Bibliotekutvikling råka av datasnoking
Programvare med vonde intensjonar lurte seg inn på bibliotekutvikling.no i januar. I meir enn ti dagar hadde det som truleg var ein hackar-bot, tilgang til administrasjonsgrensesnittet. Brukardata kan vera på avvegar.
Nasjonalbiblioteket avdekte onsdag 1. februar urettmessig tilgang til administrasjonsgrensesnittet for bibliotekutvikling.no. Ifølge personvernombod Pål Tvedt ved Nasjonalbiblioteket (NB) skjedde avviket 20. januar. Innbrotet blei oppdaga 1. februar, då ein tilsett såg at det var lagt ut spam på bibliotekutvikling.no.
– Det er ting som tyder på at det var dette som var intensjonen, seier direktør for IKT ved NB Wilfred Østgulen.
Han har tidlegare arbeidd med IKT i både politiet, Forsvaret og helsevesenet og er tilbakehalden med å seia for mykje om korleis innbrotet gjekk føre seg.
– Jo meir verda veit om korleis vi riggar oss og kva vi gjer, desto enklare er det å skada oss, seier han.
Men NB har meldt frå til Datatilsynet og skrive på eiga nettside at vegen inn gjekk via ein administratorkonto til bibliotekutvikling.no.
Brukarinformasjon
Østgulen minner om at det ofte ikkje er personar som sit og styrer slike åtak. NB seier at innbrotet på bibliotekutvikling.no har preg av å vera utført av ein bot, altså eit dataprogram som utfører automatiske repeterande oppgåver. Vondsinna bot-program køyrer dag og natt rundt på Internett og besøker millionar av tilfeldige IP-adresser på jakt etter hol dei kan smetta gjennom.
– Vi har loggar over alle rørsler inne i systema, fortel IKT-direktøren.
Etter fleire dagar la altså boten ut spam. Nasjonalbiblioteket kan ikkje utelukka at brukarinformasjon er henta ut, men det gjeld i så fall berre fornamn, etternamn og e-postadressene til 20 namngjevne brukarar.
– Kvifor berre namn og e-postadresser? Og kvifor berre 20? Kunne dei ha fått med seg meir?
– Slik vi klarer å sjå det, var dette alt som skjedde. Vi ser berre spora i loggane. Der er det ingenting som tyder på at dei har lasta ned informasjon. Men det kan ikkje utelukkast, og difor har vi meldt frå til Datatilsynet, seier Østgulen.
Berre tjue personar
Han forklarer at loggane viser at den første sida av brukarkatalogen blei henta fram. Den viser dei 20 første brukarane. Så blei denne sida vist i 20 sekundar.
– Då gjekk dei vidare, vekk frå brukarkatalogen. Om dei har gjort noko, så er det å sanka namn og e-postadresser til desse brukarane. Dei kunne heller ikkje fått med seg noko meir, for dei hadde ikkje tilgang til andre stadar, seier Wilfred Østgulen.
Loggen viser at dei ikkje har lasta ned informasjon om andre brukarar.
– Datainnbrotet føregjekk i ein 10-dagarsperiode før de oppdaga det. Er de nøgde med dette?
– Vi skulle sjølvsagt ønskt at dei ikkje kom seg inn. Slik dei kom inn, måtte dei nesten gjera noko sånt for å bli oppdaga. Dei har ikkje hacka seg inn bakvegar.
– Det må vel bety at ein av administratorane brukte eit passord som var for svakt.
– Det ønskjer eg ikkje å kommentera.
Det er som å legga eit baconstykke i Femundsmarka. Myggen kjem strøymande til. Alt som ikkje blir beskytta og oppdatert, blir før eller seinare hacka.Wilfred Østgulen
– Er det trygt å bruka bibliotekutvikling.no i dag?
– Vi reagerte kjapt for å stoppa hendinga, sikra og få opp igjen tenesta. Den er i stabil drift no, og det er trygt å bruka tenesta. I etterkant har vi auka tryggleiken saman med leverandøren vår. Vi tek dette på stort alvor, understrekar Østgulen. – Vi forvaltar kulturarven.
– Veit de noko om kven som braut seg inn?
– Vi ser at det er IP-adresser frå fleire land utanfor Noreg. Men dei spoofar IP-adressene sine, så ei IP-adresse treng ikkje å bety noko.
Bacon i Femundsmarka
– Tryggleikssituasjonen i verda gjer at det er stor merksemd rundt industrispionasje og datainnbrot for tida, til dømes frå Russland og Kina. Ser de ein auke i pågangen på serverane til NB frå hackarar og botar?
– Vi ser ingenting som tyder på at det er meir no. Alt som er eksponert på nettet, blir kontinuerleg forsøkt angripe. Det er som å legga eit baconstykke i Femundsmarka. Myggen kjem strøymande til. Det er ein kontinuerleg krig der ute. Alt som ikkje blir beskytta og oppdatert, blir før eller seinare hacka.
– Er det krav om tofaktorautentisering for innlogging til bibliotekutvikling.no i dag?
– Vi har det no for administratorar. Men ikkje for brukarar, sidan vi ikkje har tenkt at tenestene krev det.
Det handlar om å ha eit hensiktsmessig tryggingsnivå, understrekar Østgulen og minner igjen om at trugsmålet er konstant, mot alt som er eksponert mot Internett.
– Dette er ein del av kvardagen, også i ABM-sektoren, og noko ein må forhalda seg til. Sånn sett kan dette vera ein vekkar til fleire. Det er viktig å vera på alerten. •
