Trodde de måtte taste brukernavn og passord. Men egentlig var bedriftsserveren åpen for alle
BERGEN/OSLO (Dagbladet): Ansattes skattekort med personnummer og andre personlige opplysninger. Detaljerte produkttegninger, kundeinformasjon og prisoversikter.
Alle disse dokumentene lå inne på webserveren til selskapet Bergen Kuldeteknikk, godt beskyttet med brukernavn og passord – trodde de i hvert fall.
I virkeligheten lå hele serveren vidåpen på nett, noe den kan ha gjort helt siden den ble opprettet for snart tre år siden.
- Dette ligger jo helt åpent. Det er jo krise, sier daglig leder Christer Stålheim etter at Dagbladet har vist ham lenken med alt innholdet.
Brukte eksternt firma
Bergen Kuldeteknikk leverer kuldeprodukter og kuldetjenester til bedrifter i og rundt Bergen og i Nordsjøen.
Vi fant serveren i forbindelse med artikkelserien «Null CTRL», som viser hvordan det er mulig å se og styre naboens web-kamera og ta kontroll over industrielle styringssystemer med noen tastetrykk – blant annet.
Stålheim forteller at de brukte det eksterne selskapet Webhuset AS til å sette opp serveren.
I denne forbindelse fikk de tilsendt brukernavn og passord, som de måtte bruke for å koble seg til serveren når de var utenfor kontoret.
- Det har vært en liten vekker dette her. En ting er jo en sånn liten skute som oss, som er helt ubetydelig i den store sammenheng. Noe annet er hvis dette skulle skje med andre, mye større selskaper. Det er skremmende, sier Stålheim.
- Ikke bra
Noen av dokumentene deres, deriblant de ferskeste skattekortene, ligger på en egen server.
- Når det gjelder tegninger og prisinformasjon, er det jo ikke bra at det ligger åpent, men det er ikke helt krise i seg selv. Vi ønsker det selvsagt ikke, men jeg tror ikke folk i vår bransje er så datakyndige at noen ville kommet seg inn og utnyttet disse opplysningene, sier han.
Etter at Dagbladet hadde vist Stålheim lenken med innholdet på serveren, kontaktet han Webhuset AS for å høre hva som hadde gått galt.
- De sa at det var vi som måtte opprettholde sikkerheten, men vi har jo bestilt dette produktet fra dem. Vi er jo ikke spesielt flinke på data, vi driver med kjølesystemer, sier Stålheim.
- Ikke vårt ansvar
Daglig leder ved Webhuset AS, Erik Olsen, holder fast ved at Bergen Kuldeteknikk har ansvar for sikkerheten.
- Maskinen har ikke blitt konfigurert slik som dette av oss. Kunden har seinere slått på web-serveren på maskinen sin og dermed gjort alle filene på filserveren sin tilgjengelige over Internett, sier han til Dagbladet.
- Hadde vi hatt et driftsansvar for maskinen ville vi oppdaget og forhindret at dette skjedde. Vi har imidlertid ikke fått et slikt driftsansvar og kunden har derfor gjort alle tilpasninger selv siden den gangen maskinen først ble levert av oss.
På spørsmål om hvordan de kan være sikre på at ikke serveren ble opprettet med denne feilen, svarer Olsen at denne sikkerhetsmekanismen ble testet og funnet i orden da serveren ble konfigurert i 2010.
- Veldig synd
- Hva tenker dere om at kunden ikke har forstått at det er de selv som er ansvarlige for dette?
- Det er veldig synd, men samtidig overraskende. Det står helt klart i vår avtale med kunden at «produktet inkluderer ingen drift eller sikkerhetsoppdateringer med mindre det er inngått en egen avtale om dette. Kunden er selv ansvarlig for å holde operativsystem og annen programvare forsvarlig oppdatert til enhver tid», sier Olsen.
- Lett å gå i fella
Ifølge Seniorrådgiver Vidar Sandland i Norsk Senter for Informasjonssikkerhet (Norsis), er det lett å tro at IT-leverandører er ansvarlige for sikkerheten, uavhengig av hva som er avtalen mellom partene.
– Det vi ofte ser, er at selskaper ofte ikke har den bestillerkompetanse de bør ha. De vet ikke alltid hva de trenger av sikkerhet og hvordan dette skal fungere, sier han, og legger til at det i slike situasjoner er viktig å konsultere leverandøren.
- Du må være veldig klar på at du er avhengig av en sikker løsning og at leverandøren dokumenterer hva de har gjort for å sikre produktet ditt.
Christer Stålheim takker for at de ble gjort oppmerksomme på sikkerhetshullet, så de fikk gjort noe med det. Han opplyser at Bergen Kuldeteknikk nå har sagt opp avtalen med Webhuset AS.
- Det er alltid synd å ikke komme til enighet med en kunde – uansett hvem som mener han har rett, sier Webhusets daglige leder Erik Olsen.
No comments yet.
Leave a comment
| M | T | W | T | F | S | S |
|---|---|---|---|---|---|---|
| « Oct | ||||||
| 1 | 2 | 3 | ||||
| 4 | 5 | 6 | 7 | 8 | 9 | 10 |
| 11 | 12 | 13 | 14 | 15 | 16 | 17 |
| 18 | 19 | 20 | 21 | 22 | 23 | 24 |
| 25 | 26 | 27 | 28 | 29 | 30 | |
Recent Posts
- -Dårlig skjult forsøk på å selge inn oljevirksomhet
- Thoresen med to da Storhamar slo Lørenskog
- Ronaldo ble matchvinner for Real
- Tverrligger, stang, og så ut på Alfheim: – 1-1! Nei? Hva skjer?
- Sekundet etter spøken innså han hva han hadde sagt og gjemte seg under jakka: – Virkelig smakløst
- Skal ha truet med å ruinere Bond-stjerna da hun sa nei til sex
- Vil chippe idrettsutøvere for å stoppe doping
- DIREKTE: Liverpool med gigantiske sjanser: – En helt vanvittig redning
- Politiet håper å kunne avhøre de overlevende etter ulykken i Seljord
- Skader gir Conte hodebry
Recent Comments
Archives
- October 2017
- August 2017
- July 2017
- June 2017
- May 2017
- April 2017
- March 2017
- February 2017
- January 2017
- December 2016
- November 2016
- October 2016
- September 2016
- December 2015
- September 2015
- August 2015
- July 2015
- June 2015
- May 2015
- April 2015
- March 2015
- February 2015
- January 2015
- December 2014
- November 2014
- October 2014
- September 2014
- August 2014
- July 2014
- June 2014
- May 2014
- April 2014
- March 2014
- February 2014
- January 2014
- December 2013
- November 2013
- October 2013
- September 2013
- August 2013