Har snekkeren skylden?

Motstanderne fikk tilgang til vital informasjon og kunne legge opp strategien ut fra det. Men er det så enkelt? Og kunne det samme ha skjedd i Norge?

En 24-åring fra det svenske Folkpartiet fikk tilgang til brukernavn og passord til Sosialdemokraternas intranett, og dermed var den svenske "spionskandalen" et faktum. Dette ble en av hovedsakene i valgkampens innspurt i Sverige og avgående statsminister Göran Persson tillegger datainnbruddet avgjørende betydning for valgresultatet. Men er situasjonen så endimensjonal som Persson konkluderer med?

Det å bryte seg inn på noen andres intranett er like mye innbrudd som å bryte seg inn i noen andres hus. Ingenting av det jeg skriver skal frata 24-åringen fra Folkpartiet skylden: Han har fått lett tilgang til en nøkkel, men han har selv brukt den og invitert med seg mange andre inn. Dette er innbrudd, og bør straffes ut fra det.

Men hvor sikkert har egentlig Sosialdemokraterna håndtert informasjonen på intranettet sitt, hvis noe så elementært som at et passord på avveie er alt som skal til for at avgjørende informasjon spres? Det finnes et utall måter et passord kan kompromitteres på: Pc-er stjeles, passord kan tappes via åpne trådløse nettverk, brukere har for enkle passord, eller rett og slett ved at en ubetenksom bruker oppgir brukernavn og passord på en annen pc - noe som visstnok skjedde i dette tilfellet.

Må begrense tilgangen

Et avansert passordsystem vil alene aldri gi full beskyttelse. For å øke sikkerheten bør man vurdere å begrense brukernes tilgang. Er det riktig at en middels partisekretær kan få tilgang til statsrådenes planer, eller burde Sosialdemokraterna definert noen nivåer for hvem som skal vite hva i partiet? Er ikke engang det sikkert nok, bør man vurdere å kryptere informasjonen eller ha et lukket intranett. Uansett burde det vært en viss overvåking av løsningen, slik at ikke samme bruker kunne logget seg på et utall ganger, fra ulike steder i landet på én kveld.

Alf Prøysen skrev visen om lørdagsfriern, som forsøkte å forføre den villige datteren i huset. Forsøket gikk som vi husker galt da friern tråkket gjennom et råttent bord i stigen og ble jaget bort av den strenge fader, og dermed gikk alle til grunne på hver sin måte. Prøysen fordelte litt skyld til alle, men han la største skylden på snekkern som hadde laget stigen av råtne bord.

Burde ikke Sosialdemokraterna på samme måte legge den største skylden på sine egne utviklere av intranettet? Hvis så viktig informasjon var så lett tilgjengelig for omverdenen, bør partiet endre sine rutiner for datasikring. Sosialdemokraterna bør også stille noen ubehagelige spørsmål til leverandøren av nett-tjenestene. En god it-leverandør bør påpeke en så stor sikkerhetsrisiko. Dermed kan vi si at snekkern har litt skyld i dette tilfellet også.

En slik dataskandale kunne utmerket godt ha skjedd også i Norge. Jeg er hundre prosent sikker på at det har forekommet innbrudd på intranett her også. Svært mange bedrifter, og nok også offentlige etater, tar for lett på datasikkerhet, og it-leverandørene har ikke vært flinke nok til å påpeke mangler. Vi er svært opptatt av mobilitet og tilgjengelighet, og vi vil gjerne strekke oss langt for å gjøre all informasjon tilgjengelig.

I dag har vi gode sikrings- og overvåkingssystemer og hvis et slikt innbrudd skjer i et norsk politisk parti, en etat eller bedrift i fremtiden - vil det etter min mening være for enkelt å alene skylde på innbryteren.

Jeg håper den påståtte innbruddstyven får sin straff som fortjent, men jeg håper også oppgjøret avdekker sikkerhetsbristene i systemet. La oss håpe at avslutningen av den svenske spionskandalen gir oss erfaringer som fører til et mer realistisk syn på behovet for datasikring også i Norge.

Kaare Finbak, direktør HP Services