Universitetet i Oslo (UiO) har avslørt at ErgoGroups arkivsystem ePhorte, som brukes av over 300 kommuner og statlige etater, har et alvorlig sikkerhetshull.
- Da vi skulle innføre dette systemet på UiO gikk vi gjennom sikkerheten. Vi oppdaget da at programmet måtte ha tilgang til e-postsystemene våre og derfor trengte brukernavn og passord, noe det lagret i en liste på systemet. Denne lista inneholder da informasjon for alle ansatte og er en klar sikkerhetsrisiko, sier IT-direktør ved Universitetet i Oslo, Lars Oftedal, til NRK.
Han forteller til NRK at det ikke er enkelt å bryte seg inn i systemet, men at konsekvensene dersom noen greier å hente ut listen kan bli veldig store.
- Ved å få tak i brukernavn og passord til alle de ansatte vil en datasnok få tilgang til alle dokumentene i arkivet. Da kan personen lese personlig informasjon om andre, sier Oftedal til NRK.
Digitale arkivsystemer er en viktig del av moderniseringen av offentlig sektor, og de inneholder stadig mer sensitive opplysninger. Det kan derfor bli et interessant mål for hackere.
Mange offentlige etater går over til å lagre dokumentene sine digitalt i elektroniske arkiv, og ePhorte er ett av de mest brukte arkivsystemene. Det brukes blant annet av Stortinget, Mattilsynet, Konkurransetilsynet, Riksarkviet og Helse Vest.
ErgoGroup annerkjenner problemstillingen, men mener dette i praksis ikke er et stort problem.
- Vi føler oss komfortable med det produktet vi har levert. Det er en teoretisk mulighet for at noen skal utnytte hullet, men i praksis ser vi det ikke som en stor mulighet. Det er klart at man aldri kan vite helt hva som skjer, og hvis man ønsker å være helt sikker, slik Universitetet i Oslo ønsker, må det rettes, sier Håvard Larsen i ErgoGroup til NRK.
ErgoGroup er i samtaler med Universitetet i Oslo om saken, og skal kartlegge behovet for endringer i programvaren.
