Ett obehörigt administrationskonto som hette "bigbrother2017" hade nästlat sig in i systemet. Personer som loggat in via standardlösenord kan ha tagit del av videokamerans bilder. Och allt handlar om en liten besökssensor i entrén till Linköpings universitets bibliotek.
– Vi tror att vi har upptäckt hackningen relativt snabbt, i september i år. Då stängde vi sensorn direkt och rapporterade ärendet till myndigheten för samhällsskydd och beredskap, MSB, säger Joakim Nejdeby, IT-direktör vid Linköpings universitet.
Men det var först när hackningen upptäcktes som Linköpings universitet också insåg att sensorn hade dubbla funktioner.
– Teoretiskt har det varit fullt möjligt för utomstående att logga in och följa videokamerans upptagning på nätet. Men det gränssnitt som vi har handlat upp och använt har inte tillåtit det. Vi har bara kunnat ta del av hur många som har gått in och ut.
Vet du om någon har kollat på videokamerans liveupptagning?– Vi kan inte se några tecken på det. Men jag kan inte garantera att ingen har gjort det.
Vad kan "bigbrother2017" vara?– Svårt att säga. Det kan vara ett sätt att skaffa tillgång till en server som man sedan kan använda till något annat.
Vad tycker du själv om det inträffade?– Det är mycket olyckligt. Men vi är ett universitet som ska ha stor öppenhet och priset vi får betala är att det också kan vara lätt att ta sig in på olika sätt. Vi vet att det finns de som ägnar tid åt att söka efter olika sätt att hacka den här typen av offentliga organisationer. Det pågår en aktuell debatt om det i samhället just nu. Det är viktigt att ta IT- och informationssäkerhet på allvar.
Han konstaterar också att det är svårt att köpa in IT-utrustning i dag:
– Det är många krav som ska uppfyllas och det krävs att leverantören gör sitt jobb ordentligt. Men det behövs också kunskap hos inköparen, säger Joakim Nejdeby.
Länsstyrelsen ger tillstånd till övervakningskameror, och bedriver även tillsyn. När länsstyrelsen fick vetskap om händelsen gjordes en bedömning av ärendet. Men eftersom kamerorna är avstängda och nedmonterade bedömde man att tillsynsåtgärder inte är nödvändiga. Däremot har länsstyrelsen informerat polismyndigheten, för kännedom och eventuell åtgärd.