Ba om bombetips på sårbar nettside
Kripos' tipsportal, flere av Forsvarets interne nettløsninger og Nasjonalt ID-senter er blant nettstedene der NRK har avdekket alvorlige svakheter i sikkerheten.
NRK har gått igjennom nettsider eid av det offentlige i Norge for å se på bruk av sikker tilkobling, HTTPS. Den kan kjennes igjen ved at det vises en hengelås foran adressen i nettleseren.
Av disse nettstedene med HTTPS-tilkobling viser det seg at mange har betydelige mangler i oppsettet. Dermed kan det faktisk være slik at den grønne hengelåsen i de tilfellene ikke er så god beskyttelse som alle tror.
Hele 24 prosent av nettstedene med HTTPS i det offentlige fikk stryk på testen NRK gjorde. Noe som tilsvarer 102 domener.
Nettjenesten NRK har brukt for testingen, SSL Labs, gir hvert nettsted en karakter som varierer fra best resultat (A) til stryk (F). Direktoratet for forvaltning og IKT (Difi) anbefaler at offentlige nettsteder får et resultat på B- eller bedre i den samme testen.
Stryk og karakteren F på testen innebærer at maskinene som driver nettstedet har feil eller utdatert oppsett som gjør at det finnes kjente alvorlige sikkerhetssårbarheter.
Sikkerhetsrådgiver Per Thorsheim kjenner til svakhetene ved noen nettsteder, og ville derfor personlig ikke ha sendt sensitiv informasjon til sider som er utsatt.
Foto: Øyvind Bye Skille / NRK– Som datatekniker skjærer det meg litt i hjertet at oppsettet er dårlig, sier sikkerhetsrådgiver Per Thorsheim til NRK.
Han understreker at det er veldig bra at virksomhetene har satt opp HTTPS og kryptering, og at det er mye bedre enn å ikke ha det i det hele tatt. Samtidig mener han at etatene som får stryk på testen må fortsette arbeidet.
– De som har HTTPS med dårlig oppsett må fortsette å jobbe for å forbedre seg, og de burde komme opp på en karakter A, sier Thorsheim.
Han får støtte av sikkerhetsekspert Runa Sandvik.
– De har ikke lagt seg på det nivået de burde være på, sier hun.
Politiet med sårbar nettside i flere måneder
Et av nettstedene NRK har oppdaget med mangler ved oppsettet, og dermed strykkarakteren F, var en tipsportal satt opp av Kripos.
På tipssiden ber Kripos om tips fra publikum om blant annet bombekjemikalier, radikalisering og voldelig ekstremisme på internett, menneskehandel og seksuell utnytting av barn.
Informasjon som må kunne kalles ganske sensitiv.
Sandvik mener derfor at feil i oppsettet kan være problematisk.
– Så lenge de har hengelåsen er det bra, men ser du litt nærmere på det ser du at Kripos ikke har fulgt anbefalte standarder. De sender da et signal om at de kanskje ikke tar dette så seriøst som de burde, sier sikkerhetseksperten.
- Les også:
Runa Sandvik var sammen med Per Thorsheim allerede i fjor høst i kontakt med Kripos om andre feil med tipssiden:
Da NRK undersøkte siden i mars var det fortsatt mye som ikke var helt på stell.
– Jeg synes det er trist at de ikke gjør noe med det. Av alle virksomheter i Norge, er Kripos et organ som burde klare å legge seg på et godt nivå, sier Sandvik.
Runa Sandvik sa selv fra om tipsportalen til Kripos, og synes det er synd at den ikke har blitt pusset opp med mer moderne løsninger.
Foto: Terje Pedersen / NTB scanpixPer Thorsheim forteller at han personlig ikke ville brukt en slik tipsside med den bakgrunnen han har med kunnskap om datasikkerhet.
– Jeg ville nok funnet andre måter å si fra på, sier Thorsheim.
Kripos svarer til NRK at de takker for å bli gjort oppmerksom på svakheter ved tipsløsningen.
Presseansvarlig Ida Dahl Nilssen i Kripos forteller at datateknikere fikk rettet mange av problemene kort tid etter at NRK tok kontakt.
Foto: Kripos– Sårbarheten som i deres test ga vurdering med karakteren F ble umiddelbart utbedret, sier presseansvarlig Ida Dahl Nilssen i Kripos.
Etter å ha blitt varslet har Kripos i samarbeid med sine leverandører gjort endringer på systemene. I skrivende stund har derfor karakteren bedret seg til C.
Kripos opplyser samtidig at de mener sårbarheten ikke har hindret kontakt med publikum som er viktig for å oppklare kriminalitet.
– Det NRK påpekte har ikke hatt noen praktisk konsekvens for tipsmottaket vårt eller de som tipser oss. Vi anser fortsatt tipsmottaket som den tryggeste måten å komme med tips til oss på, sier Nilssen.
Likevel vedgår Kripos at sikkerhetsfeil burde rettes raskt, og at det derfor ikke burde gå måneder før de rettes.
– Vi er enige med Runa Sandvik i at sårbarheter må tas tak i så fort man er gjort kjent med dem, og at standarder bør følges, sier den presseansvarlige.
Nilssen understreker likevel at dette er et kontinuerlig arbeid.
– Historien har vist oss at nye sårbarheter på internett dukker opp med jevne mellomrom. Det er derfor viktig for oss å rette dem så fort vi blir kjent med dem. Det må ikke være tvil om at vi tar dette på alvor, sier Ida Dahl Nilssen.
Innlogging til info om ID-juks
En annen aktør, som er tett knyttet til politiet dukket opp i testen med et nettsted som både var sårbart og hadde innlogging direkte til ulike databaser.
Ekspertorganet Nasjonalt ID-senter bistår både politiet, UDI og andre på utlendingsfeltet i arbeidet mot falske identitetspapirer og avklaring av identitet. På nettsidene sine har de ulik informasjon både til publikum, men også direkte til fagfolk bak en innloggingsside om ulike former for ID-juks.
Sidene til Nasjonalt ID-senter fikk karakteren F og stryk i testen NRK gjennomførte.
– På bakgrunn av NRKs henvendelse tok vi kontakt med vår driftsleverandør og forela testresultatene for dem. De ble klar over at vi ikke hadde den siste versjonen av sikkerhetsprotokollene, og oppgraderte. Dette gjør at vi nå scorer på topp på den omtalte testen, sier kommunikasjonssjef Wenche Bjørngaard i Nasjonalt ID-senter til NRK.
Bjørngaard forteller at nettsidene ikke gir tilgang til noen form for personregistre eller annen sensitiv personinformasjon, men at de har valgt å ha innlogging fordi sidene blant annet inneholder beskrivelser av hvordan dokumenter forfalskes.
Kommunikasjonssjef Wenche Bjørngaard i Nasjonalt ID-senter er fornøyd med å ha gått fra stryk til karakteren A etter at NRK sa fra.
Foto: Øyvind Bye Skille / NRK– I gale hender kan dette utnyttes av dem som ønsker å produsere eller bruke falske dokumenter. Både Nasjonalt ID-senter og de fleste av våre samarbeidspartnere stiller derfor tilgangsstyring som et krav. Vi har altså valgt å kryptere vårt nettsted, og erkjenner at når vi først har gjort det valget, så skal også sikkerheten være på et best mulig nivå, sier kommunikasjonssjefen.
– Hvorfor har ikke dette vært fikset tidligere?
– Det er uheldig at dette ikke har vært oppgradert tidligere, og årsaken til det ser vi nå på i en dialog med leverandøren vår. I løpet av kort tid vil vi også lansere en ny versjon av vår fagportal som er bygget på moderne og sikker teknologi. Den nye versjonen har vi jobbet en god stund med å utvikle, og den vil bidra til å øke sikkerheten for brukerne av våre systemer ytterligere, sier Bjørngaard.
Forsvaret: – Ble tatt med buksene nede
Også andre store offentlige virksomheter som mange ville tro hadde full kontroll på datasikkerheten har dukket opp i NRKs gjennomgang med alvorlige kjente svakheter.
I gjennomgangen fant NRK blant annet to nettsteder eid og drevet av Forsvaret.
Sidene hadde funksjoner for å kunne koble seg til datanettverk og lese e-post fra utsiden av de interne systemene i Forsvaret.
Begge nettstedene var satt opp på en slik måte at de var utsatt for opptil flere kjente sikkerhetssvakheter. Svakheter som i verste fall gjør at personer med ondsinnede hensikter kan fange opp informasjon.
Forsvaret har omfattende IT-systemer. Her fra en øvelse i Cyberforsvaret der de trente på å håndtere dataangrep.
Foto: Daniel Nordby / ForsvaretSikkerhetsrådgiver Per Thorsheim kjenner IT-miljøene i Forsvaret som gode og kompetente, men han frykter feil på enkeltsystemer i verste fall kan svekke det til nå gode renommeet.
– Det er positivt at krypteringen er der. Samtidig er det veldig trist at store, seriøse, viktige etater har sider med et veldig dårlig sikkerhetsmessig oppsett. Det går utover ryktet deres, sier Thorheim.
NRK varslet Forsvaret om funnene i begynnelsen av mars, og siden da har nettstedene fått tettet de fleste svakhetene.
– Det skal ikke være slike svakheter som dette på våre systemer, og vi ble tatt litt med buksene nede da vi oppdaget dette i en gjennomgang satt i gang i begynnelsen av mars, sier kommunikasjonssjef Knut Grandhagen i Cyberforsvaret.
Han forteller at Cyberforsvaret selv hadde satt i gang en større gjennomgang i etterkant av at en helt ny sårbarhet ved krypterte nettsider ble kjent den 1. mars (DROWN-sårbarheten). Kort tid etter at NRK tok kontakt ble også løsningen knyttet til fjerninnlogging for e-post tatt helt vekk fra nettet i en periode på noen døgn.
Grandhagen understreker at systemene NRK oppdaget ikke behandler hemmelig forsvarsinformasjon.
– Forsvaret har flere lag med datanettverk, og det er egne nettverk for informasjon som er sensitiv og gradert. De nevnte tjenestene var for behandling av ugradert informasjon, og skal derfor ikke være brukt til gradert informasjon i det hele tatt, sier kommunikasjonssjef Knut Grandhagen i Cyberforsvaret til NRK.
– Hvorfor var ikke dette i orden?
– Vi har et veldig komplekst system med rundt 20 000 brukere som tilgang til flere ulike graderingsnivåer. Hovedsystemene med høyere sikkerhetsnivå har vi god kontroll på, men det kan være at noen av de ugraderte systemene som er mer i randen av hovedstrukturen har hatt for dårlig oppfølging og at det derfor har vært glipper rundt sikkerhetsoppdateringer, svarer Grandhagen.
NRK jobber med innføring av sikker, kryptert tilkobling over HTTPS for våre nettjenester. I dag er det HTTPS på tv.nrk.no , radio.nrk.no , beta.yr.no, nrkbeta.no og nrk.no/03030. Det pågår et aktivt arbeid for å innføre teknologien også for resten av nettstedet.
