Myndighetene anbefalte alle å deaktivere Java i nettleseren, etter avsløringene av nye alvorlige sikkerhetshull.
Men dette rådet fulgte ikke Departementenes servicesenter (DSS), etaten som skal sørge for at landets ledelse har sikre IT-systemer.
Stikk i strid med klare anbefalinger fra Nasjonal sikkerhetsmyndighet (NSM) og Norsk senter fra informasjonssikring (NorSIS), skrudde de aldri av Java-støtten i regjeringskvartalet.
– DSS har etter en vurdering valgt ikke å deaktivere Java, erkjenner kommunikasjonsansvarlig Margot Vågdal når digi.no spør om dette.
Hun bekrefter at de har anledning til å deaktivere Java på maskinene som er tilknyttet deres plattform. DSS har ansvaret for all IT-drift for 13 departementer og anslagsvis 4.000 ansatte i regjeringskvartalet.
Men de valgte altså annerledes. – Programvaren ble oppdatert etter at rettelse forelå fra leverandør, sier Vågdal.
Egenrådig
På spørsmål om hvilke andre sikringstiltak de har gjort i anledning den tilsynelatende endeløse strømmen av nye Java-sårbarheter som dukker opp, er svaret at DSS «har systemer som gjør det mulig å oppdage ulike sikkerhetstrusler».
- Vi har også en egen sikkerhetsgruppe som daglig vurderer og følger opp trusler, sier kommunikasjonssjef Margot Vågdal.
– Forvirrende
Kjell Jørgen Hole er informatikkprofessor og lærer bort datasikkerhet ved Universitetet i Bergen. Han vet ikke helt hva han skal tro om departementenes valg.
– Jeg kjenner ikke til vurderingene som ligger bak, men at myndighetene ikke er enige med seg selv sender et forvirrende signal, sier Hole til digi.no.
Professoren kaller Java «en sveitserost som Oracle driver og lapper på». Derfor tror han også at det vil bli oppdaget flere sårbarheter i programvaren.
Eget ansvar
– DSS må gjøre sine egne vurderinger. Det er virksomhetene selv som er ansvarlig for datasikkerheten, sier informasjonssjef Kjetil Berg Veire i NSM.
For etaten med anbefalingene som ikke blir fulgt, ei heller av folk flest, har ikke selv noen myndighet til å komme med pålegg, med mindre det dreier seg om systemer underlagt sikkerhetsloven.
– Vårt råd er å oppdatere, og så står norske virksomheter fritt til å vurdere hvordan de forholder seg til det. Men det er uheldig om norske virksomheter ikke er raskt ute med å installere sikkerhetsoppdateringer, spesielt når du tenker på at veldig mye av kriminaliteten som foregår på nett bryter seg inn i maskiner via programmer som ikke er oppdatert, sier Veire til digi.no.
Det soleklare rådet fra NSM nå er å oppdatere all programvare så fort oppdateringer er tilgjengelig.
– Det gjelder også Java. I tillegg må du gjerne ha Java deaktivert dersom du ikke trenger det. Da er du i hvert fall enda litt sikrere, sier Veire.
digi.no har stilt flere spørsmål til Departementenes servicesenter og deres overordnede i Fornyings-, administrasjons- og kirkedepartementet (FAD). Saken kan bli oppdatert.
- Hva er poenget med at NSM utsteder advarsler og anbefalinger om å unngå usikker programvare, når selv ikke landets ledelse følger de samme rådene?
- Det er DSS som håndterer denne typen hendelser og foretar sine vurderinger uten at departementet er involvert i det, svarer Frode Jacobsen, kommunikasjonsjef i FAD.
Les også:
- [31.01.2013] Tror sårbar Java er trygg
- [17.01.2013] Nye Java-angrep i vente
- [14.01.2013] Java-nødfiks til å gråte av
- [21.09.2012] 3 av 4 har ikke oppdatert Java