SIKKERHET

Ruter vil ikke svare om bruk av eldgamle datasystemer

Infoskjerm har ikke fått sikkerhetsoppdateringer på mange år.

Den rundt ti år gamle Debian-versjonen Lenny/Sid kjøres på i alle fall noen av Ruters informasjonsskjermer.
Den rundt ti år gamle Debian-versjonen Lenny/Sid kjøres på i alle fall noen av Ruters informasjonsskjermer. Foto: Petter Reinholdtsen (<a href="https://creativecommons.org/licenses/by/4.0/">CC BY 4.0</a>)
16. mars 2018 - 11:29

I begynnelsen av mars oppdaget Petter Reinholdtsen at en informasjonsskjerm på Nydalen t-basestasjon i Oslo var i ferd med å starte på nytt. Som den GNU/Linux-entusiasten han er, ble han positivt overrasket over at skjermen bruker Debian, en tradisjonsrik GNU/Linux-distribusjon. 

Reinholdtsen rakk å ta et bilde av at skjermen og oppstarten av operativsystemet hadde stanset på grunn av et korrupt filsystem. Slik kan skje. 

Debian fra forrige tiår

Det var likevel en annen oppdagelse han gjorde, som førte til at Reinholdtsen først skrev et blogginnlegg og deretter tipset digi.no om det hele. På skjermen ble det nemlig opplyst at Debian-versjonen som informasjonsskjermen benytter, kalt «lenny/sid», ble utgitt for omtrent ti år siden. Det skal ikke ha blitt utgitt sikkerhetsoppdateringer til denne versjonen av Debian på mange år. 

Leste du denne? Ruter innfører ladestasjon til mobil på buss, trikk og bane

Vil ikke gå i detalj

I den forbindelse sendte digi.no en rekke spørsmål til Ruter om disse systemene, den eventuelle risikoen for hacking og planer for utskifting. Dette er svaret vi fikk fra Sofie Bruun, pressevakt i Ruter:

«Vi har en rekke ulike systemer i vår virksomhet. IT-sikkerhet er svært viktig for oss, og derfor satser vi mye på å sikre de ulike systemene. Vi gjennomfører kontinuerlig risikoanalyser og har planer for utfasing av gamle systemer.

Sikringstiltakene våre er implementert etter råd fra sikkerhetsekspertise utenfra fra kompetente miljøer.

Nettopp av sikkerhetsmessige årsaker ønsker vi heller ikke å gå detalj på de ulike systemene og tiltak.»

Reinholdtsen har fått lese dette svaret.

Petter Reinholdtsen, her ved en tidligere anledning. <i>Bilde: Harald Brombach</i>
Petter Reinholdtsen, her ved en tidligere anledning. Bilde: Harald Brombach

– Heh, dette var jammen godt svart av Ruter. Et intetsigende svar uten noe konkret informasjon å kritisere, var hans kommentar til dette.

Reinholdtsen stilte likevel spørsmål ved om Ruter virkelig har blitt rådet til å beholde så gamle IT-systemer, samt om hvor god oversikt de har over utstyret sitt. Så sent som i går ettermiddag var den aktuelle skjermen fortsatt ute av drift.

Innsynsbegjæring

Dette fikk Reinholdtsen til å be om innsyn i anbudet og kontrakten knyttet til disse informasjonsskjermene. Nå har svaret kommet, inkludert en registreringsprotokoll og en ikke-utfylt utgave en standardisert vedlikeholdsavtale ved IT-anskaffelser.

Samtlige vedlegg til kontrakten er derimot unntatt offentlighet. Begrunnelsen er delvis konkurransemessige forhold og delvis at innsyn i detaljene – i alle fall om de tekniske spesifikasjonene – potensielt kan gjøre det lettere å gjennomføre straffbare handlinger.

Reinholdtsen har i dag klaget på det manglende innsynet. Han stiller blant annet spørsmål ved hvordan opplysninger fra 2007 fortsatt kan være av konkurransemessig betydning.

Windows 2000

Dette er ikke første gang Reinholdtsen har oppdaget at Ruter benytter antikvariske systemer. I 2016 skrev digi.no at han hadde oppdaget billettautomater i Oslo fortsatt brukte Windows 2000 Professional. Da var det omtrent seks år siden Microsoft sluttet å utgi sikkerhetsoppdateringer til dette operativsystemet. 

Fra arkivet: Fritt frem for snikerne

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.