Universitetet i Oslo (UiO) har avslørt at datasystemer som brukes av over 300 kommuner og statlige etater har et betydelig sikkerhetshull.
Datasnokere får tak i passord
Datasystemet ePhorte brukes av over 300 kommuner og statlige etater, og viser seg nå å ha et sikkerhetshull som kan føre til at datasnoker får tak i brukernavn og passord til alle som bruker systemet.
Mange offentlige etater går over til å lagre dokumentene sine digitalt i elektroniske arkiv, og ePhorte er ett av de mest brukte arkivsystemene.
Dermed sitter over 300 offentlige etater på et usikkert system uten å vite det.
Oppdagelsen
- Da vi skulle innføre dette systemet på UiO gikk vi gjennom sikkerheten. Vi oppdaget da at programmet måtte ha tilgang til e-postsystemene våre og derfor trengte brukernavn og passord, noe det lagret i en liste på systemet. Denne lista inneholder da informasjon for alle ansatte og er en klar sikkerhetsrisiko, sier IT-direktør ved Universitetet i Oslo, Lars Oftedal.
Det er ikke enkelt å bryte seg inn på systemene, men Oftedal frykter likevel at datakyndige personer på grunn av feilen kan få tak i en fullstendig liste over ansatte med brukernavn og passord. Noe som kan få konsekvenser.
Kan lese personlig info
- Ved å få tak i brukernavn og passord til alle de ansatte vil en datasnok få tilgang til alle dokumentene i arkivet. Da kan personen lese personlig informasjon om andre, sier IT-direktøren.
- Gjelder dette problemet også alle andre som bruker ePhorte?
- Så vidt vi vet gjør det det, sier universitetets IT-sjef.
En datasnok som får tak i passordlista kan altså lese, endre og slette alt som ligger i arkivet til etaten. Dermed er det fritt fram for å ordne seg barnehageplass eller forbedre karakterer.
Utbredt system
For å modernisere og effektivisere går veldig mange offentlige etater over til elektroniske arkiver og saksbehandlingssystemer. Dokumenter som lages av det offentlige, lagres direkte i systemet, og brev som kommer inn skannes inn for så å registreres. Alt sammen holder arkivprogrammet styr på.
På grunn av strenge arkivregler i Norge finnes det få leverandører, og veldig mange bruker det samme systemet.
- I dag er det vel bare fire forskjellige systemer som oppfyller kravene. ePhorte fra ErgoGroup er nok det systemet som er størst i markedet, og de har hatt god suksess med produktet, sier Arne Laukholm som har ansvaret for slike systemer ved Universitetet i Oslo i stillingen som direktør for informasjonssystemer.
Enkle undersøkelser NRK har gjort viser at store etater som Stortinget, Mattilsynet, Konkurransetilsynet, Riksarkivet, Helse Vest og alle fylkesmennene bruker programvaren ePhorte fra ErgoGroup.
Teoretisk
Firmaet som har laget programmet sier de hører på universitetets varsel, men at de i utgangspunktet var fornøyd med hvordan programmet fungerte.
- Vi føler oss komfortable med det produktet vi har levert. Det er en teoretisk mulighet for at noen skal utnytte hullet, men i praksis ser vi det ikke som en stor mulighet. Det er klart at man aldri kan vite helt hva som skjer, og hvis man ønsker å være helt sikker, slik Universitetet i Oslo ønsker, må det rettes. Derfor har vi selvfølgelig hørt på ønskene deres, sier Håvard Larsen i selskapet ErgoGroup som leverer programmet.
Tar det alvorlig
Han er usikker på hvor mange av kundene deres som er utsatt for sikkerhetsrisikoen, men påpeker at de tar problemstillingen alvorlig.
- Vi er nå i en dialog med universitetet og vil sammen med dem prøve å finne en løsning. Deretter vil vi kartlegge hvor mange problemet gjelder og tilby de aktuelle kundene den samme behandlingen som univeristetet.
