Kommune-Norge står alene

Kommune-Norge står alene

Ingen vet hvor mange XP-maskiner som er i bruk i norske kommuner. Ingen ser på det som sin oppgave å hjelpe Kommune-Norge ut av knipa heller.

I påvente av Microsofts annonserte stopp i brukerstøtten til det fortsatt utbredte operativsystemet 8. april, talte avisa Aftenposten opp antallet offentlige XP-maskiner i månedsskiftet mars/april.

Svaret landet på i underkant av 25.000 maskiner, som videre ledet til offentlige utgifter på rundt 1.200 kroner per pc for utvidet support fra Microsoft – forutsatt at man var en "større bedriftskunde". De fleste statlige virksomhetene i oversikten oppga at de ville benytte dette tilbudet, tross prisen.

Men den delen av det offentlige It-Norge som ikke er med blant de 25.000 XP-maskinene i opptellingen, er Norges kommuner og fylkeskommuner.

- Den brutale sannheten er at det finnes ingen oversikt over dette per i dag. Kommuner og fylkeskommuner er autonome organisasjoner – de sitter med ansvaret selv, gjør egne ROS-analyser og vurderer dette best selv, sier Aleksander Øines i Kommit, KS' spydspiss for koordinering av it-satsingen i kommunesektoren.

Første zeroday på plass

Det er nå drøye tre uker siden det ble satt endelig sluttstrek fra Microsoft: Nye sårbarheter oppdaget for Windows XP blir definitivt ikke tettet for menigmann, og netteksponerte XP-maskiner må dermed leve med risikoen over at kjente sårbarheter lokker til seg nettskurker av ymse slag.

Og allerede er første alvorlige sårbarhet som aldri kommer til å bli patchet for vanlige XP-brukere ute: Sårbarheten, som har fått betegnelsen CVE 2014-1776, ble kjent mandag og retter seg mot Internet Explorer i alle versjoner fra 6 til 11. Den skal ifølge flere kilder allerede være aktivt utnyttet.

- Det er veldig illustrativt for problemet med manglende XP-migrasjon. I tillegg til at mange fagsystemer i kommunene er avhengig av XP, finnes det også haugevis av gamle legacy-applikasjoner som krever steinalderversjon av Explorer. Problemet blir doblet i styrke, og dilemmaet enkelt: "Ikke gjør jobben og få bedre sikkerhet – eller gjør jobben, men utsett deg for datavirus", sier it-sikkerhetsrådgiver Per Thorsheim i God Praksis.

Unntakene fra regelen

Kommunikasjonsdirektør Christine Korme i Microsoft Norge opplyser at softwaregiganten har jobbet med kunder og partnere helt siden datoen for sluttidspunktet av støtte til Windows XP ble offentliggjort i september 2007.

- Mange kunder har allerede fullført sin reise til et moderne OS, men noen store kunder med kompliserte Windows XP-miljøer kunne ikke fullføre sin migrering før 8. april. For å hjelpe kunder, tilbyr vi tilpasset støtte for Windows XP som en midlertidig, siste mulighet i migreringsprosessen til et moderne OS, der ny teknologi gir den optimale muligheten til å være og forbli sikker, sier Korme.

- Er en typisk norsk gjennomsnittskommune med 10.000 innbyggere innenfor denne kundekategorien?

- Tilbudet om midlertidig tilpasset støtte inntil migrering er fullført er et tilbud til alle kunder, uavhengig av størrelse, som har inngått en Premier Support-avtale med oss. Med andre ord: Utvidet support for XP kan kun tegnes av kunder som har Premier Support-avtale. Det er vanskelig å si noe generelt om størrelsen på disse kundene, behovet for utvidet støtte avhenger av hvor kritisk kunden vurderer sitt behov, sier hun.

Takler ikke 64-bits

Korme vil verken oppgi brukertall, pris på utvidet support eller andelen brukere fra kommunesektoren. Men hun oppgir at Norge relativt sett har lav andel av XP-brukere, delvis forklart ved at mange kunder i Norge har en avtale som gir dem rett til å oppgradere til nye versjoner av programvaren.

Det er også inntrykket hos Kommit og Aleksander Øines.

- Det vi vet om kommunene, er at de er forholdsvis godt representert hos Microsoft med tanke på lisenser som gir rett til å bruke siste versjoner. Utfordringene handler mer om arbeidet som må til for å få en gammel applikasjonsportefølje til å spille på en ny plattform. Ikke alle fagsystemer lar seg kjøre på de nyeste Windows-versjonene. Eksempelvis vil 64 bits-versjoner av Windows 7 få problemer med å gjøre eldre 32 bits-applikasjoner, sier Øines.

Han ser også andre hindringer for hurtig XP-migrasjon i Kommune-Norge.

- Fra brukerens perspektiv mangler man ofte gulroten i enden: Et bytte av operativsystem gir ikke økt funksjonalitet eller gjør eksisterende arbeidsprosesser enklere. Det å bytte blir, for sluttbruker, kosmetikk, sier Øines.

Ingen sentral drahjelp

Hvor mange enkeltkommuner som 1) er kvalifisert til og 2) kan betale for utvidet XP-support fra Microsoft, kan altså verken Kommit eller Microsoft svare på. Det som er sikkert, er at kommunene – og fylkeskommunene – ikke kan stole på sentrale initiativer for å assistere overgangen der dette er særlig komplisert.

- Vi har ikke noe aktivt og konkret XP-rettet på vår dagsorden. I forhold til Kommits arbeid ligger det ikke i vårt mandat å gå så konkret inn teknisk – det er kommunenes eget ansvar. Vi vil jo anbefale å gå videre fra XP, men det må være hensiktsmessig for dem, sier Øines.

Ansvar – også i krise

Hos Kommunal- og moderiseringsdepartementet (KMD) får vi noenlunde samme svar:

- KMD har ikke gjort noen spesifikk vurdering av denne situasjonen. Nasjonal strategi for informasjonssikkerhet fra 2012 trekker opp ansvaret for informasjonssikkerheten. Ikt-sikkerhet er først og fremst den enkelte virksomhets ansvar, sier statssekretær Jardar Jensen i KMD.

Han sier at dette følger av ansvarsprinsippet, som innebærer at den som har et ansvar for en virksomhet under normale forhold, også har et ansvar i en krisesituasjon.

- I praksis innebærer dette at ansvaret ligger hos eieren av virksomheten, uansett om denne befinner seg i privat eller offentlig sektor. Jeg vil oppfordre kommunene til å ta denne sikkerhetstrusselen på alvor, og prioritere en overgang til tryggere operativsystem enn XP i den grad dette fortsatt er utbredt, sier Jensen.

Også i Difi er ordlyden lignende fra Tone Bringedal, avdelingsdirektør for området digital forvaltning:

- Det finnes ingen sentral oversikt over hvilke operativsystemer ulike virksomheter benytter på ulikt utstyr i dag. Difi har heller ingen planer om å lage en slik oversikt. Å bistå kommuner i å migrere over til et nytt operativsystem ligger utenfor vårt mandat og oppgaver. Det er hver etats ansvar å gjøre egne sårbarhetsvurderinger og sikre at ikt-løsningene tilfredsstiller hver etats behov. Difi veileder derimot etater overordnet på hvordan de skal styre informasjonssikkerheten i virksomheten, sier Bringedal.

- Intet ansvar uten penger

Per Thorsheim mener fraværet av sentrale initiativ minner om problemet skissert allerede i Kåre Willochs sårbarhetsrapport fra 2000.

- Willoch-utvalget pekte på det som en sentral utfordring at det er vanskelig å finne noen på toppen som sier: "Dette er mitt ansvar". Grunnen til dét er at du da identifiserer deg som instansen man henvender seg til for å få hjelp – uten at du nødvendigvis har fått ekstra midlene til å gi denne hjelpen. Da risikerer man en hengemyr av kritikk som er håpløs å komme ut av. Om noen rekker opp hånden, er det derfor under forutsetningen "ta gjerne ansvar – men forvent ikke penger av den grunn". Det er lite trolig at vil skje, sier Thorsheim.

Han peker på at XP-migrering i de kompliserte tilfellene kan være både en kostbar og tidkrevende affære, som krever omfattende både kartlegging og testing.

- Enten det er i regi av KS, Difi eller noen andre: De vil ha, og må ha, penger til å gjøre jobben før de vil påta seg noe ansvar. Inntil da blir det en ansvarsdiskusjon man kan holde på med i all evighet. Faktum er at noen må betale for det, sier Thorsheim.

Offentlig XP-bruk

Aftenposten kartla i april XP-utbredelsen i en rekke offentlige virksomheter. Her er hovedfunnene:

* Helsesektoren: Drøyt 24.000 XP-maskiner i bruk fordelt på helseregionene Sør-Øst (15.000), Midt-Norge (7000), Helse Nord (1250) og Helse Vest (850).

* Politiet: Cirka 1500 XP-maskiner på lukket nett

* Bufdir (barnevernet), Nav, Skatteetaten og Universitetet i Oslo oppgir "noen få", på lukket nett eller offline.

* Alle departementene, Utlendingsdirektoratet, Utdanningsdirektoratet, Tolldirektoratet og Direktoratet for forvaltning og IKT (Difi) oppga at de hadde fullført migreringen fra XP fullstendig.

* Kommunesektoren/Fylkeskommunene:

– Ingen sentral oversikt over XP-bruken.

– Omfatter blant annet alle grunnskoler og videregående skoler, kommunale omsorgstjenester og et bredt spenn av innbyggertjenester.