FÅR BRUKE JAVA: Statsminister Jens Stoltenberg og alle andre i regjeringskvartalet. DSS valgte å trosse råd fra egne fagmyndigheter om å deaktivere den sårbare programvaren. (Bilde: SMK)

Ignorerte Java-råd

Departementene hørte ikke på fagmyndighetene.

Myndighetene anbefalte alle å deaktivere Java i nettleseren, etter avsløringene av nye alvorlige sikkerhetshull.

Men dette rådet fulgte ikke Departementenes servicesenter (DSS), etaten som skal sørge for at landets ledelse har sikre IT-systemer.

Stikk i strid med klare anbefalinger fra Nasjonal sikkerhetsmyndighet (NSM) og Norsk senter fra informasjonssikring (NorSIS), skrudde de aldri av Java-støtten i regjeringskvartalet.

– DSS har etter en vurdering valgt ikke å deaktivere Java, erkjenner kommunikasjonsansvarlig Margot Vågdal når digi.no spør om dette.

Hun bekrefter at de har anledning til å deaktivere Java på maskinene som er tilknyttet deres plattform. DSS har ansvaret for all IT-drift for 13 departementer og anslagsvis 4.000 ansatte i regjeringskvartalet.

Men de valgte altså annerledes. – Programvaren ble oppdatert etter at rettelse forelå fra leverandør, sier Vågdal.

- Java er en sveitserost som Oracle driver og lapper på, sier professor Kjell Jørgen Hole.
- Java er en sveitserost som Oracle driver og lapper på, sier professor Kjell Jørgen Hole.

Egenrådig

På spørsmål om hvilke andre sikringstiltak de har gjort i anledning den tilsynelatende endeløse strømmen av nye Java-sårbarheter som dukker opp, er svaret at DSS «har systemer som gjør det mulig å oppdage ulike sikkerhetstrusler».

- Vi har også en egen sikkerhetsgruppe som daglig vurderer og følger opp trusler, sier kommunikasjonssjef Margot Vågdal.

– Forvirrende

Kjell Jørgen Hole er informatikkprofessor og lærer bort datasikkerhet ved Universitetet i Bergen. Han vet ikke helt hva han skal tro om departementenes valg.

– Jeg kjenner ikke til vurderingene som ligger bak, men at myndighetene ikke er enige med seg selv sender et forvirrende signal, sier Hole til digi.no.

Professoren kaller Java «en sveitserost som Oracle driver og lapper på». Derfor tror han også at det vil bli oppdaget flere sårbarheter i programvaren.

NSM og Kjetil Berg Veire anbefalte alle å deaktivere Java-støtten tidligere i januar. Nå er rådet hans å holde programvaren oppdatert.
NSM og Kjetil Berg Veire anbefalte alle å deaktivere Java-støtten tidligere i januar. Nå er rådet hans å holde programvaren oppdatert. Bilde: Nasjonal sikkerhetsmyndighet

Eget ansvar

– DSS må gjøre sine egne vurderinger. Det er virksomhetene selv som er ansvarlig for datasikkerheten, sier informasjonssjef Kjetil Berg Veire i NSM.

For etaten med anbefalingene som ikke blir fulgt, ei heller av folk flest, har ikke selv noen myndighet til å komme med pålegg, med mindre det dreier seg om systemer underlagt sikkerhetsloven.

– Vårt råd er å oppdatere, og så står norske virksomheter fritt til å vurdere hvordan de forholder seg til det. Men det er uheldig om norske virksomheter ikke er raskt ute med å installere sikkerhetsoppdateringer, spesielt når du tenker på at veldig mye av kriminaliteten som foregår på nett bryter seg inn i maskiner via programmer som ikke er oppdatert, sier Veire til digi.no.

Det soleklare rådet fra NSM nå er å oppdatere all programvare så fort oppdateringer er tilgjengelig.

– Det gjelder også Java. I tillegg må du gjerne ha Java deaktivert dersom du ikke trenger det. Da er du i hvert fall enda litt sikrere, sier Veire.

digi.no har stilt flere spørsmål til Departementenes servicesenter og deres overordnede i Fornyings-, administrasjons- og kirkedepartementet (FAD). Saken kan bli oppdatert.

- Hva er poenget med at NSM utsteder advarsler og anbefalinger om å unngå usikker programvare, når selv ikke landets ledelse følger de samme rådene?

- Det er DSS som håndterer denne typen hendelser og foretar sine vurderinger uten at departementet er involvert i det, svarer Frode Jacobsen, kommunikasjonsjef i FAD.

    Les også:

Til toppen