Dette systemet styrer produksjonsroboten til et Statoil-selskap

Ble varslet om minimal beskyttelse allerede i juli, men ingenting ble gjort.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Dagbladet har funnet over 2500 norske styringssystemer koblet til Internett, med liten eller ingen beskyttelse. Disse systemene brukes blant annet i forsvar, helse, oljebransjen og kollektivtransport, men også i private boliger.

Vi kom blant annet inn på styringspanelet for varmepumpa til et kvartal i Drammen uten å taste brukernavn eller passord.

Andre slike systemer er ofte bare beskyttet med det brukernavnet og passordet som er utlevert fra leverandøren.

- Kjent problem Disse passordene er enkle å spore opp på nettet.

- Bruken av standardpassord er et veldig kjent problem, og det er et stort problem og det har vært det lenge, sier forsker Niklas Vilhelm ved Nasjonal sikkerhetsmyndighet (NSM).

- Folk er forventet å skifte brukernavn og passord for å gi disse enhetene bedre sikkerhet, og det glemmes ofte at det kan være et alvorlig problem om dette ikke gjøres, sier han.

Produksjonsrobot Dagbladet har ikke testet noen passord i vår gransking av norsk datasikkerhet, men i forbindelse med artikkelserien har vi fått tilsendt skjermbilder av et styringspanel som tilhører det norske selskapet Resman.

Resman er eid av blant andre Statoil Venture, og produserer blant annet analyseceller for oljebrønner. Det aktuelle styringssystemet kontrollerer en produksjonsrobot.

PRODUKSJONSROBOT: Dette styringssystemet tilhører selskapet Resman. I juli ble de varslet om at det lå koblet til nett, kun beskyttet med standardpassord. To måneder seinere var ingenting endret.
PRODUKSJONSROBOT: Dette styringssystemet tilhører selskapet Resman. I juli ble de varslet om at det lå koblet til nett, kun beskyttet med standardpassord. To måneder seinere var ingenting endret.
PRODUKSJONSROBOT: Dette styringssystemet tilhører selskapet Resman. I juli ble de varslet om at det lå koblet til nett, kun beskyttet med standardpassord. To måneder seinere var ingenting endret.
PRODUKSJONSROBOT: Dette styringssystemet tilhører selskapet Resman. I juli ble de varslet om at det lå koblet til nett, kun beskyttet med standardpassord. To måneder seinere var ingenting endret.
PRODUKSJONSROBOT: Dette styringssystemet tilhører selskapet Resman. I juli ble de varslet om at det lå koblet til nett, kun beskyttet med standardpassord. To måneder seinere var ingenting endret.

Etter det Dagbladet får opplyst, har dette styringssystemet kun vært beskyttet med standard brukernavn og passord.

Artikkelen fortsetter under annonsen

Ble varslet Dagbladet har også fått tilgang til en e-post hvor det framgår at selskapet ble varslet om dette problemet allerede i juli.

«Vil gjerne gjøre dere oppmerksom på at webinterfacet til operatørpanelet på deres robotanlegg ligger fritt tilgjengelig rett ut på nettet, med standard passord ... Dvs, det kan i teorien betjenes av hvem som helst», står det blant annet i e-posten som ble sendt til selskapet.

Likevel ble ingenting gjort, ifølge Dagbladets kilde.

«Ingen kommentar» Dagbladet sendte selskapet e-posten på nytt for noen dager siden, med skjermbilder og lenke til systemet. Etter gjentatte forespørsler, har vi imidlertid ikke fått svar på ytterligere spørsmål.

Produksjonsleder Roger Hegglund i Resman skriver følgende i en tekstmelding:

«Hei. Har fått e-mailen og takker for opplysningen. Har ingen ytterligere kommentarer.»

Dagbladet har sett systemets innloggingsside, og etter vår henvendelse er den nå fjernet fra nettet.


Informasjonsdirektør Jannik Lindbæk jr i Statoil opplyser i en e-post til Dagbladet at deres teknikere har analysert IP-adressen, og ikke kjenner til driften av dette systemet.

Tips oss på nullctrl@dagbladet.no
Tips oss på nullctrl@dagbladet.no Vis mer