[Forrige artikkel] [Indeks] [Neste artikkel] [CW hjemmeside]

Universitetet i Oslo raser mot Norman Data

Universitetet i Oslo har anmeldt Norges mest kjente datasikkerhetsfirma, Norman Data Defense Systems, for innbruddsforsøk på fire av universitets datamaskiner. Økokrim mottok anmeldelsen denne uken.

Heidi Egede-Nissen

Universitetet i Oslo mener Norman Data Defense Systems (NDDS) forsøkte å bryte seg inn på universitetets systemer fredag 15. desember via Internett. En ansatt ved Universitetets Senter for Informasjonsteknologi (USIT) oppdaget det de betrakter som ulovlige oppkoblinger samme ettermiddag.

Påloggingene, som ble oppfattet som mistenkelige, ble raskt sporet tilbake til en maskin ved firmaet Norman Data Defense Systems.

-- Selskapet har forsøkt å bryte seg inn i våre systemer, uten å greie det. Vi oppfatter dette som klart ulovlig, og vi ser alvorlig på hendelsen. Universitetsledelsen har derfor gått til politianmeldelse av Norman Data Defense Systems, sier IT-direktør Arne Laukholm ved USIT.

Statsadvokat Sverre Lilleng i Økokrim bekrefter at saken er under etterforskning, men vil ikke gi noen ytterligere kommentarer.

Meldte fra

USIT kontaktet Norman Data Defense Systems straks sikkerhetsfolkene hadde sporet påloggingen. Ifølge Laukholm skal teknisk sjef Kenneth Walls i NDDS ha innrømmet at de sto bak, men at de ikke så noe galt i det som var gjort. Dette var noe de gjorde for å «teste sikkerheten rundt omkring».

Administrerende direktør Gunnel Berdal Wullstein i NDDS har også pr. telefaks bekreftet at de hadde forsøkt å logge seg inn på systemene til Universitetet i Oslo.

-- Men vi vurderer ikke hensikten. Dette var en uvennlig handling, som slett ikke kan godtas. Dette hadde vi ikke ventet oss fra et firma som vil oppfattes som seriøst, sier Laukholm.

Universitetet i Oslo har opplevd flere innbruddsforsøk, men aldri har det stått firmaer bak. Universitetsledelsen er overrasket over at et anerkjent selskap i databransjen gjør dette.

De påståtte innbruddsforsøkene er også meldt inn til Uninett sentralt, som har sendt saken videre til den internasjonale sikkerhetsorganisasjonen CERT. Også IT-ansvarlige ved de andre universitetene i Norge er kontaktet.

Brevbrudd

Laukholm medgir at hele saken har vært en realistisk øvelse som har vist at de interne sikkerhetssystemene og Uninett-samarbeidet fungerer.

-- Men dette betyr ikke at saken er grei. Hele saken har kostet oss 25-30 arbeidstimer, og jeg vil nødig at våre sikkerhetsfolk skal bruke tid på dette, sier Laukholm.

Han mener den såkalte brevbruddsparagrafen i Straffeloven, paragraf 145 annet ledd, er relevant for saken. Brevbruddsparagrafen har opprinnelse i forbudet mot å åpne andres brev. På 1980-tallet føyde man til et avsnitt som kan brukes hvis noen ved å bryte en beskyttelse skaffer seg adgang til data som er lagret eller som overføres elektronisk.

Denne paragrafen er blitt anvendt noen ganger i Norge, sist i en Høyesterettsdom. Man blir også rammet av denne paragrafen bare ved å titte på andres data. Strafferammen er fengsel i inntil seks måneder.

ULOVLIG: -- Norman Data Defense har prøvd seg på kjente sikkerhetshull som nylig er tettet. Dette er en alvorlig sak, sier Arne Laukholm, IT-direktør ved Universitetet i Oslo.

LOVLIG: Vi ville vise at det gikk an å logge seg på. Vi kom inn, men vi har ikke gjort noe ulovlig, mener Kenneth Walls, teknisk direktør i NSSD.

-- Det er ikke ulovlig

Ledelsen i Norman Data Defense Systems avviser beskyldningene. Selskapet har logget seg på som gjest, og mener det er fullt lovlig.

HEIDI EGEDE-NISSEN

-- Jeg er veldig overrasket over at Universitetet går til det skritt å anmelde oss. Vi har ikke gjor noe ulovlig. Vi har logget oss på som gjest og oppgitt vår egen e-post adresse som passord, sier Kenneth Walls, teknisk sjef i NDDS.

Hele saken har bakgrunn i et innslag på Dagsrevyen før jul. Meningen var å vise at Internettet kan være farlig hvis man ikke tar sin forholdregler.

-- Vi ville vise at det gikk an å logge seg på. Men vi bare så hva som lå der, vi tok ingenting. Vi mener dette kan sammenlignes med at en person legger fra seg visittkortet sitt i en rekke butikker og at noen går etter og leser disse visittkortene -- det vil si IP-adressene, sier Walls.

-- Men hva hvis vi sammenligner med innbrudd i et privat hus?

-- Hvis man kommer til en dør og døra er åpen, er det ikke ulovlig å stikke hodet inn og si hallo. Og døra til universitetet sto åpen, sier Walls.

Han mener universitetsledelsen reagerer så sterkt fordi universitetets navn ble nevnt i Dagsrevy-innslaget. Men Walls understreker at dette sto for journalistens regning. Det var tilfeldig at IP-adressene til universitetet dukket opp, sier han.

-- Hva ville dere bevise med dette?

-- Vi ville vise at Internett har en del ulemper også. Det er blant annet mulig at fra en web-side kan man få et program eksekvert inn i sin egen maskin, og få inn datavirus på denne måten, sier Walls.

NDDS har kjøpt seg inn i selskapet Internet Security Inc., som nettopp produserer brannmur-teknologi. Slik programvare sikrer at ubudne gjester ikke kan gå fra et selskaps web-server og derfra hente sensitive opplysninger fra andre områder av datasystemet.

                    Norman Data
* NDDS gjør god butikk på datasikkerhet og viruskontroll. Etter oppkjøpet av IBAS omsetter selskapet for rundt 60 millioner kroner.

* J. Arthur Olafsen og Kenneth Walls startet data-eventyret. Meglerselskapet Saga Securies har nylig verdsatt NDDS til 130-140 millioner kroner.

* Olafsen er fortsatt største aksjonær med 45,1 prosent. Den siste tiden har tunge finansinvestorer kjøpt seg inn. Mange tror en børslansering ikke er langt unna.

* Den daglige ledelsen er overtatt av Gunnel Berdal Wullstein.

[Forrige artikkel] [Indeks] [Neste artikkel] 

[Image map not available]
Artikkel automatisk generert, 04/01-96, kl. 18.09 cw@oslonett.no