Det er en smal sak for uvedkommende å kartlegge regjeringens datasystemer. Dette er normalt det første personer som ønsker å trenge seg inn i løsninger vil gjøre.
Brannmuren er uvanlig snakkesalig, og avslører en rekke detaljer som er gull verdt for personer med skumle hensikter.
Det viser en kartlegging som Aftenposten har fått utført av QCIC, et sikkerhetsselskap hvis navn er den latinske forkortelsen for «hvem vokter vokterne?».
Fra en kafé i Amsterdam påviser selskapets eksperter en rekke svakheter ved myndighetenes IT-sikkerhet:
Utdatert
Det benyttes utdatert programvare som blant annet Microsofts syv år gamle webserver Internet Information Server 6.0. Flere av løsningene skal være så gamle at leverandørene ikke lenger tilbyr oppdateringer, ifølge Aftenposten.
Gjennom brannmuren fant ekspertene minst 15 applikasjoner som gjør seg til kjenne, og som lekker detaljert informasjon om programvare og versjoner.
I tillegg skal det ligge en enorm mengde word- og excel-dokumenter helt åpent, noe som blant annet åpner for spionasje på metadata.
Ifølge ekspertene er innloggingen for fjernaksess konfigurert slik at det bare er et spørsmål om tid før hackere får tilgang.
- Vi snakker om amatører. Etter vår vurdering ligger regjeringsapparatet og deres partnere i Norge fem år etter i tid, noe som er en evighet i dagens kybervirkelighet, sier Udo Gallé fra QCIC til Aftenposten.
Videre slaktes selve infrastrukturen. Sikkerhetsselskapet mener regjeringens IT-systemer preges av at svært mange elementer er involvert og at løsningene mangler struktur.
Konklusjonen til Gallé står i sterkt kontrast til det myndighetene selv har sagt:
- Dette er et eldorado for hackere, sier han, og legger til at han regner det som meget sannsynlig at hackere allerede har tatt seg til rette.
Flere hemmeligstemplede rapporter fra både NSM, PST, Riksrevisjonen og departementene selv kan tyde på at så er tilfelle.
I høst ble det avslørt at sikkerhetssituasjonen var ute av kontroll i 2007, og at Departementenes servicesenter (DSS) og Fornyingsdepartementet (FAD) valgte å legge lokk på svært alvorlige hendelser med infisert utstyr og datalekkasjer.
Overfor digi.no innrømmet DSS nylig at ingen kjenner omfanget av lekkasjene.
I høst fikk FAD kritikk av Riksrevisjonen for manglende styring av datasikkerheten. Senere uttalte fornyings- og IT-minister Rigmor Aasrud at situasjonen nå skal være utbedret.
De graderte sikkerhetsrapportene nekter hun å gi innsyn i.
- Det er en del opplysninger der som det ville være svært uheldig om vi la ut i full offentlighet, fordi det ville avdekket hvor sårbare vi har vært, sa statsråden til digi.no forrige måned.
Les også:
- [19.01.2011] Kur mot regjeringens IT-mareritt
- [06.01.2011] - Regjeringen lyver om IT-sikkerhet
- [26.11.2010] Alvorlig dataangrep mot regjeringen
