– Kan være dramatisk, sier sikkerhetsekspert Torgeir Waterhouse i IKT Norge.
Tidligere denne måneden meldte Aftenposten at 1,4 milliarder passord er lekket i en søkbar database. Blant annet statsminister Erna Solberg, Telenor-sjef Sigve Brekke og DNB-sjef Rune Bjerke er rammet.
Nå viser det seg at ansatte i nærmest alle nasjonale myndigheter og større organisasjoner er berørt. Her er noen eksempler på hva databasen inneholder:
- 552 passord tilknyttet forsvarets e-postadresser.
- 500 passord tilknyttet Utenriksdepartementets e-postadresser.
- 364 passord tilknyttet i politiets e-postadresser.
I tillegg finner man passordet til ansatte i mange nasjonale mediebedrifter, sykehus, Stortinget, Sametinget, kommuner og tilsynsorganer.
Se hele oversikten nederst i denne artikkelen. Og her kan du sjekke om du er rammet.
Etter at lekkasjen ble kjent har offentlige personer blitt utsatt for datainnbrudd:
- Stortingsrepresentant Anette Trettebergstuen fikk hennes Twitter-konto hacket.
- Ap-politiker i Kristiansand, Mette Gundersen, opplevde misbruk av hennes e-postadresse i bystyret.
– Dramatisk
De 1,4 milliarder passordene som nå er publisert offentlig stammer trolig fra omtrent 250 ulike passordlekkasjer i perioden 2004 til desember 2017. Det er ukjent hvilke tjenester passordene stammer fra.
Sikkerhetsekspert Torgeir Waterhouse i IKT Norge sier til NRK at det kan være dramatisk at passord knyttet til ansatte i myndighetene er på avveie.
– Et eller annet sted inn i disse lekkasjene kan det ligge muligheter for å logge inn et sted for å fremstå at man er en sentral person, eller finne informasjon om en sentral person.
– Kan brukes som pressmiddel
Waterhouse poengterer at informasjonen kan brukes som et pressmiddel mot ansatte i det offentlige.
– Noen kan logge seg på forskjellige tjenester du bruker, i verste fall jobbmailen. Da kan de fremstå som deg, eller bruke infoen til å presse deg.
Sikkerhetseksperten understreker at passordlekkasjer kommer til å skje igjen og igjen.
– Vi klarer ikke å gardere oss mot at dette skjer. Derfor må vi sørge for å ha flere nivå med sikkerhet, og øke kompetansen til de ansatte.
UD: Kommenterer ikke sikkerhetstiltak
Utenriksdepartementet (UD) understreker at det ikke er en lekkasje fra deres datasystemer.
– Lekkasjen har vært kjent i sikkerhetsmiljøer i flere år og representerer ingen trussel mot våre IKT-systemer, mener kommunikasjonssjef i UD, Frode Overland Andersen.
– Hvilke tiltak vil dere gjøre eller har gjort med denne lekkasjen?
– UD kommenterer ikke på våre sikkerhetsrutiner eller sikringstiltak, svarer Andersen.
Forsvaret: Følger nøye med
Forsvaret sier i en e-post til NRK at de ble kjent med dette i 2015, og at de følger nøye med på slike saker.
– Vi har rutiner for å kontakte ansatte som har fått passord lekket. Dette handler i all hovedsak om at det oppgis en e-postadresse ved registrering på ulike tjenester som for eksempel hotellbestillinger. Slike lekkasjer er derfor først og fremst et problem for den enkelte ansatte, sier talsperson for Forsvaret, Roar Wold.
Alle ansatte i Forsvaret må med jevne mellomrom bytte passord og det stilles krav til utformingen av disse passordene, forklarer Wold.
– Det er vanskelig helt å unngå slike lekkasjer som det her vises til, og forebyggende sikkerhet er derfor et av de viktigste vi kan gjøre.
– Skjer daglig
Fagdirektør i Nasjonal sikkerhetsmyndighet (NSM), Roar Thon, er ikke overrasket.
– Vi lever med en daglig risiko for at passord kommer på avveie. Både i store volum eller at den enkelte bruker mister sitt passord til uvedkommende.
Thon understreker at det ikke er krisestemning hos dem.
– Dessverre er det slik den digitale verden fungerer. Derfor er det veldig viktig å slå på totrinns innlogging, og ha unike passord på nettet.
Sjekk om du er rammet
NRK har pratet med en rekke dataeksperter. Samtlige sier at det er mye du kan gjøre for å sikre deg. Les mer om dette her:
NRK har tatt noen stikkprøver av passordene. De fleste passordene som NRK testet var ekte, men listen inneholder også noen falske passord. Lekkasjen inneholder brukernavn og passord både nåværende og tidligere ansatte.
Mange flere mindre organisasjoner er også rammet, uten at de kommer frem på denne listen.