Omfattende dataglipp fra sikkerhetsmiljø på NTNU

NTNU i Gjøvik samarbeider med norske sikkerhetsmyndigheter, næringslivet og politiet for å trygge landet. På hjemmesidene har det ligget tusenvis av e-poster. - En gullgruve for dem som vil drive målrettede angrep med epost, sier professor.

NTNU PÅ GJØVIK: Cybersikkerhet-senteret er drevet i samarbeid med privat næringsliv og sikkerhetsinstitusjoner. Foto: Anders Gimmestad Gule / NTNU Vis mer

6. april 2018 kl. 6.58

Eiliv Frich Flydal

Ole Petter Baugerød Stokke Ola Strømman

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): På Gjøvik ligger det nasjonale senteret for forskning og utdanning innen cyber og informasjonssikkerhet (CCIS). Senteret har som mål å øke Norges evne til å møte digtale sikkerhetsutfordringer og er et samerbeid mellom Norges teknisk-naturvitenskaplige universitet (NTNU), statlige sikkerhetsinstitusjoner og private selskaper.

Blant forskningsområdene er biometri, cyberforsvar, kritisk infrastruktur og digital informsjonshåndtering.

CCIS: Slik presenteres avdeligen for Cyber og informasjonssikkerhet på NTNU for publikum i foredrag av Norwegian Biometrics Laboratory. Foto: Skjermdump — **CCIS:** Slik presenteres avdeligen for Cyber og informasjonssikkerhet på NTNU for publikum i foredrag av Norwegian Biometrics Laboratory. Foto: Skjermdump Vis mer

I en lengre periode har universitetet tilgjengeliggjort flere tusen eposter sendt mellom studenter, ansatte, forskere og flere eksterne institusjoner på en av sine servere. Dagbladet har funnet over 5 000 slike eposter. Mange inneholder personopplysninger.

«- Epostlistene på NTNUs nettsider er en gullgruve for dem som vil samle informasjon for å drive målrettede angrep.» Professor Audun Jøsang ved Universitetet i Oslo

Epostene har vært lett tilgjengelige via oppslag i søkemotoren Google. Mange inneholder vedlegg. Informasjonen er ukryptert.

NTNU SIN EPOSTLISTE-SERVER: Slik lå mapper om biometri-prosjektet fritt tilgjengelig på NTNU Gjøvik sin server. Skjermdump og sladding: Dagbladet — **NTNU SIN EPOSTLISTE-SERVER:** Slik lå mapper om biometri-prosjektet fritt tilgjengelig på NTNU Gjøvik sin server. Skjermdump og sladding: Dagbladet Vis mer

Blant statlige sikkerhetstjenester og næringsliv som samarbeider med universitet om CCIS er Forsvaret, Politiets sikkerhetstjeneste (PST), Kripos, Nasjonal sikkerhetsmyndighet, Telenor, IBM og kraftselskaper med ansvar for kritisk infrastruktur. I tillegg er en rekke enkeltinstitusjoner og bedrifter i Norge og utlandet koplet på i ulike forskningsprosjekter.

Millionstøtte

Epostene på universitetets server spenner fra studenters fotogruppe til høyteknoligsk forskning på digital sikkerhet.

Over 500 av epostene stammer fra et biometri-prosjekt som ligger under CCIS og har mottatt 23 millioner kroner i offentlige støtte fra Forskningsrådet.

Målet er å utvikle framtidas identifisering av mennesker for adgangskontroll, betalingsløsninger og på grensepasseringer.

Arbeidet startet i 2015 og skal etter planen avsluttes i september neste år.

Foruten ansatte og akademikere som jobber med informsjonssikkerhet i ulike miljøer ved NTNU og på Universitet i Oslo, har Dagbladet funnet epostkorrespondanse til og fra personer i tysk banknæring, internasjonal luftfartsindustri, andre europeiske forskningsinstitusjoner, sikkerhetsselskaper og det norske Forskningsrådet.

- Brudd på sikkerheten

- Alt dette materialet burde være konfidensielt. Noe forskning er mer sensitiv enn annen. At noe i det hele tatt ligger ute medfører et brudd på datasikkerheten, sier professor i informasjonssikkerhet Audun Jøsang ved Universitetet i Oslo til Dagbladet.

Jøsang er involvert i forskningsprosjektet som er rammet og hans eposter er blant de som ble tilgjengeliggjort av NTNU på Gjøvik. NTNU har hatt koordineringsansvaret for prosjektet underveis.

Også flere andre deltakere i prosjektet som Dagbladet har snakket med reagerer med vantro på at informasjonen de har delt med kolleger fortløpende er tilgjengeliggjort på nett av NTNU på Gjøvik.

KRITISK: Professor i informasjonssikkerhet Audun Jøsang ved Universitetet i Oslo. Foto: Hans Arne Vedlog / Dagbladet — **KRITISK:** Professor i informasjonssikkerhet Audun Jøsang ved Universitetet i Oslo. Foto: Hans Arne Vedlog / Dagbladet Vis mer

Både forskerne og Jøsang er bekymret for at en akademisk institusjon som samarbeider tett med sikkerhetstjenester og selskaper som beskytter kritisk infrastruktur i Norge, lar eposter med interne diskusjoner ligge åpne på en server.

Biometriske data

Håndtering og lagring av store mengder biometriske data fra enkeltpersoner som er brukt i prosjektet er et tilbakevendende tema i epostene.

De biometriske dataene som brukes i forskningen er blant annet fingeravtrykk, stemmeopptak og bilder av ansikter og iriser.

- Gullgruve

Blant de mange epostene mellom forskere, professorer og partnere på prosjektet, finnes også en rekke konkrete detaljer om framdrift, møter, datahåndtering og tekniske utfordringer.

Det framkommer en rekke detaljer om bidragsyterne, deres kontaktinformasjon og reisevirksomhet.

MANGE EPOSTLISTER: På bildet ser man noen av epostlistene på NTNUs server. Noen har ferske eposter, andre har eposter ti år tilbake i tid. Skjermdump: Dagbladet — **MANGE EPOSTLISTER:** På bildet ser man noen av epostlistene på NTNUs server. Noen har ferske eposter, andre har eposter ti år tilbake i tid. Skjermdump: Dagbladet Vis mer

Også mange av de andre 5 000 epostene på serveren inneholder informasjon om studenters og ansattes aktiviteter.

- Epostlistene på NTNUs nettsider er en gullgruve for dem som vil samle informasjon for å drive målrettede angrep, som nettfisking med epost, for å skaffe informasjon, sier professor Jøsang.

Slike angrep utføres på daglig basis verden rundt av kriminelle nettverk, statlige etteretningsaktører eller grupper som jobber for dem. Utdannings- og forkningsinstitusjoner verden rundt opplever stadig at epostkontoer hackes og at deres informasjon er ettertraktet.

- Ønsker man å lure noen til å klikke på en lenke til en farlig nettside eller laste ned et vedlegg med virus, så virker det langt mer overbevisende om man har en kopi av en tidligere epost fra samtalen, kan henvise til et møte de nettopp har vært på eller sende et dokument noen på forhånd har lovet dem, sier Jøsang og henviser til epostene som har blitt tilgjengeliggjort fortløpende på NTNUs nettsider.

- Ingen mennesker klarer å gjennomskue et godt konstruert epostangrep, fordi det vil være helt likt eposter de mottar til vanlig, sier Jøsang.

- Hva tenker du om at det er et fagmiljø om sikkerhet som har tilgjengeligjort data slik?

- Det er i høy grad ironisk. Det kan skje de beste, men de har ikke gjort hjemmeleksene sine. Det er ikke en teknisk feil, men elendig ledelse av informasjonssikkerhet, sier Jøsang om NTNUs håndtering.

SECURITYLAB VED UIO: Gruppa består blant annet av professor Jøsang, Kamer Vishi, Vasileios Mavroeidis og Laszlo Erdödi ved UIO. Foto: Privat — **SECURITYLAB VED UIO:** Gruppa består blant annet av professor Jøsang, Kamer Vishi, Vasileios Mavroeidis og Laszlo Erdödi ved UIO. Foto: Privat Vis mer

Sikkerhetseksperter ved SecurityLab på Universitetet i Oslo reagerte på de mange søkbare epostene og varslet NTNU Gjøvik i onsdag rundt 14:00.

Secutirylab jobber med it-sikkerhet.

Arkivet med over 500 e-poster fra tre års arbeid med biometri-forskning ble passordbeskyttet sent onsdag ettermiddag,

Mange eposter fra andre epostlister lå fremdeles åpne på serveren i går ettermiddag.

- Under utfasing

Seksjonsleder for digital sikkerhet på NTNU i Gjøvik, Stian Husemoen, opplyser til Dagbladet at epostlisten om biometriforskning ble opprettet i 2015.

- Dette en gammel tjeneste under utfasing fra den tidligere Høgskolen i Gjøvik, som i utgangspunktet er ment å være åpen. Og der den enkelte som administrerer listene selv kan velge å sette den lukket eller åpen, sier Husemoen til Dagbladet.

NTNU: Stian Husemoen, seksjonsleder Digital sikkerhet ved NTNU i Gjøvik.

Foto: Anders Gimmestad Gule — **NTNU:** Stian Husemoen, seksjonsleder Digital sikkerhet ved NTNU i Gjøvik. Foto: Anders Gimmestad Gule Vis mer

Flere av listene på serveren som Dagbladet har sett som er knyttet til cybersikkerhet har arkiver som er passordbeskyttet. Biometri-prosjektet var ikke beskyttet slik.

- Det er usikkert hvor godt dette er blitt kommunisert internt i prosjektet og til eksterne medlemmer av listen, sier Husemoen.

Husemoen tror flere av de som har brukt e-postgruppa til forskningsprosjektet ikke visste at alt de sendte inn ble publisert på nettsidene til NTNU.

Stengte liste og undersøker

- Vi har ikke så langt funnet meldinger som kan kvalifisere som direkte sensitive, selv om flere absolutt fremstår som «interne». Etter en samtale med prosjektlederen her på NTNU onsdag kveld, ble vi likevel enige om stenge epostlista.

- Jeg ville nok tro at enkelte ville synes det var greiest å ha en slik gruppe lukket, sier Husemoen.

Også en rekke andre epostlister ligger åpne på NTNUs servere.

- Vi går også gjennom de andre listene, men de er foreløpige åpne, sier Husmoen, sier Husemoen.

Uenig med Jøsang

Husemoen mener beskrivelsene fra professoren er feil:

- Vi mener Jøsang gir er en feil beskrivelse av situasjonen. Det er selvfølgelig teoretiske muligheter for at informasjonen kan brukes slik, men det er ikke nødvendigvis noen større trussel enn informasjon man kan samle fra sosiale medier eller åpne websider ellers, sier Husemoen.

Ifølge Husemoen tar NTNUs trusselvurdering også høyde for at partnere blant sikkerhetsmyndigheter og utenlandske selskaper gjør at universitetet kan tiltrekke seg uønsket oppmerksomhet fra personer på jakt etter informasjon.