USIKRET: Serveren til Bergen Kuldeteknikk lå åpent ut mot nettet, uten at de visste det selv. Her fantes blant annet ansattes personopplysninger og detaljerte produkttegninger. Foto: Benjamin A. Ward / Dagbladet
USIKRET: Serveren til Bergen Kuldeteknikk lå åpent ut mot nettet, uten at de visste det selv. Her fantes blant annet ansattes personopplysninger og detaljerte produkttegninger. Foto: Benjamin A. Ward / DagbladetVis mer

Trodde de måtte taste brukernavn og passord for å komme inn på bedriftsserveren

I virkeligheten var den åpen for absolutt alle.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

BERGEN/OSLO (Dagbladet): Ansattes skattekort med personnummer og andre personlige opplysninger. Detaljerte produkttegninger, kundeinformasjon og prisoversikter.

Alle disse dokumentene lå inne på webserveren til selskapet Bergen Kuldeteknikk, godt beskyttet med brukernavn og passord - trodde de i hvert fall.

I virkeligheten lå hele serveren vidåpen på nett, noe den kan ha gjort helt siden den ble opprettet for snart tre år siden.

- Dette ligger jo helt åpent. Det er jo krise, sier daglig leder Christer Stålheim etter at Dagbladet har vist ham lenken med alt innholdet.

Brukte eksternt firma Bergen Kuldeteknikk leverer kuldeprodukter og kuldetjenester til bedrifter i og rundt Bergen og i Nordsjøen.

Vi fant serveren i forbindelse med artikkelserien «Null CTRL», som viser hvordan det er mulig å se og styre naboens web-kamera og ta kontroll over industrielle styringssystemer med noen tastetrykk - blant annet.

Stålheim forteller at de brukte det eksterne selskapet Webhuset AS til å sette opp serveren.

I denne forbindelse fikk de tilsendt brukernavn og passord, som de måtte bruke for å koble seg til serveren når de var utenfor kontoret.

- Det har vært en liten vekker dette her. En ting er jo en sånn liten skute som oss, som er helt ubetydelig i den store sammenheng. Noe annet er hvis dette skulle skje med andre, mye større selskaper. Det er skremmende, sier Stålheim.

- Ikke bra Noen av dokumentene deres, deriblant de ferskeste skattekortene, ligger på en egen server.

- Når det gjelder tegninger og prisinformasjon, er det jo ikke bra at det ligger åpent, men det er ikke helt krise i seg selv. Vi ønsker det selvsagt ikke, men jeg tror ikke folk i vår bransje er så datakyndige at noen ville kommet seg inn og utnyttet disse opplysningene, sier han.

Etter at Dagbladet hadde vist Stålheim lenken med innholdet på serveren, kontaktet han Webhuset AS for å høre hva som hadde gått galt.

- De sa at det var vi som måtte opprettholde sikkerheten, men vi har jo bestilt dette produktet fra dem. Vi er jo ikke spesielt flinke på data, vi driver med kjølesystemer, sier Stålheim.

- Ikke vårt ansvar Daglig leder ved Webhuset AS, Erik Olsen, holder fast ved at Bergen Kuldeteknikk har ansvar for sikkerheten.

- Maskinen har ikke blitt konfigurert slik som dette av oss. Kunden har seinere slått på web-serveren på maskinen sin og dermed gjort alle filene på filserveren sin tilgjengelige over Internett, sier han til Dagbladet.

- Hadde vi hatt et driftsansvar for maskinen ville vi oppdaget og forhindret at dette skjedde. Vi har imidlertid ikke fått et slikt driftsansvar og kunden har derfor gjort alle tilpasninger selv siden den gangen maskinen først ble levert av oss.

På spørsmål om hvordan de kan være sikre på at ikke serveren ble opprettet med denne feilen, svarer Olsen at denne sikkerhetsmekanismen ble testet og funnet i orden da serveren ble konfigurert i 2010.

- Veldig synd - Hva tenker dere om at kunden ikke har forstått at det er de selv som er ansvarlige for dette?

- Det er veldig synd, men samtidig overraskende. Det står helt klart i vår avtale med kunden at «produktet inkluderer ingen drift eller sikkerhetsoppdateringer med mindre det er inngått en egen avtale om dette. Kunden er selv ansvarlig for å holde operativsystem og annen programvare forsvarlig oppdatert til enhver tid», sier Olsen.

- Lett å gå i fella Ifølge Seniorrådgiver Vidar Sandland i Norsk Senter for Informasjonssikkerhet (Norsis), er det lett å tro at IT-leverandører er ansvarlige for sikkerheten, uavhengig av hva som er avtalen mellom partene.

- Det vi ofte ser, er at selskaper ofte ikke har den bestillerkompetanse de bør ha. De vet ikke alltid hva de trenger av sikkerhet og hvordan dette skal fungere, sier han, og legger til at det i slike situasjoner er viktig å konsultere leverandøren.

- Du må være veldig klar på at du er avhengig av en sikker løsning og at leverandøren dokumenterer hva de har gjort for å sikre produktet ditt.

Christer Stålheim takker for at de ble gjort oppmerksomme på sikkerhetshullet, så de fikk gjort noe med det. Han opplyser at Bergen Kuldeteknikk nå har sagt opp avtalen med Webhuset AS.

- Det er alltid synd å ikke komme til enighet med en kunde - uansett hvem som mener han har rett, sier Webhusets daglige leder Erik Olsen.

Tips oss på nullctrl@dagbladet.no
Tips oss på nullctrl@dagbladet.no Vis mer