DÅRLIG BESKYTTET: Dagbladet har fått tilsendt dette skjermbildet, som viser en del av det irske kloakksystemet som lå tilgjengelig på Internett, kun beskyttet med standard brukernavn og passord. Foto: Skjermdump
DÅRLIG BESKYTTET: Dagbladet har fått tilsendt dette skjermbildet, som viser en del av det irske kloakksystemet som lå tilgjengelig på Internett, kun beskyttet med standard brukernavn og passord. Foto: SkjermdumpVis mer

Her er kloakksystemet til et helt irsk fylke

Lå tilgjengelig på nettet.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Kontrollsystemet tilhørende kloakkanlegget i det irske fylket Meath, like nord for Dublin, lå tilgjengelig på Internett - kun beskyttet med standard brukernavn og passord.

Dagbladet har i forbindelse med artikkelserien «Null CTRL» fått tilsendt skjermbilder som viser ulike deler av det irske kontrollsystemet.

Vi viste disse bildene til fylkesadministrasjonen i Meath, som eier systemet. Etter å ha undersøkt problemet, uttaler pressekontakt Olive Falsey følgende:

- Takk for at dere tar kontakt. Meath County Council diskuterer nå forbedringer i vårt Scada-system med vår eksterne leverandør. Vi har gått gjennom brukerinnloggingene med vår leverandør, og har gjort noen endringer, skriver Falsey i en e-post.

Overvåking - Vi vil også si at dette systemet brukes til overvåking, og at det dermed ikke er mulig å styre noe eksternt, skriver hun videre.

STORT SYSTEM: Dette er ett av de andre skjermbildene Dagbladet har mottatt, som viser det irske kloakksystemet. Foto: Skjermdump
STORT SYSTEM: Dette er ett av de andre skjermbildene Dagbladet har mottatt, som viser det irske kloakksystemet. Foto: Skjermdump Vis mer

Dagbladet har også vist skjermbildene til sikkerhetsekspert Eireann Leverett i det internasjonale sikkerhetsselskapet Ioactive. Han mener det at panelet bare benyttes til overvåking ikke nødvendigvis betyr at det er trygt.

- Dessverre betyr ikke dette at det er trygt i det hele tatt, fordi det noen ganger er mulig å få dypere tilgang i slike systemer, sier han.

Konfrontert med dette, skriver Olive Falsey i Meath County følgende:

- Som jeg skriver nedenfor, jobber Meath County Council sammen med vår leverandør for å forsikre oss om at systemet fungerer på en måte som beskytter alle data.

- Kjent problem Bruk av standardpassord er problematisk fordi det er lett å spore dem opp på nettet, i tillegg til at de kan være svært enkle å gjette seg til.

- Bruken av standardpassord er et veldig kjent problem, og det er et stort problem og det har vært det lenge, har forsker Niklas Vilhelm ved Nasjonal sikkerhetsmyndighet (NSM) tidligere sagt til Dagbladet.

- Folk er forventet å skifte brukernavn og passord for å gi disse enhetene bedre sikkerhet, og det glemmes ofte at det kan være et alvorlig problem om dette ikke gjøres.

2500 i Norge I forbindelse med artikkelserien «Null CTRL» har Dagbladet funnet over 2500 styringssystemer på nett i Norge, med liten eller ingen sikkerhet.

500 av disse kontrollerer industriell eller samfunnskritisk infrastruktur. Ett av problemene med disse systemene, er at det opprinnelig ikke var meningen at de skulle være koblet til Internett i det hele tatt.

- Men selskaper ønsker å koble dem til Internett så de kan hente data og styre systemer hvor som helst i verden, noe som åpenbart er mye billigere enn å få noen til å reise rundt til de ulike lokalitetene, sier John Matherly, mannen bak søkemotoren Shodan, som Dagbladet har benyttet i arbeidet med «Null CTRL».

- Sjokkerende - Ved å legge disse systemene på Internett, ignorerer de risikoen, fordi enhetene aldri var ment å være på Internett. Plutselig legges enheter på Internett som aldri var ment å være der, uten sikkerhet, og de var aldri testet for å være på nettet, sier Matherly videre.

OVERVÅKING: Ifølge fylkesadministrasjonen i Meath, blir dette systemet benyttet til overvåking. Men det kan være mulig å få dypere tilgang i denne type systemer, sier sikkerhetsekspert Eireann Leverett. Foto: Skjermdump
OVERVÅKING: Ifølge fylkesadministrasjonen i Meath, blir dette systemet benyttet til overvåking. Men det kan være mulig å få dypere tilgang i denne type systemer, sier sikkerhetsekspert Eireann Leverett. Foto: Skjermdump Vis mer

Eiren Leverett har selv kartlagt sikkerheten rundt slike styringssystemer internasjonalt. Resultatet skremte ham.

- Jeg tror de aller fleste ville blitt svært sjokkert over hvor dårlig beskyttet disse systemene er,  sier Leverett til Dagbladet.

- Jeg tror mannen i gata forventer at sikkerhetsnivået på disse systemene er mye, mye høyere, sier han.

KARTLA STYRINGSSYSTEMER: Sikkerhetsekspert Eireann Leverett ved det internasjonale selskapet Ioactive har kartlagt styringssystemer på nett. Han sier sikkerheten rundt disse systemene ofte er skremmende lav. Foto: Espen Sandli / Dagbladet
KARTLA STYRINGSSYSTEMER: Sikkerhetsekspert Eireann Leverett ved det internasjonale selskapet Ioactive har kartlagt styringssystemer på nett. Han sier sikkerheten rundt disse systemene ofte er skremmende lav. Foto: Espen Sandli / Dagbladet Vis mer