Kritiske feil i digital eksamen åpner for juks

Er det okei om eksamen skriver seg selv?

Utviklingen fra skriftlig eksamen til digital eksamen har vært en gavepakke til studentene fra universitetsledelsen. Kanskje en litt for stor gavepakke, for hvor enkelt skal det egentlig være å jukse på eksamen?

Håvar Dobson Fjelde

Skribent og rekrutteringsansvarlig

haavar@katarsisuib.no



Ole Myklebust Amundsen

Skribent og nettansvarlig

ole@katarsisuib.no



Hilde Emilie Meyer

Illustratør

Ikke et nytt problem

Katarsis har fått innsyn i nåværende svakheter i den eksisterende eksamensløsningen som UiB bruker, Safe Exam Browser/Inspera. Lignende svakheter har tidligere vært dokumentert i minst to masteroppgaver(1,2) og i artikler hos Universitas (3), StudVest (4) og Digi.no (5).

Disse artiklene viser at studenter jevnlig bryter sikkerheten i SEB/Inspera, noe som betyr at eksamenskandidaten kan få tilgang til internett og alle sine notater. I tillegg er det også mulig for en annen person å skrive direkte inn i eksamensoppgaven, tilsynelatende uten at noen kan oppdage dette. Dokumentasjon på enkelte av sikkerhetshullene ble publisert i 2016 og lignende type feil eksisterte også fortsatt i eksamensperioden høstsemesteret 2017.

Å vite om denne typen feil kan gjøre at enhver student mister leselysten.

Med andre ord kommer det en jevn strøm avsløringer relatert til svakheter i programvaren brukt på den digitale eksamen. Når blir dette et stort nok problem for universitetsledelsen?

Det er universitetene selv som legger føringer på hva de mener er en akseptabel risiko for juks. Ledelsen svarer at det ikke kan gis noen garanti mot juks, men at feil rettes fortløpende i dialog med leverandør.

Katarsis stiller likevel spørsmål ved hvor mye kontroll UiB faktisk har over denne løsningen.  I hvor stor grad man kan handle raskt på informasjon om nye sikkerhetshull i løsningen er avgjørende, i tillegg til det andre som kan gjøres for å forebygge juks på eksamen.

Kontroll over løsningen – hvem har ansvar for feil?

Det er et sveitsisk universitet som er hovedutvikler av programvaren SEB, og det er Inspera som leverer denne løsningen til blant annet UiB og NTNU. SEB ligger ute som åpen kildekode der det inntil nylig ikke var gjort nevneverdige oppdateringer på opp til et halvt års tid.

Ettersom den teknologiske utviklingen går ekstremt raskt, og operativsystemer blir oppdatert jevnlig, vil det ikke bare føre med seg endringer i hvordan systemene selv fungerer, men også i hvordan SEB interagerer med disse systemene. Det er derfor viktig at kildekoden jevnlig oppdateres. Konsekvensene av at kildekoden ikke blir oppdatert er slike svakheter som Katarsis har sett demonstrert.

SKRIVER SEG SELV: et smutthull i SEB gjør at datakyndige i teorien kan sende ferdig skrevne tekster til seg selv under eksamen. Videoen er ikke laget i en eksamensetting.

Universitetsledelsen svarer

Oddrun Samdal, viserektor for utdanning, har kommentert sikkerhetssituasjonen til digital eksamen ved UIB. Hun uttrykker at digital eksamen er et resultat av en digitaliseringsprosess ved UiB, hvor målet er ta del i det papirløse samfunn og spare miljøet. Hun legger også til at det handler om å  møte studentenes forventninger om å følge den teknologiske utviklingen. Eksamen er fra og med 2017 digitalisert der dette er praktisk mulig. 

Samdal forteller at som en del av forebyggingen og avsløringen av juks gjennomføres det vakthold som følger aktivt med på skjermene. Logg fra eksamen brukes også til å avdekke mulig fusk i etterkant av eksamen. For å motvirke juks ønsker UiB også å utvikle god etisk kompetanse hos sine studenter, hvor de setter tydelige rammer for at eksamensjuks er brudd på etiske standarder og at det vil være en dårlig attest å ha med seg ut i arbeidslivet.

Vi gjennomfører risikoanalyser, og har kontinuerlig dialog med leverandør for å redusere muligheten for å fuske under eksamen

I følge Samdal blir eksamensløsningen levert av Inspera oppdatert fortløpende, og gjennomgår kontinuerlig vedlikehold. Hun utrykker at Universitetet er godt fornøyd med løsningen og at valget av leverandør er tatt med hensyn til pris og funksjonalitet.

Hun forteller til Katarsis at noen informatikk-studenter, ved forrige studieår, gjennomførte en analyse av sikkerheten ved Inspera og oppdaget noen sikkerhetshull, som studenter med god informatikk-kompetanse kunne bruke til å jukse. Disse problemene ble senere løst.

Digitaliseringsprosessens bakteppe 

Til tross for Samdals trygghet på UiBs valg av eksamensløsning mener artikkelforfatterne at det er lite holdbart at UiB ikke har direkte kontroll over sin egen plattform. Slik kunne utviklere tilknyttet UiB kontinuerlig ha utviklet plattformen videre til universitetets behov. Katarsis bemerker at selv om feil ble løst i 2016 kan andre og lignende feil oppstå senere, og at den raske teknologiske utviklingen umuliggjør en endelig fiks på disse problemstillingene, og avhenger da av en raskest mulig respons. 

1 – https://brage.bibsys.no/xmlui/bitstream/handle/11250/2410735/15059_FULLTEXT.pdf
2 – https://brage.bibsys.no/xmlui/bitstream/handle/11250/2460113/12292_FULLTEXT.pdf
3 – http://universitas.no/nyheter/61708/store-sikkerhetshull-i-nasjonalt-eksamensprogram
4 – https://www.studvest.no/varsler-om-enkle-juksemuligheter/
5 – https://www.digi.no/artikler/student-brukte-ti-sekunder-pa-a-lure-seg-igjennom-universitetets-sikre-systemer/351544