SJEKKER SYSTEMER: Etter Bloombergs påstander om Supermicro forsøker Forsvarsdepartementet nå å avklare hva deres systemer faktisk består av.
SJEKKER SYSTEMER: Etter Bloombergs påstander om Supermicro forsøker Forsvarsdepartementet nå å avklare hva deres systemer faktisk består av. Foto: Øijord, Thomas Winje / Scanpix

Forsvarsdepartementet undersøker datautstyr etter Kina-avsløring

INNENRIKS

Etter påstander om at kinesiske myndigheter fysisk hacket maskinvaren til en storprodusent, forsøker Forsvarsdepartementet å avklare hva deres systemer faktisk består av.

Publisert: Oppdatert: 17.10.18 16:00

Det var den amerikanske avisen Bloomberg Businessweek som kom med de oppsiktsvekkende påstandene forrige uke:

Ifølge den omfattende saken skal medlemmer av den kinesiske hæren ha plantet spionverktøy i produktene til Supermicro. Den amerikanske produsenten er en storaktør i IT, og har underleverandører i Kina hvor tuklingen skal ha funnet sted. Spionverktøyene skal være en slags fysisk form for hacking, som under rette omstendigheter skal gi stor kontroll over maskinene de havner i.

Saken er høyst uklar, og bestridt av de fleste involverte. Tirsdag hevdet imidlertid en israelsk sikkerhetsekspert at han hadde avdekket tilsvarende former for hacking hos et amerikansk teleselskap.

Det norske Forsvarsdepartementet (FD) fortalte forrige uke at de skrotet to kostbare komponenter fra Supermicro. Da ga de uttrykk for at dette var det eneste de hadde fra produsenten.

Nå sier imidlertid departementet at de jobber med å avklare hvorvidt Supermicro har blitt brukt som underleverandør hos andre de har kjøpt utstyr fra.

Produsert i Kina

– Vi er kjent med at andre produsenter benytter komponenter fra Supermicro, og er i dialog med aktuelle leverandører om påstanden om mulig kompromittert utstyr, skriver kommunikasjonsrådgiver Lars Gjemble i en e-post.

Uttalelsen kommer etter at VG har stilt spørsmål om FDs leverandør Nutanix, som bruker Supermicro som underleverandør. FD vil ikke si hva slags utstyr Nutanix har levert til deres IT-systemer.

FD ønsker ikke å svare på hvorvidt de har tatt rede på om systemene deres inneholder Supermicro-deler, og sier nå at svaret de ga forrige uke må tolkes til å gjelde kjøp direkte fra Supermicro – og ikke tilfeller der Supermicro er underleverandør.

Streng og utvidet sikkerhetstesting

– Nutanix har bekreftet overfor FD at Nutanix-utstyr som ble kjøpt i 2017 er produsert i Kina. Mens utstyr som er kjøpt i 2018 ikke er produsert i Kina, skriver Forsvarsdepartementet videre.

VG har bedt FD oppklare hvorvidt de kjente til hvor utstyret var produsert da det ble kjøpt, men spørsmålet er ikke besvart.

Nutanix har fortalt FD at de ble kontaktet av Bloomberg i mars i år, med spørsmål knyttet til saken.

– Nutanix har siden da brukt store ressurser internt for å avdekke hvorvidt Bloombergs påstander medfører riktighet. FD har mottatt bekreftelse fra Nutanix om at all programvare og materiell fra deres underleverandører har gjennomgått streng og utvidet kvalitetskontroll og sikkerhetstesting. Så langt har det ikke vært indikasjoner som tilsier at påstandene til Bloomberg medfører riktighet, skriver FD.

– Nutanix er et software-selskap, vi leverer på alle kjente hardware-plattformer, en av dem er Supermicro. Vi kan ikke gi detaljert informasjon om våre kunder, sier Kjell-Einar Anderssen, ansvarlig for Nutanix i Norge, til VG.

Ber alle med kunnskap om å melde seg

Bloomberg-saken har satt IT- og sikkerhetsverden på hodet. Amazon og Apple – to av selskapene som skal ha brukt hacket maskinvare – er uvanlig tydelige i måten de benekter påstandene på.

Supermicro selv benekter alt, men har fått hard juling i kjølvannet av saken. Verdien på aksjene deres er omtrent halvert.

Ifølge Bloomberg er det FBIs cyber- og kontraetterretning som etterforsker hackingen. Byrået har en policy på å hverken avkrefte eller bekrefte spesifikke etterforskninger, og har ikke kommentert saken. Amerikanske myndigheter for øvrig har formulert seg varsomt, og sagt de ikke har grunn til å mistro selskapenes uttalelser. Britiske myndigheter har sagt det samme.

Her i landet har imidlertid Nasjonal sikkerhetsmyndighet sagt at de har kjent til «problemstillinger» knyttet til Supermicro siden juni i år, uten å utdype videre.

Rob Joyce topprådgiver hos amerikanske NSA gikk onsdag ut offentlig og beskrev etterretningsorganisasjonen som svært forvirret. Han ba alle med førstehåndskunnskap om saken om å melde seg, ifølge Realclrearpolitics som arrangerte det åpne møtet.

– Kan ikke gardere oss 100 prosent

Professor og direktør Olav Lysne i Simula Metropolitan sier, med forbehold om at Bloomberg-saken stemmer, at man må ta utgangspunkt i at alt som er på maskinene har lekket ut.

– Potensielt kan fremmede makter ha kontroll over serverne og da er det ikke begrenset hva slags skade man kan gjøre, sier Lysne som uttaler seg på generelt grunnlag.

Han mener firmaer ikke nødvendigvis vet om de bruker utstyr som inneholder komponenter fra Supermicro.

– Supermicro leverer en komponent til maskiner, så er det ofte et annet selskap som setter maskinen sammen. Det er for menigmann lite kjent, sier Lysne.

VG har tidligere snakket med sikkerhetsekspert Per Thoresheim. Han påpeker at en hacket datamaskin vil være ute av stand til å gjøre skade, dersom den ikke er koblet til internett eller er skjermet fra kontakt med omverdenen på annet vis.

– For å sikre våre IKT-systemer følger FD Nasjonal sikkerhetsmyndighets grunnprinsipper for IKT-sikkerhet. Det benyttes derfor en sammensetning av programvare og maskinvare fra flere ulike produsenter. Sikker design av IKT-miljø innebærer bruk av kompenserende tiltak for å redusere risiko for kompromittering som følge av blant annet skadevare i enkeltprodukter, ettersom vi ikke kan gardere oss 100 prosent mot sårbarheter eller skadevare, sier Lars Gjemble i Forsvarsdepartementet.

Her kan du lese mer om