– Dersom Dagbladet lar sine ansatte logge inn med private Google-kontoer er de prisgitt de enkelte brukernes egne sikkerhetsrutiner. Da må de lene seg på opplæring av de ansatte, noe vi vet ikke alltid fungerer så godt, sier passord- og sikkerhetsekspert Per Thorsheim til DN.

Torsdag ettermiddag ble Dagbladet.no, Dinside.no, KK.no, Sol.no og Seoghør.no stengt i flere timer etter at innholdet i flere publiserte artikler ble radikalt endret av uvedkommende. Blant annet ble leserne forledet til å tro at statsminister Erna Solberg synes pedofili er akseptabelt. Hendelsen kan være ett av de mest alvorlige sikkerhetsbruddene i norske medier de siste årene. Aller Media, som eier nettstedene, gikk torsdag ut og sa at de mistenkte hacking og har politianmeldt hendelsen.

Sjefredaktør Alexandra Beverfjord i Dagbladet.
Sjefredaktør Alexandra Beverfjord i Dagbladet. (Foto: Elin Høyland)

– Vi vet ikke om det dreier seg om hacking, men vi utelukker det ikke, sa sjefredaktør Alexandra Beverfjord i Dagbladet til DN torsdag kveld.

Nøyaktig hvordan inntrengerne har skaffet seg tilgang vil ikke Dagbladet eller Aller Media bekrefte. DN vet at journalister i Dagbladet kan velge mellom to påloggingsløsninger til publiseringssystemet Labrador, aID og Google. aID er et påloggingssystem utviklet av Amedia som også brukes av Aller Media.

Les også: Trond Giske leverte liste med 70 punkter til VG – reagerte på dekningen av varslingssakene dnPlus

De som velger å bruke Google til pålogging kan bruke sine private Google-kontoer til dette.

Ekspert: Ikke godt nok

Ifølge en intern epost som ble sendt ut til Dagbladet-ansatte torsdag kveld oppfordres de ansatte til å bytte passord på sine Google-kontoer.

«Det anbefales også på det sterkeste å slå på 2-trinns bekreftelse på Google-kontoen».

– I så fall må de ha tillit til at brukerne sikrer seg selv godt nok. Jeg kan skjønne at en avis vil gi journalistene rask tilgang til publiseringsverktøyet, også på mobilen, med tanke på konkurransen med andre aviser. Men da ofrer man sikkerheten, sier Thorsheim.

Selv ville han aldri ha anbefalt noen å bruke en slik løsning på et kritisk system.

– Dersom man kan logge seg på Dagbladets publiseringssystem uten annet enn brukernavn og passord tyder det på ingen eller manglende konsekvensutredning. En slik løsning kan være grei for mindre kritiske systemer, men ikke for publiseringstilgang til en avis, sier Thorsheim, som understreker at dette er i strid med retningslinjene Nasjonal sikkerhetsmyndighet har hatt for norske bedrifter de siste årene.

I etterkant av den mulige hackingen har ansatte etter det DN kjenner til måttet bytte passord og aktivere tofaktorautentisering før de igjen fikk tilgang til Labrador.

Selv om det i dette tilfellet var snakk om ganske uraffinerte endringer som de fleste neppe trodde på, kunne et tilsvarende innbrudd i en avis fått enda større konsekvenser dersom de som sto bak hadde valgt mer diskré endringer. Inntrengerne kunne også forblitt inne i systemet lengre dersom endringene ikke hadde blitt avslørt like raskt.

DN har stilt spørsmål til Dagbladets sjefredaktør Alexandra Beverfjord og Aller Medias konsernsjef Dag Sørsdahl om det stemmer at journalistene kan bruke private Google-kontoer til pålogging til Labrador. Begge svarer at de av sikkerhetshensyn ikke ønsker å kommentere årsaker eller tiltak knyttet til saken.

Tofaktorautentisering

At brukernavn og passord alene ikke gir god nok sikkerhet for adgang til kritiske systemer er en retningslinje Nasjonal sikkerhetsmyndighet har hatt lenge. Tofaktorautentisering betyr at man i tillegg til brukernavn og passord må inn med en ekstra kode. Koden får man fra en kodebrikke, en kodeapp eller som tekstmelding.

Vis alle stillinger

– Det er forstemmende mange innbrudd som stammer fra noe så enkelt som passord. Spesielt til forretningskritiske systemer er det avgjørende med sterk autentisering. Tofaktor er ikke den eneste metoden, men den er både rimelig og utbredt, sier Tønnes Ingebrigtsen, grunnlegger og daglig leder i Mnemonic, et av Norges mest anerkjente sikkerhetsselskaper.

Men det er ikke nok å tilby sterk autentisering, den må gjøres obligatorisk.

– Generelt kan vi si at dersom man innfører en mekanisme som tofaktorautentisering, men ikke håndhever den for alle ansatte, vil ikke mekanismen oppfylle sin hensikt, sier Ingebrigtsen.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.