Fikk millioner til å skifte ut e-postløsning «så raskt som mulig». Så ble departementene hacket.
I juni i fjor var beskjeden klar: Bytt ut datasystemet så raskt som mulig. Det gikk ikke raskt nok.
Kortversjonen
- Utenlandske hackere har hatt tilgang til datasystemet som 12 norske departementer bruker.
- Departementenes sikkerhets- og serviceorganisasjon (DSS) fikk midler for å skifte ut programmet, men rakk det ikke før det ble hacket.
- Nå bruker departementene en midlertidig skytjeneste for e-post. Nasjonal sikkerhetsmyndighet (NSM) anbefaler at de mest samfunnskritiske funksjonene bruker datasentre i Norge.
Sammendraget er laget ved hjelp av kunstig intelligens (KI) og kvalitetssikret av Aftenpostens journalister.
I sommer ble det kjent at utenlandske aktører over tid har hatt tilgang til datasystemet som 12 norske departementer bruker. Resultatet kan være at ansatte i departementene, deres kontakter, e-post og kalender kan ha vært sporet over tid.
Men over et år før hackingen var kjent, hadde Departementenes sikkerhets- og serviceorganisasjon (DSS) fått penger til å bytte ut løsningen for å synkronisere e-post.
Det var en sårbarhet i denne løsningen hackerne utnyttet.
13,2 millioner til rask utskifting
I forkant av revidert nasjonalbudsjett våren 2022, hadde DSS spilt inn et behov for å skifte ut løsningen.
Det endte med at DSS fikk 13,2 millioner ekstra. Kommunal- og distriktsdepartementet (KDD) ba DSS få på plass ny løsning så raskt som mulig.
«DSS skal etablere VMware-løsningen så raskt som mulig,» skrev KDD.
Departementet ba om en plan for utskifting innen 19. august 2022.
Men så tok det tid.
Annen e-postløsning ville hindret hacking
Først fire måneder senere, 15. desember, besvarte DSS oppdraget fra KDD.
– Det var tekniske utfordringer som bidro til at arbeidet tok litt ekstra tid, skriver Espen Evensen, pressesjef i DSS, til Aftenposten.
17. april, etter nye møter, bekreftet KDD hvilken ny e-postløsning DSS skulle gå for.
Det viser dokumenter Aftenposten har fått innsyn i. Da var hackerne trolig allerede inne i systemene. Der fikk de holde på over noen måneder.
Ifølge DSS var ikke oppdraget med å bytte ut e-postløsningen knyttet til sårbarheten som ble kjent i sommer. Men en annen løsning ville gjort at hackerne ikke kunne kommet inn slik de gjorde.
– Hadde vi benyttet en annen løsning, ville vi ikke vært eksponert for nulldagssårbarhetennulldagssårbarhetenEn sårbarhet i en programvare som produsenten ikke er klar over før et angrep skjer. som vi, sammen med vår underleverandør, oppdaget, opplyser Evensen.
Bruker midlertidig løsning
Nå er de norske departementene over på en midlertidig løsning for e-post: Microsoft Exchange Online.
Nasjonal sikkerhetsmyndighet (NSM) anbefaler at de mest samfunnskritiske funksjonene benytter datasentre i Norge. Men NSM ønsker ikke å kommentere om det er noen risiko ved departementenes bruk av Microsoft-tjenester.
Seksjonssjef i NSM, Harald Ness, sier det på generelt basis kan være nødvendig å gjøre tiltak raskt når systemer for eksempel blir hacket.
– NSM oppfatter at den valgte løsningen er midlertidig, og at man i en periode velger å benytte en av de ledende aktørene innenfor sikkerhet, både når det gjelder sikring av datasenter og IKT-sikkerhet generelt, skriver Ness i en e-post til Aftenposten.
– Er det i henhold til sikkerhetslovverket?
– Sikkerhetsloven sier ikke noe spesielt om skytjenester. Det er opp til den enkelte eier av et IKT-system å vurdere om løsningen tilfredsstiller de funksjonelle krav som kan utledes av sikkerhetsloven. Den midlertidige løsningen er begrenset til å omfatte e-post, skriver Ness.
I den første versjonen av artikkelen sto det at bruk av Microsoft Exchange Onlinet betyr at man benytter skytjenester i utlandet. Denne opplysningen er fjernet.
Det sto også at DSS hadde fått penger til å bytte ut Endpoint Manager Mobile. Den riktige ordlyden i brevet er at DSS fikk penger til å bytte ut løsningen for å synkronisere e-post.
Endret 16. september kl. 08.20.