Et kappløp mot dem med onde hensikter

Det var den siste helga i oktober i fjor at en kriminell hackergruppe tok kontroll over katalogen, databasene og websidene til The British Library. Et virusangrep gjorde tjenestene utilgjengelige og stjal med seg store mengder data. Det tok nesten tre måneder før publikum den 15. januar i år igjen fikk tilgang til katalogen – en «read only»-versjon uten grunnleggende funksjoner som digital reservasjon av bøker.

I mellomtiden hadde cyberforbryterne dumpet nær 600 gigabytes med kataloginformasjon og brukerdata på det mørke nettet.

Kan vi oppleve noe lignende i Norge? Hva gjøres på norske bibliotek for å hindre at dataangrep rammer dem?

Bok & bibliotek har snakket om datasikkerhet med biblioteksjefer, IKT-ledere og leverandører av biblioteksystemer i Norge.

Lange passord

– Det teknologiske kappløpet mot de med onde hensikter er utfordrende. Vi gjør det vi kan, med god hjelp fra ekspertmiljøene i kommunen, for at det skal være trygt å bruke biblioteket, sier Julie Andersland, direktør for Bergen Offentlige Bibliotek.

Hun forteller at Bergen kommune, som biblioteket er en del av, legger stor vekt på personvern og informasjonssikkerhet.

Andersland understreker betydningen av kompetanse og bevissthet blant de ansatte.

– Mange krav, for eksempel at passord for ansatte er 16 tegn med krav om store og små bokstaver og tall, og tofaktorautentisering er med på å redusere risikoen.

– Vi jobber også med dataminimering og sletting av data som ikke er nødvendig for biblioteket. For eksempel slettes brukere jevnlig dersom de ikke bruker systemet i løpet av en viss tid.

– Hva frykter du mest ved et eventuelt dataangrep?

– Vi frykter at tjenester kan bli utilgjengelig og at data kan gå tapt. Vi har sikkerhetskopier og andre nødløsninger, men igjen er dette ofte i hendene på leverandørene som garanterer for at de har disse mekanismene og følger våre krav. Det verste er om personopplysninger kommer på avveie. Vi gjør det vi kan for at det ikke skal skje, ved å jobbe systematisk med å redusere risiko gjennom sikkerhets- og personverntiltak, sier Andersland.

Høy tillit til bransjen

– Slik verden har blitt i dag, så kan vi ikke være 100 prosent trygge på at det ikke vil skje angrep på våre systemer eller andres biblioteksystemer her i Norge, sier Sissel Hughes, fagleder Samlingsutvikling på Stormen bibliotek i Bodø.

Stormen bibliotek administrerer brukerdata gjennom Bibliofil fra Bibliotek-Systemer AS samt det internasjonale selskapet Bibliotheca. Biblioteket har også digitale tilbud, som appen Bookbites, Filmoteket og Filmbib.

Hun understreker at i tilfelle av et angrep er bekymringen både for at sensitiv informasjon om brukerne kan komme på avveie og bli misbrukt, og at driftssystemene kan bli satt helt ut av spill over en lengre periode. Dette ville ha alvorlige konsekvenser for bibliotekets daglige virksomhet, som utlån og innlevering av medier.

– All brukerdata som ligger på internett, uansett system, vil potensielt kunne bli utsatt for innbrudd. Det vil være naivt å tenke noe annet i dag. Når da brukerne velger å registrere seg og de legger inn sine personlige data på bibliotekets system, så gjør de det basert på den tilliten som bransjen vår har i samfunnet. Vi har hatt få saker i Norge som har rammet bibliotekenes omdømme innenfor datasikkerhet så langt, men det betyr ikke at det ikke kan skje alvorlige hendelser i framtiden, sier Hughes.

Må være forberedt

– Ingen har noen garanti for ikke å oppleve noe lignende som British Library. Vi blir alle angrepet, hele tiden, så spørsmålet er mer om du er godt nok forberedt eller om du har «hull i gjerdet», sier Wilfred Østgulen, direktør for IKT på Nasjonalbiblioteket.

Han har tidligere jobbet med IKT i politiet, Forsvaret og helsevesenet.

Østgulen forteller at de på Nasjonalbiblioteket jobber kontinuerlig med datasikkerhet, om det handler om teknisk tiltak eller opplæring av ansatte.

Å være forberedt på et eventuelt dataangrep handler blant annet om å ha klare planer for hvordan man skal møte det, slik at man raskt kan være oppe å stå igjen med tjenester og sikre at persondata ikke går tapt.

– For bibliotek handler dette også om tillit hos brukerne, som jo bibliotek er helt avhengig av, sier han.

Han mener bibliotek ikke er spesielt utsatte mål for dataangrep. Men han tror at bibliotek, på lik linje med andre virksomheter, stadig vil utsettes for IT-kriminelle som leter etter sikkerhetshull i systemer. Og klarer angriperen å komme seg innafor, så ser de etter verdier som de kan stjele.

– Ta for eksempel dataangrepet på British Library: Det forteller også noe om hva angriperen er i stand til å gjøre, sier Østgulen.

«Skrekk-scenario»

Biblioteksjef Maria-Carme Torras-Calvo på Universitetsbiblioteket i Bergen forteller at IT-sikkerhet og personvern er veldig høyt på agendaen ved universitetet. Som universitetsbibliotek er de en del av IT-maskineriet på universitetet, noe Torras-Calvo syns at gir dem en ekstra trygghet.

Alle universitetsbibliotek har store digitale samlinger der tilgangen er avhengig av at systemene er oppe.

– Tenk å oppleve noe slikt som British Library! Hvis noe lignende hadde skjedd hos oss kunne det fått alvorlige konsekvenser for forskere og studenter, sier Torras-Calvo.

Bok & bibliotek har også vært i kontakt med bibliotekdirektør Sigurd Eriksson ved NTNU. Som kollega Torras-Calvo i Bergen understreker han at de er avhengig av aktører rundt seg, som IKT-avdelinger og leverandørene av biblioteksystemer, for å sikre at bibliotekene har robuste, digitale tjenester.

Stiller krav til leverandører

Det er de ulike leverandørene som er ansvarlige for å sikre systemene og brukernes data, mener flere av biblioteksjefene som Bok & bibliotek har snakket med.

– Vi har ikke selvutviklede systemer, så mye av jobben vår er å stille krav til leverandører og samarbeidspartnere og følge dem opp, sier Andersland.

Mange norske bibliotek bruker systemet Bibliofil fra leverandøren Bibliotek-Systemer AS.

– Når det kommer til sikkerhet – og kanskje spesielt innen IT – så skal man aldri føle seg helt trygg. Om man gjør det, forstår man ikke at alle internett-tilkoblede systemer mulig kan være sårbare. Om ikke i dag, så kanskje i morgen, sier Vegard Nilsen IT-konsulent i Bibliotek-Systemer.

Han understreker at de har rutiner og planer for hvordan ulike hendelser skal håndteres dersom de inntreffer – for å raskest mulig få systemene operative igjen.

– En nedetid på mange måneder er totalt uakseptabelt for oss – og vi mener selv at dersom det verst tenkelige skulle skje, vil det maksimalt kunne være snakk om totalt en uke nedetid. Sannsynligvis bare noen dager. Vi har gode automatiske rutiner for hyppig sikkerhetskopiering av databasene til flere lokasjoner, og det er lite sannsynlig at noen av våre kunder vil miste faktiske data, sier Nilsen og fortsetter:

– Fordi man aldri kan være helt sikker på noe – ikke engang banken – så er en viktig del av dette å også ha risikoanalyser og rutinebeskrivelser for hvordan ulike hendelser skal håndteres. Vi sørger for fortløpende sikkerhetskopi av alle våre kunder sine databaser, og øver oss på hvordan vi raskest mulig skal kunne gjenopprette disse dersom noe skulle skje

– Hvordan jobber dere med kundene for å bevisstgjøre dem på dette med datasikkerhet? Og hvilke tiltak anbefaler dere? 

– Vi har holdt presentasjoner med fokus på sikkerhet for de av våre kunder som har deltatt på Bibliofils brukermøter. For programvaren vår er det krav til passordstyrke, samt differensiering av tilgangsnivåer og roller for brukerne, forteller Nilsen.

De oppfordrer til blant annet til bruk av tofaktorautentisering og bruk av kommunal autentisering via Azure/ADFS.

– Evig kappløp

Flere norske biblioteker står på trappene til å ta i bruk det danske biblioteksystemet Cicero. Oslo-bibliotekene, inkludert Deichman, er allerede koblet på løsningen.

Cicero brukes også av alle danske folke- og skolebiblioteker og flere hundre biblioteker i Sverige.

– Det er tydelig at datasikkerhet står høyt på dagsorden hos alle mulige og eksisterende kunder. Vi ser ikke et anbud uten at temaet inngår som et krav, sier Maria Stenholdt Christensen i Cicero.

Christensen understreker at hun ikke kjenner til detaljene rundt dataangrepet mot British Library og at hun uttaler seg kun om sikkerheten rundt deres eget biblioteksystem, Cicero.

– Det er jo et evig kappløp mellom organisasjoner og IT-kriminelle, og selv de beste systemene kan kompromitteres hvis først hackerne finner en vei inn.

Systematic har lang erfaring med å levere programvareløsninger til internasjonale organisasjoner, inkludert forsvarssektoren.

– Vi følger løpende med på utviklingen på området og sikrer oss blant annet ved at våre produkter holdes oppdaterte med de nyeste sikkerhetsoppdateringer og rettelser. Dette inkluderer operativsystemer, applikasjoner og annen software. Vi har regelmessige og pålitelige rutiner for sikkerhetskopiering for å beskytte data. Vi sikrer at Cicero er beskyttet av firewall, antivirusprogrammer og andre sikkerhetsmekanismer, som beskytter nettverket mot uønsket adgang, sier Christensen.

Ved et eventuelt angrep er beskyttelse av persondata høyest prioritert, understreker hun.

– Hvordan jobber dere med kundene for å bevisstgjøre dem på dette med datasikkerhet

– Det gjør vi samtidig som at vi implementerer systemet og holder kurs hos kunden. Men som utgangspunkt er det kunden selv som er dataeier og dermed ansvarlig for sikkerheten for data og deres øvrige systemer, sier Christensen.

Reddet av backup

Kunnskapssektorens tjenesteleverandør Sikt anskaffer og forvalter kontraktene på biblioteksystemer på vegne av kunnskapssektoren i Norge.

Systemene er levert av en stor internasjonal leverandør som har gode rutiner på sikkerhet og backup og gode rutiner for håndtering av uønskede hendelser, understreker Åshild Berg-Tesdal, kommunikasjonssjef i Sikt.

I tillegg til at leverandørene har gode rutiner for backup og sikkerhet i biblioteksystemene, jobber IT-avdelinger ved forskningsvirksomheter og ansatte i Sikt for å sikre sektoren mot angrep, forteller hun.

– Vi har hatt eksempler på løsepengevirusangrep i UH-sektoren i Norge, men de som ble rammet har blitt reddet av backup og det har ikke hatt store konsekvenser. Vi vet også at slike angrep gjerne rammer såkalt «skygge-IT», altså IT-utstyr og -systemer som ikke er satt opp og driftet gjennom IT-avdelingene ved virksomhetene, og sånn sett er biblioteksystemene på trygg grunn.

– Hva frykter dere hvis biblioteket skulle bli utsatt for angrep?

– Skulle biblioteksystemene bli angrepet og gå ned over lengre tid, så vil dette selvfølgelig gi store uheldige konsekvenser for arbeidshverdagen til norske studenter og forskere, siden det ville begrense deres tilgang på kunnskapsressurser som for mange er helt sentrale for å kunne studere og forske.