TILGJENGELIG FRA NETT: Avdelingsdirektør Jann Ola Berget i Domstoladministrasjonen bekrefter overfor Dagbladet at det i en periode var mulig å komme seg inn på et styringssystem i Gulating lagmannsrett via Internett. Foto:Thomas Rasmus Skaug / Dagbladet
TILGJENGELIG FRA NETT: Avdelingsdirektør Jann Ola Berget i Domstoladministrasjonen bekrefter overfor Dagbladet at det i en periode var mulig å komme seg inn på et styringssystem i Gulating lagmannsrett via Internett. Foto:Thomas Rasmus Skaug / DagbladetVis mer

Domstolene sjekker datasikkerheten etter «Null CTRL»-avsløring

- Vi har nok ikke hatt tilstrekkelig fokus på den typen eksterne løsninger.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): I forbindelse med artikkelserien «Null CTRL» har Dagbladet funnet flere hundre norske, sårbare kontrollsystemer for bygninger, utviklet for å kontrollere alt fra lys, varme og ventilasjon til låsemekanismer og brannalarmer. 

Alle disse systemene er koblet mot Internett uten brannmurbeskyttelse, og er av en versjon med et kjent sikkerhetshull som gjør dem ekstra utsatt for hackere.

Ett av systemene Dagbladet har funnet, brukes av Gulating lagmannsrett i Bergen.

Dette brukes for å styre lys og varme i lagmannsretten, opplyser avdelingsdirektør Jann Ola Berget i Domstoladministrasjonen, som har et ansvar for samtlige tinghus i Norge.

- Mulig å trenge inn - Det er byggeieren Statsbyggs løsning, og det er riktig at det i bygge- og oppstartfasen for den nye rettsbygningen har vært mulig å komme seg inn fra Internett, skriver Berget i en e-post til Dagbladet. 


Den amerikanske sikkerhetseksperten Terry McCorkle i sikkerhetsselskapet Cylance har vært sentral i å avdekke sikkerhetshullene i disse systemene, og samarbeider også med produsenten Tridium.

- Med en gang du har funnet dette sikkerhetshullet er det veldig lett å trenge inn. Å finne sikkerhetshullet er heller ikke spesielt vanskelig, sier han til Dagbladet.

Sjekker datasikkerheten At hackere tar seg inn i kontrollsystemet og får mulighet til å styre dette, er bare én risiko. En annen er ifølge McCorkle at den åpne tilgangen kan være en inngang til andre områder av selskapets nettverk, fordi systemene ofte er koblet til det lokale nettverket.

Artikkelen fortsetter under annonsen

Berget medgir at Domstoladministrasjonen trolig ikke har hatt tilstrekkelig fokus på denne typen eksterne løsninger, men poengterer samtidig at det ikke finnes noen forbindelse mellom det aktuelle systemet og domstolenes egne datanettverk.

- Vi vil også undersøke om det kan finnes lignende løsninger i andre tinghus. Statsbygg har bekreftet at den konkrete løsningen for Gulating lagmannsrett de nærmeste dagene vil bli overført til deres lukkede nett.

Anbefaler brannmur Dette er ett av tiltakene produsenten Tridium anbefaler for å sikre disse systemene.

SÅRBARHET: Vatneleiren utenfor Sandnes i Rogaland er ett av 290 steder hvor Dagbladet har funnet et konkret styringssystem for bygninger med kjente sårbarheter. Foto: Jacques Hvistendahl / Dagbladet
SÅRBARHET: Vatneleiren utenfor Sandnes i Rogaland er ett av 290 steder hvor Dagbladet har funnet et konkret styringssystem for bygninger med kjente sårbarheter. Foto: Jacques Hvistendahl / Dagbladet Vis mer

- Vi har oppfordret våre leverandører og kunder verden over om å forsikre seg om at alle de Internett-tilkoblede systemene deres har installert alle sikkerhetsoppdateringer og anbefalt at de bør legge systemene bak en brannmur eller på et virtuelt privat nettverk (VPN), i tillegg til å bruke sterk passordbeskyttelse. Vi er trygge på at produktene våre er sikre hvis disse retningslinjene blir fulgt, skriver visepresident Jenny Graves i Tridiums kommunikasjonsavdeling i en e-post til Dagbladet.

- Risikabelt Forsker Niklas Vilhelm i Nasjonal sikkerhetsmyndighet (NSM) ser med bekymring på de 290 sårbare systemene Dagbladet har funnet.

- Det kan være risikabelt å la situasjonen vedvare, sier han.

- Å la disse systemene ligge ute med sikkerhetshull betyr at hvem som helst kan styre dem. Derfor er det viktig at de sikres.

Den amerikanske sikkerhetseksperten Terry McCorkle mener det kan være et stort samfunnsproblem at disse systemene er koblet til nettet.

RISIKABELT: Forsker Niklas Vilhelm ved Nasjonal Sikkerhetsmyndighet (NSM) mener sikkerhetshullene i systemene Dagbladet har oppdaget, bør tettes. Foto: Øistein Norum Monsen / Dagbladet
RISIKABELT: Forsker Niklas Vilhelm ved Nasjonal Sikkerhetsmyndighet (NSM) mener sikkerhetshullene i systemene Dagbladet har oppdaget, bør tettes. Foto: Øistein Norum Monsen / Dagbladet Vis mer

- Systemene kontrollerer mye forskjellig. Ofte er det bare temperatur i bygninger, men de kan også kontrollere for eksempel fyrrom i fabrikker. I tillegg er det sikkert mange som vil mene at det ikke er noe problem om uvedkommende tar kontroll over airconditionen i en bygning, men hvis dette er inne i et datasenter som er avhengig av en viss temperatur, kan det få store konsekvenser. Det samme gjelder sykehus, sier han til Dagbladet.

Tips oss på nullctrl@dagbladet.no
Tips oss på nullctrl@dagbladet.no Vis mer