bruker dem omhverandre for å se hvilke tjenester de har og hvordan det oppleves å bruke dem. Jeg kommer til å prøve ut de ulike tjenestne i mer detalj seinere – og jeg kommer til å vurdere hvordan jeg opplever samlingen av tjenester kontra det å ha tjenestene tilgjengelige via ulike andre program.

Men her er i alle fall en kort oppsummering så langt…

itslearning Fronter Moodle
Opprinnelse Opprettet i 1999 i Bergen. Opprettet i 1998 i Oslo. Kjøpt opp av Pearson-gruppen i 2009. Første utgave i 2002 etter arbeid startet av Martin Dougiamas i Australia.
Utbredelse 2 millioner brukere. Godt representert i Norge (og Rogaland) 6 millioner brukere i over 30 land. Godt representert i Norge. 41 millioner brukere i 211 land. Ikke særlig utbredt i Norge.
Selvskryt De vokser. Lett å bruke. Sertifisert av Becta. Fleksibel løsning for neste generasjons utdanning. Fri programvare. Svært utbredt og stor tilgang til matriell. Laget rundt en bevisst pedagogisk ide.
Pris i grunnskole (2010) Grunnlisens kr. 9863,- (inkl. 1GB lagring)
1GB i året kr. 5310,-
Grunnlisens kr. 5750,- (inkl. 1GB lagring)
1GB ekstra i året kr. ?,- (kan noen hjelpe?)
Fri programvare.

Mye er så likt mellom disse tre at det i stor grad handler om hvordan de fungerer i praksis, f.eks. hvordan du legger inn et spørsmål til en digital prøve. Da er vi tilbake til smak og behag – og det den enkelte bruker er vant til å gjøre. Altså, de liker best det de lærte først :-)

Skal jeg våge meg på en slags foreløpig overordnet vurdering av de tre systemene kan jeg si:

  • Fronter og Moodle har flest verktøy og flest alternativer for hvert verktøy.
  • Fronter er mer uoversiktelig enn Moodle.
  • itslearning og Moodle har stort sett samme struktur og er rimelig oversiktelige.
  • itslearning er enklere å bruke enn Moodle, men har mindre funksjonalitet knyttet til det enkelte verktøy.

For å si det på en annen måte:

  • Enkelt å bruke/ryddig og oversiktelig: 1) itslearning, 2) Moodle og 3) Fronter.
  • Flest funksjoner/verktøy: 1) Moodle, 2) Fronter og 3) itslearning.
  • Pris (fra billigst til dyrest): 1) Moodle, 2) Fronter og 3) itslearning.

I mine øyne (foreløpig) står valget mellom itslearning og Moodle, alt etter hvilken funksjonalitet du vil ha – og hvor mye du vil betale for det! Bare for å gi et eksempel på pris: itslearning koster for en skole på rundt 300 elever i praksis rundt kr. 34.000,- i året, fordi du bør regne med at de i alle fall trenger 6GB med lagringsplass. Jeg mangler GB-prisen på Fronter så det kan jeg ikke si så mye om enda, men Moodle koster rundt kr. 8.000,- i et engangsinnkjøp for en helt grei tjener med, i praksis, uendelig med lagringsplass de kommende 5-10 årene. Eller du kan kjøpe et webhotell til Moodle hos f.eks. Domeneshop der du får 10GB lagringsplass og domenenavn for kr. 1.100,- i året.

PS! Jeg har sendt en forespørsel til Fronter om hvor mye de tar betalt i grunnskolen for en ekstra GB med lagring, men jeg har enda ikke fått noe svar. Noen andre enn Fronter som vet hva det koster?

Innledning om LMSer

Jeg skal nå begynne på arbeidet med å se på itslearning, Fronter og Moodle som LMSer i skolen. I 2007 laget Norgesuniversitet er rapport «Bruk og egnethet av fire LMS», Olav Skundberg (red.), som tok for seg en sammenlikning av disse tre i tillegg til en delvis vurdering av Microsoft Learning Gateway. Oppsummeringen av rapporten ser omtrent slik ut (MLG var ikke med i sluttvurderingen):

Prosjektet tok utgangspunkt i spørsmålet: Er LMS-ene egnet som et pedagogisk verktøy? For å kunne svare på det, har vi undersøkt i hvilken grad LMS-ene ivaretar krav om å kunne bruke ulike pedagogiske opplegg, bruke et mangfold av funksjoner og verktøy og vise til gode undervisningsopplegg.

  • LMS-ene støtter de ulike pedagogiske oppleggene vi kunne prøve innenfor rammen av prosjektet. Vi kan allikevel tenke oss undervisningsopplegg, for eksempel innen ferdighetstrening, hvor LMS-ene gir begrenset støtte.
  • Det har vært brukt et mangfold av funksjoner og verktøy. Av de vi evaluerte, ser vi at det er publisering, oppslagstavle og øvingsadministrasjon som er vurdert som viktigst.
  • Vi kan også vise til gode undervisningsopplegg og bruk av nye funksjoner, som blogg og wiki, som ga meget positiv respons.

På dette grunnlaget vil prosjektet hevde at LMS-ene er egnet som pedagogiske verktøy. Vi vil allikevel føye til et men: Slik man trenger opplæring for å kjøre bil, trengs det også opplæring og gode eksempler for å tilpasse LMS-et til undervisningsopplegget.

Til slutt, er det grunnlag for å si at et av de tre LMS-ene vi har testet er bedre egnet enn et annet i pedagogisk sammenheng? Vi mener at det ikke er grunnlag for å si det, det er vanskelig å trekke frem noen vesensforskjell i funksjonalitet og brukervurdering. Tekniske rammekrav og kostnader er ikke tatt med i denne vurderingen.

Selvfølgelig har det skjedd mye med alle tre LMSene siden 2007, men tror allikevel at hovedkonklusjonen enda er noenlunde rett. Jeg vil selv ikke gå så i dybden, som denne rapporten gjør, men jeg vil gjøre det jeg tror de fleste gjør når de bruker et LMS: Jeg vurderer LMSene ut i fra hvordan jeg synes de tjenestene jeg mener er viktig er tilgjengelige i den enkelte LMS og hva som i hovedtrekk skiller det ene systemet fra det andre.

Det jeg også vil tenke på er hvorfor jeg skal bruke et LMS og hva jeg skal bruke det til. Utgangspunktet mitt er om det strengt tatt er nødvendig med et LMS. Har jeg bruk for et system der en masse tjenester er samlet under ett tak, når de samme tjenestene finnes i betraktelig bedre utgaver hver for seg? Har integreringen av tjenestene en verdi i seg selv? Hva er det et LMS kan brukes til som andre tjenester ikke kan gjøre?