Selv om politikerne og toppbyråkratene har endret passord, eller ikke lenger bruker de utsatte kontoene, kan skaden allerede ha skjedd.

VG avslørte mandag at 727 norske politikere, regjeringsmedlemmer og ambassadeansatte har fått sensitiv informasjon lekket på nett etter store hackerangrep mot nettjenester som blant andre LinkedIn, Adobe og Dropbox.

– At dette har skjedd for en tid tilbake siden endrer ikke på hvor alvorlig dette er. Vi kan ta for gitt at mange av dem som har fått brukerdataene sine eksponert eller på avveie ikke har endret passord siden da, sier Torgeir Waterhouse, direktør for internett og nye medier i IKT-Norge.

Bruker samme passord



DIREKTØR: Torgeir Waterhouse er direktør for internett og nye medier i IKT Norge. Han mener VGs avsløring om lekkasje av passord og sensitiv brukerinformasjon er alvorlig. Foto: IKT-Norge

Waterhouse mener saken er alvorlig, og understreker at det kan ha blitt gjort skade som følge av angrepene – selv om brukerne ikke har aktive kontoer på de aktuelle tjenestene lenger.

– Etter all sannsynlighet bruker mange det samme passordet andre steder, og derfor er det umulig å vite om det er gjort noen skade eller ikke basert bare på tjenesten det er lekket fra. De som står bak denne typen angrep gjør det ikke nødvendigvis for å gjøre skade umiddelbart. Det kan være for å følge med i det skjulte, eller for å bruke angrepet til å presse tjenestene for penger, sier Waterhouse til VG.

I en undersøkelse om norsk informasjonssikkerhetskultur utgitt av Norsk senter for informasjonssikring (NorSIS) i oktober i fjor kommer det frem at hele 19 prosent av befolkningen bruker det samme passordet overalt.

PÅMINNELSE: Bård Hoksrud i Frp utelukket ikke at han har brukt samme passord flere steder da VG snakket med han i forrige uke. FOTO: TROND SOLBERG/VG

– Dette handler om et behov for kunnskap og informasjon. Jeg har forståelse for at det er lett for folk å bli overveldet av dette, men det er mange enkle grep man selv kan gjøre for å øke sikkerheten. Dersom en tjeneste skulle bli hacket er du langt mindre eksponert om du bruker ulikt passord på tjenestene du bruker, sier Waterhouse.

Da VG møtte Frp-politiker Bård Hoksrud på Stortinget i forrige uke kunne han ikke utelukke at han ikke har brukt samme passord flere steder:

– Det kan vel helt sikkert være, men så er det slik at man endrer og oppdaterer passordene rundt omkring. Men det betyr kanskje at man bør ta en liten runde med passordene sine etter dette, sa Hoksrud.

Slik jobbet VG med hacker-lekkasjene: * Data fra en rekke angrep mot store nett-tjenester som LinkedIn, Dropbox og Adobe ligger åpent og søkbart i forskjellige databaser på nett. * VG har sjekket disse dataene opp mot omtrent 1500 e-postadresser som tilhører politikere, regjeringsmedlemmer og departementene. * Ofte har det gått flere år før angrepene har blitt kjent offentlig. Det kan skyldes at angrepene foregår over lang tid, eller at hackerne i utgangspunktet ikke ønsker at angrepet skal gjøres kjent. Etter hvert velger noen å publisere listene gratis, mens andre krever penger. * Blant tjenestene vi har brukt er «Have i been pwned?» ( https://haveibeenpwned.com). På denne siden kan hvem som helst registrere seg, gratis, og få varsel dersom fremtidige innbrudd omfatter deres konto.

– Manglende bevissthet



Waterhouse i IKT Norge understreker at selv om de aktuelle angrepene er kjent for mange, så betyr ikke det alltid at det er kjent for de med størst behov for å kjenne til det.

– Mange arbeidsgivere kjenner ikke til alle tjenestene de ansatte bruker. Selv om det er regler for hvilke tjenester man kan bruke på en arbeidsplass vil folk likevel finne frem til tjenester for å være så effektiv som mulig i arbeidet. For mange handler det om en manglende bevissthet, og manglende fokus på digital sikkerhet både i skolen, hos arbeidsgivere og i samfunnsdebatten generelt, sier han.

Waterhouse trekker frem en undersøkelse utført fra teknologiselskapet Cisco, som viser at et typisk firma vanligvis har 15–22 flere skytjenester i bruk enn hva arbeidsplassens IT-avdeling har godkjent.

Professor Olav Lysne har ledet utredningen av et digitalt grenseforsvar i Norge, også kalt «Lysne II-utvalget» mener mange kan oppleve det som tungvint å bruke ulike passord på ulike tjenester:

– Vi ser at en del av de reglene som settes er for tungvinte til at folk etterlever dem i praksis, for eksempel det å ha forskjellig passord på forskjellige tjenester. Man klarer ikke å holde styr på kanskje 20 passord.

– Er ikke det en naiv holdning til dette?

– Jo, det vil jeg si er en naiv holdning. Men på dette området er verdens ganske ung. Mange forstår ikke viktigheten av dette, de forstår ikke hva som kan gå galt.



Skei Grande: – Krevende situasjon



En av dem som har reagert kraftigst på VGs avsløring er Venstre-leder Trine Skei Grande.

VGs oversikt viser at så mange som 47 e-postadresser med domenet @venstre.no er rammet av denne typen hackerangrep.

Skei Grande beskriver den digitale situasjonen som krevende for et parti som har begrensede ressurser:

– Venstre bruker jo et gmail-system for våre venstre.no-adresser, vi har ikke råd til å bruke alle de dyreste systemene. Gmail har ikke vært kjent for god sikkerhet, og de har serverne sine i utlandet, så du krysser grenser. Med digital grenseforsvar-tankegang er det mange som kan plukke opp ganske interne ting, sier Skei Grande til VG.

– Jeg hadde en lang runde på gruppemøtet sist om at folk må legge til grunn at det som ligger elektronisk nærmest er åpent. Vi må bare innstille oss mer og mer på at det som er elektronisk kan mange veldig fort ha tilgang på, sier hun.

Ikke privat konto



Også samferdselsminister Ketil Solvik-Olsen er blant dem som er rammet av lekkasjen, og som har brukt sin @stortinget.no-adresse til å registrere seg på skytjenesten Dropbox:

– Statsråden har som stortingsrepresentant forholdt seg til de rutiner og råd om epostbruk han har mottatt fra Stortingets administrasjon. Han har vært bevisst på ikke å bruke private kontoer til å lagre Stortingsdokumenter. Det samme gjelder i rollen som statsråd, skriver pressevakt i Samferdselsdepartementet i en e-post til VG.

KREVENDE FOR PARTIET: Venstre-leder Trine Skei Grande sier digital sikkerhet er en utfordring for et parti med begrensede ressurser. I VGs oversikt kommer det frem at 47 adresser tilknyttet partiet er rammet av større nettangrep mot andre tjenester. FOTO: TROND SOLBERG/VG

Risiko for arbeidsgiver



Mangeårig sikkerhetsrådgiver Per Thorsheim sier at folk flest normalt ikke er noe mål for hackere med ondsinnede hensikter.

– Men på industrispionasje-nivå er det klart at de store lekkasjene er av stor interesse for fremmede stater å få tak i, nettopp fordi de vet at uansett hva som står i en sikkerhetspolicy i et departement eller en bedrift, så bruker folk samme passord på kryss og tvers mellom private og jobb-tilknyttede kontoer. Dette er det umulig for arbeidsgiver å kontrollere i praksis. Hvis din Yahoo-konto ble kompromittert for fire år siden og passordet der er det samme som du bruker på jobb i dag, er det helt klart en risiko for din arbeidsgiver, sier Thorsheim.

