ÅPNE SYSTEMER: Dagbladet fant de digitale inngansportene til rapporteringsportaler for Jernbaneverkets brannalarmsentraler på Internett. Disse tilhører Jernbaneverkets kraftforsyningsanlegg, spredt langs jernbanenettet. Dette bildet er hentet fra Oslo S, mens de innklippede bildene viser alarmsentralene (øverst) og web-grensesnittet (nederst). Foto: Torbjørn Berg / Dagbladet / Jernbaneverket
ÅPNE SYSTEMER: Dagbladet fant de digitale inngansportene til rapporteringsportaler for Jernbaneverkets brannalarmsentraler på Internett. Disse tilhører Jernbaneverkets kraftforsyningsanlegg, spredt langs jernbanenettet. Dette bildet er hentet fra Oslo S, mens de innklippede bildene viser alarmsentralene (øverst) og web-grensesnittet (nederst). Foto: Torbjørn Berg / Dagbladet / JernbaneverketVis mer

- Kan vi få lov til å trykke her nå? - Nei, absolutt ikke, absolutt ikke

Dagbladet fant inngangsportene til 15 av Jernbaneverkets brannalarmsentraler åpent på Internett.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): - Sånn burde det ikke være. Det er det ingen tvil om, sier teknologidirektør Sverre Kjenne i Jernbaneverket.

Ei uke tidligere hadde Dagbladet vist ham og noen av hans kollegaer 15 usikrede systemer tilhørende Jernbaneverket, som vi hadde funnet helt åpent på Internett.

Disse systemene viste seg å være digitale inngangsporter til brannalarmsentraler i Jernbaneverkets kraftforsyning - spredt langs jernbanenettet. Det finnes et 40-talls slike brannsentraler, som er del av et landsdekkende anlegg.

- Dette skulle ikke ha ligget åpent sånn som det lå, så jeg setter pris på å bli gjort oppmerksom på dette, sier Kjenne.

Kunne hindret informasjon Han mener at Dagbladet ikke kunne ha styrt noe inne på styringspanelene vi har funnet. Det vi imidlertid kunne ha gjort, var å hindre at Jernbaneverket fikk informasjonen fra disse brannsentralene.

- Dere kunne ha «reroutet» IP-adresser, noe som gjør at vi ikke får se status på brannalarmen. Da ville vi oppdaget dette og forfulgt det med én gang, men det ville tatt litt tid, og sånn vil vi jo selvsagt ikke ha det, sier Kjenne.

Driftssjef Johan Stenvig i Jernbaneverket Bane Energi forklarer at de har et eget «SCADA-system» hvor de får inn eventuelle brannvarsler. Eventuell utkobling gjøres også via dette systemet.

SKULLE IKKE VÆRT ÅPENT: Teknologidirektør Sverre Kjenne i Jernbaneverket sier systemene ikke skulle ha ligget åpent på Internett, men mener ikke dette representerer noen sikkerhetsrisiko for Jernbaneverket. Alle er nå passordbeskyttet. Foto: Øistein Norum Monsen/Dagbladet.
SKULLE IKKE VÆRT ÅPENT: Teknologidirektør Sverre Kjenne i Jernbaneverket sier systemene ikke skulle ha ligget åpent på Internett, men mener ikke dette representerer noen sikkerhetsrisiko for Jernbaneverket. Alle er nå passordbeskyttet. Foto: Øistein Norum Monsen/Dagbladet. Vis mer

Via systemet Dagbladet hadde tilgang til, får Jernbaneverket informasjon om hva som faktisk har skjedd, blant annet hvor i systemet brannalarmen kommer fra.

- Hvis vi ikke hadde hatt tilgang til denne informasjonen, måtte vi ha sendt noen fysisk for å lese av manuelt, sier Stenvig.

Viktig område Dagbladet har av sikkerhetsmessige årsaker ikke fått lov til å se disse brannsentralene. Etter at Dagbladet varslet Jernbaneverket om systemene, er de blitt beskyttet med brukernavn og passord.

- Hvorfor sto disse åpne i utgangspunktet?

- Når du installerer en masse «gatewayer» og «switcher» er det en sjanse for at man på én av disse ikke har gjort det man burde ha gjort, sier Sverre Kjenne.

- Dette er et viktig område for oss. Jernbaneverket som moderne bedrift har stor bruk av Internett til mange forskjellige ting, og det er viktig for oss at det ikke er mulig at uønskede hendelser skal oppstå, legger han til.

- Ikke sikkerhetsrisiko Kjenne fastholder imidlertid at de åpne systemene Dagbladet har funnet ikke forstyrrer nattesøvnen hans:

- Jernbaneverket valgte å fjerne nett-tilkoblingen for brannalarmsentralene mens vi undersøkte alle aspekter ved grensesnittene. Analysen viser som først antatt at ip-adressene ikke representerer hverken en sikkerhetsrisiko for Jernbaneverket, eller at kritisk informasjon kan komme på avveie.

PANELET: Dette er panelet Dagbladet fant åpent og ubeskyttet på Internett.
PANELET: Dette er panelet Dagbladet fant åpent og ubeskyttet på Internett. Vis mer

Kjenne påpeker også at tilfeldige personer ikke vil kunne gjøre noen skade med tilgang til disse systemene.

- Og hvis noen hadde vært ute etter å sabotere, tenker jeg at de ville ha gått løs på noe annet.

Får ikke teste - Men i dette panelet ser det ut til at vi veldig enkelt kan endre IP-adresse?

- Vi prøvde det, men da stoppet det opp.

- Kan vi få lov til å trykke her nå?

- Nei, absolutt ikke, absolutt ikke.

- Så du er så sikker på at det er trygt at vi ikke får lov til å trykke?

BRANNSENTRALEN: Slik ser brannsentralene til Jernbaneverket ut. Det finnes et førtitall av disse langs jernbanelinjene over hele landet. Foto: Jernbaneverket
BRANNSENTRALEN: Slik ser brannsentralene til Jernbaneverket ut. Det finnes et førtitall av disse langs jernbanelinjene over hele landet. Foto: Jernbaneverket Vis mer

- Det er visse ting du bare ikke trenger å holde på så veldig mye med.

Tips oss på nullctrl@dagbladet.no
Tips oss på nullctrl@dagbladet.no Vis mer