Torsdag kunne DN fortelle at Norges Handelshøyskole er rammet av et it-angrep, der angriperne utnyttet en sikkerhetsbrist som har vært kjent siden april i fjor.

Handelshøyskolen fikk vite om angrepet sent onsdag kveld, og omfanget er foreløpig uklart. Systemet der sikkerhetsbristen oppsto heter Pulse Secure og er en såkalt VPN-tjeneste. Denne skulle fases ut ved NHH og det er trolig i forbindelse med dette at svikten har oppstått, forklarte skolen.

Ifølge den amerikanske it-avisen ZDnet ble det publisert en liste over omtrent 900 brukere sammen med ukrypterte passord tirsdag. Listen ble publisert på et forum der informasjon som dette omsettes kommersielt, og forskjellige it-kriminelle opptrer.

Norges Handelshøyskole i Bergen.
Norges Handelshøyskole i Bergen. (Foto: Paul S. Amundsen)

Syv norske virksomheter

DN har fått tilgang på listen, og identifisert seks norske virksomheter utover NHH. Flere av dem driver selv innen it.

Det gjør imidlertid ikke Hamar Olympiske Anlegg (HOA) as som drifter Vikingskipet.

– Det er en kjedelig sak. Vi fikk beskjed om dette i går, og kalte inn Evry som håndterer sikkerhet for oss. De var her med et team i går kveld og har håndtert saken siden da, sier daglig leder Viggo Sundmoen.

VPN-tjenester som dem Pulse Secure tilbyr, tillater brukerne å koble seg på et nettverk eksternt – for eksempel hvis man skal jobbe hjemmefra.

– Vi har ikke så mange ansatte i utgangspunktet, så jeg vil anslå at to-tre stykker har brukt systemet til hjemmekontor, sier Sundmoen.

Det er foreløpig ikke klart hvorfor programvaren ikke er oppdatert, men det blir en av tingene HOA skal finne ut av.

Vikingskipet på Hamar.
Vikingskipet på Hamar. (Foto: Hamar Olympiske Anlegg as)

– Sjeldent gode unnskyldninger

I en uttalelse sendt til DN sier Pulse Secure at de har forsøkt å få sine kunder til å installere denne med eposter, telefon og notifikasjoner i programvaren.

It- og sikkerhetsekspert Per Thorsheim.
It- og sikkerhetsekspert Per Thorsheim. (Foto: Marte Christensen)

Virksomhetene som nå er kompromitterte burde lyttet, mener it-ekspert Per Thorsheim som til daglig jobber som sikkerhetssjef i hotellkjeden Nordic Choice.

– Ikke bare er denne oppdateringen over et år gammel, den er også tydelig merket som viktig, sier han.

Thorsheim viser til oppdateringens såkalte CVSS-score (Common Vulnerability Scoring System) som anslår viktighetsgraden av oppdateringen på en skala fra én til ti.

– Dette er en rent teknisk vurdering om hvor kritisk oppdateringen er, og denne er flagget med ti blank, sier han.

Da Pulse Secure rullet ut den kritiske oppdateringen i fjor ba de sine brukere installere den så raskt som overhodet mulig.

– Så kan man spørre seg: Hva er en fornuftig tidsramme? Fra tidligere erfaring vet jeg at en slik oppdatering kan gjennomføres i løpet av syv dager hvis den vurderes tilstrekkelig kritisk, men da skal alt være på plass. Det er ikke uvanlig at det tar lengre tid, så hvis denne oppdateringen hadde kommet i april i år ville jeg hatt den største forståelse for at mange ikke har installert den ennå, sier Thorsheim.

Men:

– Man har sjeldent gode unnskyldninger når man bruker mer enn et år på å tette et kritisk sikkerhetshull.

Sendte frekk epost

En mindre it-bedrift på Vestlandet er også blant dem som er rammet. Deres tekniske sjef sier de har solgt kundene sine VPN-tjenester med Pulse Secure, og at kun en håndfull har brukt dem siden angrepet skjedde – ettersom det var i ferd med å fases ut.

– Det er snakk om et ganske unnselig produkt, en fysisk boks vi knapt bruker lenger, så vi har vel bare glemt det. Med Microsoft-produkter er det for eksempel masse bugs, så vi må passe på hele tiden, men dette er et stort sikkerhetsselskap så vi har ikke hatt like mye fokus på det. Det er vel flere faktorer som gjør at vi ikke har oppdatert systemet. Vi hadde faktisk en ambisjon om å kvitte oss med det før sommerferien, men det rakk vi ikke, sier vedkommende som bedyrer at Pulse Secures VPN-server nå skal rett ut.

Det er ellers uklart hvilke konsekvenser dataangrepet har fått for de til sammen 900 virksomhetene som er rammet.

Hackerne skal imidlertid ha sendt en hoverende epost fra en NHH-ansatts epostkonto da angrepet ble kjent. Eposten er på engelsk og åpner med en påstand om at skolen har «fucked up», og er signert «uhodiransomwar». Ifølge nettstedet Digi som sto på kopi på eposten kobles brukernavnet til russiske hackere.

Allerede for sent

Hvis du eller din bedrift dukker opp på en liste som er offentliggjort, er det allerede for sent, mener Martin Lee. Han er teknisk sjef i Talos, som er it-giganten Ciscos sikkerhetsorganisasjon og blant verdens største på sitt felt.

– Da er du allerede det vi kaller «post compromise», og du må begynne å håndtere situasjonen, sier han til DN.

– Du må ha en tydelig bevissthet om at et angrep allerede kan ha skjedd, eller er pågående. Du må vite hva du har av verdi, og hvordan du kan beskytte det best mulig nå som systemet er kompromittert, sier Lee.

Talos-sjefen peker ut en håndfull sentrale grep en kan ta:

  • Oppdater systemet.
  • Kan du av en eller annen grunn ikke oppdatere, sørg for at du har en brannmur som beskytter sikkerhetshullet.
  • Ha såkalt tofaktorautentisering – et passord alene er ikke særlig trygt.
  • Vit hva du har av interesse for kriminelle og hva du skal beskytte.
  • Som ved en brann bør du vite hvem du skal ringe for å få hjelp.

– Alle bør gjøre den øvelsen uansett, men hvis du er på en sånn liste bør du bruke anledningen til å ta noen grunnleggende grep for å bedre sikkerheten, sier han.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.