Krypterer ikke sensitiv informasjon
I åtte år har navn, lån og bestillinger blitt sendt ubeskyttet fra over 100 biblioteker i hele Norge. Datatilsynet vurderer å opprette sak.
I forrige uke skrev Universitas at bibliotekssøk gjort på landets universitets- og høyskolebibliotekers lånesystem Oria [sendes ukryptert ut av landet](1) (se faktaboks). Nå har det kommet frem at navn, lån, bestillinger og adresse heller ikke er kryptert når det sendes i Norge.
Problemet begrenser seg ikke til landets universitets- og høyskolebiblioteker. Det dreier seg også om Stortingsbiblioteket, Forsvarets forskningsinstitutt og Norges Bank. Listen over kunder med ukrypterte navn og lån er omfattende og teller over 100 biblioteker i Norge. Låne- og lesevanene til svært mange nordmenn er ubeskyttet.
Grunnene til å overvåke hva man leser, låner og bestiller er mange. Dersom man ønsker innsikt i hva noen i Norges Bank eller i Forsvarets forskningsinstitutt arbeider med, er det naturlig å undersøke hva personer i nøkkelposisjon har lånt og bestilt av litteratur.
Vurderer å opprette sak
– Det kan være enkelt å få tilgang på ubeskyttet informasjon av denne typen, forteller Atles Årnes fagdirektør i teknologi i Datatilsynet.
Han forklarer at den enkleste måten å skaffe informasjonen på er å være på samme wifi-nett som den man ønsker å overvåke. Da kan man enkelt snappe opp informasjon om hva som lånes, bestilles og hvem som gjør det. Å stjele dataene fra et annet nettverk er mer komplisert, men ikke umulig.
Årnes forteller at det er en fare for at informasjonen kan misbrukes. Fagdirektøren mener Bibsys burde opplyst brukerne sine om hva slags informasjon som er ubeskyttet. Han legger til at det er helt åpenbart at slik informasjon skal krypteres.
– Vi vil ta stilling til om vi skal opprette sak mot Bibsys på et senere tidspunkt, sier Årnes.
– Norske bedrifter og interesser utsettes daglig for målrettet overvåkning og forsøkte datatyveri
Einar Stangvik, IT-ekspert
Utenlandske studenter utsatt
Med ukryptert informasjon som navn, bestillinger, adresser og lån utsettes Bibsys’ brukere for risiko. Særlig utenlandske forskere og studenter skal være utsatt.
– Det er viktig å ta med i betraktningen utenlandske forskere som jobber i Norge. Disse kan potensielt utsettes for politisk press, basert på informasjonsinnsamling som de gjør, og tvinges til å overlevere annen informasjon aktøren ønsker seg, forteller IT-ekspert Einar Stangvik.
Stangvik har tidligere uttalt til Universitas at både etterretningstjeneste i andre land og bedrifter kan ønske tilgang til hva spesifikke forskere låner og bestiller av litteratur. For aktører som dette er alt fra norsk midtøstenforskning til oljeforskning attraktivt å få innsikt i.
– Fare for bedriftspionasje
Med tilgang på store deler av søk som gjøres på norske biblioteker og hvem som har lånt hva, kan man finne ut hva som forskes på i Norge. Denne informasjonen blant annet nyttig for industrispioner.
– Hvis man forsker på ny teknologi kan informasjonen som bibliotekene sender ut av landet være siste biten i puslespillet som en konkurrent trenger for bedriftsspionasje, sier førsteamanuensis ved Institutt for Informatikk (IFI), Maja Van Der Velden.
Hun mener at informasjonen kan gjøre det rimelig enkelt for bedrifter å stjele forskning fra norske forskere.
– Norske bedrifter og interesser utsettes daglig for målrettet overvåkning og forsøkte datatyveri, forteller Stangvik.
Han mener det er svært naivt å sende informasjon ukryptert. At datatyveri og overvåkning er blitt så vanlig i dag, gjør det desto mer sannsynlig at også låneinformasjon og brukere ved Forsvarets forskningsinstitutt, Universitetsbiblioteket og Norges bank overvåkes. Uten kryptering er det en smal sak.
@Stortingsbiblioteket bekrefter
Seksjonsleder Gro Sandgrind ved Stortingsbiblioteket skriver følgende i en e-post til Universitas.
«Det er korrekt at kommunikasjonen om utlån av bøker og tidsskrifter i det nåværende Bibsys biblioteksystem går ukryptert fra Stortinget til Bibsys. Dette systemet er i ferd med å fases ut. Informasjonen om hvem som har lånt materialet er basert på en stortings-intern kode. Denne koden er ikke offentlig tilgjengelig, og den vil være svært vanskelig for en utenforstående å knytte et navn til.»
– Ingenting er kryptert
Asbjørn Risan, produktansvarlig for låneprogrammet Oria ved Bibsys i Trondheim, bekrefter at navn, lån og adresse sendes uten noen beskyttelse.
– Ingenting er kryptert. Bestillinger og hva man har lånt kan kobles til navn.
– Forsvarets forskningsinsititutt og Norges bank er blant Bibsys' kunder. Stemmer det at søkeinformasjon fra disse institusjonene ikke er kryptert, i likhet med søk gjort på Universitetsbiblioteket i Oslo?
– Alle våre kunder har det samme systemet.
Risan forteller at Bibsys nå arbeider med et nytt lånesystem for å få bukt med dette problemet. Det nye låneprogrammet skal være ferdig i november.
Ubeskyttet i en årrekke
Ved Universitetsbiblioteket bekrefter leder for digitale tjenester, Håvard Kolle Riis, at informasjonen har vært ubeskyttet lenge.
– I flere år har vi sendt ukryptert personinformasjon, også før vi begynte å bruke Oria i 2014, sier han.
Vet du hvor lenge det har pågått?
– Siden BIBSYS Ask ble lansert i 2007 eller 2008.