Du kan bla til neste sideBla med piltastene

Et halvår før Amedia ble angrepet, advarte Microsoft om sikkerhetshull i programvare for printere:

Sikkerhetshull var kjent

SKJULT BAKMANN: I går var det fortsatt ikke kjent hvem som står bak dataangrepet på Amedia som førte til full stans for de 78 papiravisene mediekonsernet eier. Men sikkerhetshullet hackerne slapp gjennom, kan være et som har vært kjent siden i sommer. FOTO: MONICA LARSEN VEGSTEIN

It-eksperter kritiserer Amedia for å ha sluppet hackere gjennom en kjent sårbarhet i Windows.

– Det er rimelig å anta at Amedia ikke har hatt gode nok rutiner eller kompetanse internt til å vurdere de faktiske truslene som ligger der ute, og som har vært kjente, sier it-ekspert Kai Roer, forskningsleder for det amerikanske it-sikkerhetskonsernet Knowbe4.

Natt til tirsdag ble Amedias systemer angrepet av private hackere. De hadde kommet seg inn gjennom et sikkerhetshull før jul og krever nå løsepenger for å gi Amedia tilbake kontroll over systemene.

Dermed kom ingen Amedia-aviser ut onsdag, og bare 13 ble utgitt på papir i går.

«Det er en kjent sårbarhet på Windows som handler om programvare for å håndtere printere, og det er gjennom den angrepet har gått», uttalte Pål Nedregotten, konserndirektør for teknologi i Amedia, på spørsmål fra VG på en pressekonferanse onsdag.

Nå mener it-eksperter Klassekampen har snakket med, at Amedia kunne ha avverget angrepet.

Allerede i sommer ble det nemlig avdekket alvorlige sikkerhetshull i operativsystemet Windows, som flere bruker. Microsoft advarte selv om at hackere kunne få tilgang til virksomheters datasystemer via et sikkerhetshull i programvaren for printere.

Kjent marerittscenario

Programfeilen var så kritisk og skadepotensialet så stort at fenomenet fikk sitt eget kallenavn i det internasjonale it-miljøet: «Printnightmare».

Basert på det vi veit så langt om Amedia-angrepet, er Kai Roer, som har 25 års erfaring med cybersikkerhet, kritisk til konsernets håndtering.

– Det kan virke som de heller ikke har hatt gode nok prosesser til å oppdage og håndtere kjente sårbarheter som Printnightmare representerer, sier Roer.

Uka etter at Printnightmare blei oppdaget, lanserte Microsoft den første sikkerhetsoppdateringen. Den siste og mest fullstendige sikkerhetsoppdateringen ble sendt ut 21. desember i år.

Ifølge teknologinettstedet Neowin inneholdt den siste oppdateringen en viktig beskyttelse mot slike angrep som Amedia er blitt offer for.

– Angrep på demokratiet

Selv om de ansvarlige bak hackerangrepet har krevd løsepenger, mener Roer at det ikke er usannsynlig at aktørene bak har andre motivasjoner.

I dag er det ikke uvanlig at frittstående hackergrupper inngår samarbeidsavtaler med fremmede lands etterretningstjenester, noe man blant annet har sett eksempler på i Øst-Europa og i Russland.

– Et angrep på pressa er også et angrep på demokratiet i Norge, noe som er et mye større problem enn at Amedia ikke klarer å komme ut med papiraviser på noen dager, sier Roer.

– Det kan virke som om Amedia ikke har tatt helt inn over seg den viktige rollen det har som formidler av riktig og god informasjon til befolkningen, i og med at de ikke har klart å tette igjen et allerede kjent sikkerhetsproblem som dette.

Sier det kunne blitt unngått

Stig Ole Johnsen, seniorforsker ved Software Engineering, Safety and Security ved Sintef, mener det er stor sannsynlighet for at angrepet kunne vært unngått.

– Dette er en trussel som er i samfunnet. Det er viktig å sørge for å bygge beskyttelse mot slike angrep – både ved å kunne avvise virusene og ved å ha gode backupløsninger, sier Johnsen.

Det handler om å ha siste versjoner av programvarene og sikkerhetsopplæring av ansatte.

– Det er ingenting som er så enkelt som å være etterpåklok. Men jeg regner med at det finnes en patch for den sårbarheten som kunne ha ivaretatt sikkerheten, sier Johnsen.

Mediebransjen har et særlig ansvar for dette, mener han.

– Mediebransjen er en viktig aktør. I en såpass stor mediebedrift bør det være gode rutiner for dette. Det er viktig å ha gode backupløsninger, at man ikke legger alle eggene i samme kurv. Hva om det var en nordkoreansk aktør som testet nettverket i mediebransjen? Det er viktig at man har robuste løsninger for det som er samfunnskritisk infrastruktur, sier han.

– Det virker ikke som om backupløsningene har vært testet. Jeg har jobbet med dette, og det viktigste man gjør, er å trene på at det du frykter, virker, sier Johnsen.

– For et av landets største mediekonsern, er dette holdbart?

– Det finner de fort ut selv. Når man ikke får ut nyheter, er det fort ikke godt nok, sier Johnsen og oppfordrer mediehusene til å ta lærdom av det som nå har skjedd.

Amedia avviser kritikken

Stig Finslo i Amedia sier at de har jobbet svært grundig om omfattende med sikkerhet i flere år, både med eksterne og interne ressurser. Blant annet ansatte de en egen sikkerhetssjef i høst.

– Men noe har skjedd, og det holder vi på med å analysere hvordan var mulig. Det må vi komme tilbake til når vi vet mer, sier Finslo.

– Kan dere avkrefte at det er snakk om «printnightmare»?

– Vi vil ikke kommentere dette ytterligere, fordi det inngår i arbeidet vi gjør i samarbeid med politiet.

– Har dere oppdatert programvarene kontinuerlig i henhold til Microsofts råd?

– Vi analyserer situasjonen og alle forhold rundt dette. Vi kommer tilbake med informasjon om slike forhold når det arbeidet er fullført, sier Finslo.

– Nå har produksjonen vært nede eller redusert i flere døgn. Har backupløsningene deres vært gode nok?

– Dette handler om forholdene mellom produksjon mot trykkeriene og overføring av data. Der er det forskjellige løsninger. Det ene er å benytte et eksisterende rigg, den andre er å etablere noe helt nytt. Vi jobber med å finne de beste løsningene på det.

Til kritikken fra Kai Roer svarer Finslo:

– Det virker som om Roer mener at det å bli utsatt for et angrep er ensbetydende med at Amedia ikke har hatt forståelse for vår rolle som kritisk samfunnsfunksjon. Det er feil. Det er ikke noe en-til-en-forhold der. Vi er vår rolle svært bevisst. Det som er skjedd, er skjedd til tross for dette.

– Spørsmålet er om avisene kunne kommet ut raskere om backupløsningene var bedre – om dere var beredt på et angrep?

– Vi er opptatt av å kjøre opp igjen våre systemer så raskt som mulig, men dette er tidkrevende fordi det er nødvendig å sikre seg at det ikke er risiko for at en oppstart av en annen løsning vil kunne utløse en lignende episode som det som skjedde natt til tirsdag.

Git: master, Build env: production, running in production mode, Sanity: production