Publisert 6. april 2018 kl. 09:50
Ifølge Dagbladet har over 5000 e-poster mellom eksterne institusjoner, forskere, studenter og ansatte vært lett tilgjengelig via søkemotoren Google. Mange av dem inneholder personopplysninger, vedlegg og ukryptert informasjon.
Over 500 av e-postene stammer fra et biometri-prosjekt som ligger under det nasjonale senteret for forskning og utdanning innen cyber- og informasjonssikkerhet, CCIS ved NTNU i Gjøvik.
– Dette er en gullgruve for dem som vil samle informasjon for å drive målrettede angrep, som nettfisking med epost for å skaffe informasjon, sier Audun Jøsang ved Universitetet i Oslo til avisa.
Han er professor i informasjonssikkerhet og er involvert i prosjektet. Hans e-poster er blant de mange som har ligget ute tilgjengelig på nett.
Dagbladet har snakket med flere involverte som er bekymret for at en akademisk institusjon som samarbeider tett med sikkerhetstjenester og selskaper som beskytter kritisk infrastruktur i Norge, lar slik informasjon ligge åpent på en server.
Prosjektet har mottatt 23 millioner kroner i offentlige støtte fra Forskningsrådet, og har som mål å utvikle framtidas identifisering av mennesker for adgangskontroll, betalingsløsninger og på grensepasseringer.
Flere av listene på serveren som er knyttet til cybersikkerhet har arkiver som er passordbeskyttet. Biometri-prosjektet var ikke beskyttet slik.
Biometri-prosjektet var ikke passordbeskyttet. Seksjonsleder for digital sikkerhet, Stian Husemoen sier det er usikkert hvor godt dette er kommunisert til de involverte. Foto: Øystein Nordås
Seksjonsleder for digital sikkerhet på NTNU i Gjøvik, Stian Husemoen sier det er usikkert hvor godt dette er blitt kommunisert internt og eksternt.
– Dette en gammel tjeneste under utfasing fra den tidligere Høgskolen i Gjøvik, som i utgangspunktet er ment å være åpen. Og der den enkelte som administrerer listene selv kan velge å sette den lukket eller åpen, sier han til Dagbladet.
– Vi har ikke så langt funnet meldinger som kan kvalifisere som direkte sensitive, selv om flere absolutt fremstår som «interne».
Det var sikkerhetseksperter ved SecurityLab på Universitetet i Oslo som reagerte på de mange søkbare e-postene og varslet NTNU Gjøvik onsdag denne uka. Etter en samtale mellom Husemoen og prosjektlederen på NTNU samme kveld, ble e-postlista stengt.
Husemoen mener beskrivelsene fra professor Jøsang er feil.
– Det er selvfølgelig teoretiske muligheter for at informasjonen kan brukes slik, men det er ikke nødvendigvis noen større trussel enn informasjon man kan samle fra sosiale medier eller åpne websider ellers, sier han til avisa.
Men Jøsang mener dette kan være brudd på datasikkerheten.
– Alt dette materialet burde være konfidensielt. Noe forskning er mer sensitiv enn annen. At noe i det hele tatt ligger ute medfører et brudd på datasikkerheten.
