I november 2016 ble Høgskolen i Sørøst-Norge varslet om at rundt 300 passord lå fritt tilgjengelig på et studentområde. Ingen ting ble gjort.
Ved hjelp av en enkel PHP-kommando kan hvem som helst navigere seg fritt rundt på webområdet som 17 000 studenter kan boltre seg på.
Hvem som helst har adgang
Dermed har alle adgang til å bla seg igjennom mappestrukturen til IT-systemet. Der finner man alt fra databaser – som blant annet inneholder passord – til enkle kodesnutter studentene jobber med.
_logo.svg.png){kind=logo}
– Svakheten kom jeg over ved en tilfeldighet. IT-avdelingen ble straks varslet, men ingen ting har blitt gjort etter fem måneder. Hvis noen knytter passordene som ligger åpent på dette området med annen informasjon, vil de kanskje kunne benytte passordene til å logge seg på i andre tjenester, sier student Torkel Velure til digi.no.
.jpg)
Varslet høgskolen flere ganger
IT-studenten forteller at han har varslet IT-tjenesten ved høgskolen tre ganger siden november i fjor. Velure mener det burde være en smal sak å gjøre om på tilgangskontrollen til tjenesten slik at Høgskolen i Sørøst-Norge ville fått mer kontroll på dataene.
Selv om studenten har vært i kontakt med IT-tjenesten flere ganger er ingen avviksrapport registret. Når digi.no tar kontakt med overingeniøren som har tatt imot henvendelsene husker ikke engang vedkommende å ha blitt kontaktet.
Inget avvik registrert av IT-avdelingen
Etter intern etterforskning tar IT-sjef Thomas Evensen kontakt. Han forklarer at det ikke er registrert noe avvik på innrapporteringen fra student Velure. Det begrunnes blant annet med at studenten bare har tatt muntlig kontakt.
IT-sjefen presiserer at sårbarheten ikke eksponerer hverken de ansatte eller studentenes interne hjemmeområde. Ifølge ham er disse områdene godt sikret infrastruktur, og dermed bare er tilgjengelig fra skolens interne nett.
Han sier høgskolen nå gjør en løpende vurdering på om de skal stenge ned tjenesten.
Å stenge tjenesten er ikke aktuelt
Men det å stenge ned tjenesten vil ifølge IT-sjefen sette sinnene i kok hos studentene. Derfor er tjenesten fortsatt oppe og kjører, med den sensitive informasjonen fritt eksponert.
– Hvis vi stenger ned tjenesten vil det ramme studentene. Denne nettjenesten benyttes blant annet i deres undervisning, konstaterer IT-sjefen.
Torkel Velure: – Jeg blir helt oppgitt
Når varsler Torkel Velure blir gjort oppmerksom på at Høgskolen i Sørøst-Norge ikke har registrert avviksrapporteringen i sine systemer, begynner han å le.
– Jeg vet ikke en gang hva jeg skal si. Jeg blir helt oppgitt, det skal ikke fungere på denne måten, konstaterer han.
IT-sjef Evensen tar selvkritikk på at varslingsrutinene på høgskolen er for dårlige. Videre forklarer han at den ansatte har oppfattet sårbarhetshenvendelsene som noe annet.
(artikkelen fortsett under)
IT-sjefen innrømmer elendige rutiner
– Hva har den ansatte oppfattet disse henvendelsene som?
– Det kjenner jeg ikke til. Det finnes ingen dialog på epost. Derfor kan jeg ikke gå inn i hvilke påstander som er fremmet.
– Bør ikke alle hendelser som dette meldes videre?
– Jo, det bør de. Vi har ikke hatt gode nok rutiner. Det må vi gjøre noe med. Alle slike henvendelser skal heretter meldes videre til nærmeste leder. Den skal så ta en vurdering på hva som skal gjøres videre. Fremover må vi jobbe med rutiner og prosesser slik at dette ikke skjer igjen.
– Hva skjer neste gang noen varsle om sårbarheter med systemene deres?
– Da skal vedkommende bli tatt seriøst. Vi er veldig glad for at ansatte og studenter hjelper oss med å utbedre sikkerheten vår. Det håper vi selvfølgelig de fortsetter med, sier IT-sjef Evensen ved Høgskolen i Sørøst-Norge til digi.no.
