KRITISK: IT-professor John Krogstie (innfeldt) er overrasket over VGs avsløringer rundt IT-sikkerheten ved vannforsyningen i Oslo kommune. Maridalsvannet på bildet er drikkevannskilden for nær 90 prosent av Oslos befolkning. Foto: Scanpix
KRITISK: IT-professor John Krogstie (innfeldt) er overrasket over VGs avsløringer rundt IT-sikkerheten ved vannforsyningen i Oslo kommune. Maridalsvannet på bildet er drikkevannskilden for nær 90 prosent av Oslos befolkning. Foto: Scanpix

Ekspert om vannsikkerheten i Oslo: - Skremmende

Publisert:
INNENRIKS

(VG Nett) IT-eksperter VG Nett har snakket med stiller seg hoderystende til sikkerhetsnivået rundt drikkevannet i Oslo.

- Jeg ble overrasket da jeg leste dette. Dette må være en ytterlighet i forhold til å være sløv, sier professor John Krogstie ved Institutt for datateknikk og informasjonsvitenskap ved NTNU i Trondheim til VG Nett.

Les også: Kunne stoppet vanntilførselen med mobilen

VG kunne i dag avsløre at uvedkommende ved hjelp av en mobiltelefon og passordet 0-0-0-0 kunne tatt kontroll over drikkevannet og kloakken i Oslo kommune. Det kommer frem i en knusende rapport om vann- og avløpssituasjonen i Norges største by.

Ifølge VGs kilder skal dette være noen av opplysningene i rapporten:

* Uvedkommende har med en mobil og passordet 0-0-0-0 kunne overta kontrollen av vannforsyningen og fysisk komme seg inn og forgifte vannet etter at det har vært gjennom rensning.

* Vanntilførselen i store deler av Oslo kunne blitt stoppet.

* Det kunne gitt mulighet til trykkendring og sabotasje, som kunne ført kloakk inn i systemet.

* Vannet til 600.000 mennesker kunne i verste fall blitt forgiftet og skapt kaos i hovedstaden.

Vet du noe om denne saken? Tips oss her!

- Her har det tydeligvis manglet helt basis kompetanse for å tenke sikkerhet. Koden 0-0-0-0 er sannsynligvis standardpassordet som kom med systemet. Det er skremmende med en så banal sikring, sier Krogstie, som er ekspert på offentlige IT-systemer.

Innførte systemet året etter terroridentifisering

Mnemonic er en av Nordens største leverandører innen IT- og informasjonssikkerhet. Seniorkonsulent Erik Alexander Løkken er også overrasket over VGs avsløring.

- Hvis det dere skriver var tilstrekkelig for å få tilgang, så er det ikke bra, sier Løkken.

I 2004 påpekte Oslo kommune selv at drikkevannet ville være et sårbart terror- eller sabotasjemål. Året etter var det nye systemet for fjernkontroll ved hjelp av bluetooth-teknologi fullstendig innført. Et system som det nå er avdekket så alvorlige sikkerhetsbrister rundt at rapporten er hemmeligholdt, gradert etter Sikkerhetsloven.

- En firesifret kode er ikke spesielt vanskelig å gjette, og de fleste vil starte med 0-0-0-0. Bluetoothteknologien er ikke usikker, men bruken av den kan være det, påpeker Løkken.

Artikkelen fortsetter under bildet!

IT-ekspert og lektor ved Universitetet i Oslo, Gisle Hannemyr, er ikke overrasket over sikkerhetsbruddene VG i dag avslører.

- Nei, jeg er ikke det. Dessverre så tror jeg at dette neppe er noe enestående eksempel, sier Hannemyr.
Han håper offentlige etater og norske bedrifter kan lære av de alvorlige avsløringene.

- Det kan være en god idé å bruke dette som en vekker, spesielt for virksomheter som har ansvar for kritisk infrastruktur, sier Hannemyr.

Vann- og avløpsetaten i Oslo kommune forteller at de fjernet bluetoothløsningen i vår samtidig med at rapporten avdekket de alvorlige sikkerhetsbristene. Systemet har vært i drift siden 2005 - med alvorlige sikkerhetsbrister.

- Men teknologien utvikler seg, og i etterkant skjønte vi at dette var en dårlig løsning. Men i 2005 var det en hypermoderne løsning, sier avdelingsdirektør Per Kristiansen, i Vann- og avløpsetaten til VG.

- Ikke akkurat rakettforskrning

John Krogstie ved NTNU påpeker derimot at bluetooth ikke akkurat var fersk teknologi da Oslo kommune tok det i bruk.

- Bluetooth var ikke akkurat rakettforskning på dette tidspunktet. Det burde være lett å sette seg inn i sikkerhetsproblematikken selv om de ikke selv hadde eksperter på huset. Det burde være en basiskompetanse for alle som jobber med IT, påpeker Krogstie.

Vann- og avløpsetaten i Oslo hevder at de da de ble kjent med sikkerhetsbristene i sitt system, iverksatte en rekke strakstiltak. I en pressemelding sendt ut i formiddag i etterkant av VGs avsløringer hevder direktør Eli Grimsby at vannforsyningen i Oslo aldri har vært sikrere enn akkurat nå.

Her kan du lese mer om