Tillitsvalgte stod som avsendere på e-post de ikke hadde skrevet
– Dette skaper tvil om NTNU har et sikkert system for e-post, sier Kristin Dæhli.
- Nå har jeg lært at det kan versere e-poster i mitt navn eller andres navn som ikke er korrekt avsender. Da må alle e-postbrukere ved NTNU få kjennskap til dette, sier Kristin Dæhli.KRISTOFFER FURBERG
Christoffer V. Hallstensen er sikkerhetsanalytiker ved NTNUs nyopprettede Seksjon for digital sikkerhet.
Tre episoder den siste tiden har gjort at Dæhlis tillit til NTNUs e-postsystem har fått seg en alvorlig knekk. I dette intervjuet uttaler hun seg som vanlig – bekymret - NTNU-ansatt, og ikke på vegne av Forskerforbundet.
Avsender havnet i kopifeltet
I september i fjor fikk en kollega av henne på fagforeningskontoret vite at en e-post var sendt i hennes navn uten at hun hadde skrevet den. Det var tvert imot en tredje tillitsvalgt som hadde skrevet den.
- Tenk deg den følelsen, at andre har mottatt en e-post fra deg som du aldri har skrevet, poengterer Dæhli.
I november skjer det enda en gang i forbindelse med at en tillitsvalgt sender en e-post til ledelsen med kopi til en rekke andre tillitsvalgte ved NTNU. Når mottakerne leser e-posten, står en annen tillitsvalgt fra en annen fagforening som avsender. Den reelle avsenderen står nå i kopifeltet.
Det tredje tilfellet handler om en møteinvitasjon som blir sendt 10. januar. Som arrangør står et styremedlem i Forskerforbundet. Den samme møteinvitasjonen er imidlertid sendt ut i fjor høst av en helt annen tillitsvalgt i samme forbund.
Ubehagelige episoder
- Det er rart at det skal skje slike hendelige uhell flere ganger. Vi er ofte i kontakt med ledelsen om sensitive saker. Da er det virkelig betenkelig hvis det ser ut som om avsender er en annen enn den faktiske, sier Kristin Dæhli.
Hun peker også på at mange ansatte jobber med sensitivt forskningsmateriale på oppdragssiden med klausuler om lukkethet.
Dæhli understreker at hun ikke har grunnlag for å si at dette handler om verken ID-tyveri eller forfalskning. Etter det tredje tilfellet syntes hun imidlertid at rotet med avsendere begynte å bli så ubehagelig at hun sendte en e-post til NTNUs organisasjonsdirektør og fortalte om de to sistnevnte e-postene, der hun selv stod som mottaker.
- Brukerfeil
Ida Munkeby videresendte e-posten til NTNUs IT-sjef Håkon Alstad. Han igjen ba sikkerhetsanalytiker Christoffer V. Hallstensen ved Seksjon for digital sikkerhet se på saken. Dæhli fikk en e-post fra Hallstensen som forklarte hva han mener kan ha skjedd, og som understreker at e-post ikke er et sikkert medium.
Til UA forteller sikkerhetsanalytikeren at e-post ble utviklet på 1960-tallet og standardisert i perioden 1971-1977. Dagens variant stammer fra 1980-tallet.
I brevet til Dæhli skriver Hallstensen at siden e-post ble opprinnelig utviklet som et forskningsprosjekt, hvor alle som var tilkoblet internett var gode kolleger, var det opprinnelig ikke så viktig å designe sikkerhetsmekanismer inn i protokollene. Dette er det ikke lett å endre på i dag uten at det vil få større konsekvenser for e-postleveransen ved NTNU.
Hallstensen skriver videre i sitt svar til Dæhli at den første e-posten skyldes en brukerfeil og et uhell, der e-postklienten gir adgang til å kopiere e-post-adresser direkte inn i «fra»-feltet. Det første navnet i mottakerlista er blitt kopiert inn som avsender. IT-avdelingen har hjulpet avsenderen av denne e-posten med å forhindre at dette skjer i framtida.
At en tidligere møteinvitasjon ble sendt ut med ny arrangør, forklarer han med at innholdet fra en annen e-post er kopiert inn i møtebeskrivelsen. Han mener avsender burde ha fjernet signaturen til hun som sendte ut invitasjonen første gang før han sendte den videre.
- Bør ikke ta så lett på sikkerhet
Tilbake sitter Dæhli og er ikke helt fornøyd med hvordan NTNU sentralt håndterer denne saken.
- Jeg har brukt e-post siden NTNU innførte denne måten å kommunisere på og har ikke opplevd noe lignende før nå. Nå har jeg lært at det kan versere e-poster i mitt navn eller andres navn som ikke er korrekt avsender. Da må alle e-postbrukere ved NTNU få kjennskap til dette. Konsekvensen av NTNUs tilbakemelding om at de ikke vil gjøre noe, blir å benytte andre kanaler enn e-post. Jeg synes denne saken er for alvorlig til at ledelsen skal ta så lett på IT-sikkerheten, sier Dæhli til UA.
Vil ikke advare ansatte
IT-sjef Håkon Alstad er ikke enig i at NTNU tar lett på sikkerheten og sier at de undersøkte grundig hva som skjedde med de tillitsvalgtes e-post:
- Det er ikke bra at dette skjer, og jeg vet ikke hvorfor e-post ble designet slik at sikkerheten er såpass dårlig. Jeg forventer jo også at jeg skal stå som avsender på alle mine e-poster, og at det ikke skal skje uventede ting i klienten, sier han til UA.
Alstad opplyser at NTNU nå fra nyåret har opprettet en egen seksjon for digital sikkerhet, nettopp fordi de er opptatt av at NTNUs datasystemer skal være sikre.
- Vi har tatt disse sakene seriøst, men vi har ikke vurdert å gå ut med informasjon til alle NTNU-ansatte om dette. Spørsmålet er jo om saken har så stort omfang at dette kvalifiserer til fellesinformasjon, sier han.
IT-sjefen vil også få fram at informasjonssikkerhet står høyt på dagsorden for ledelsen ved NTNU. Det er satt i gang et prosjekt som skal lage et styringssystem for informasjonssikkerhet. Dette er et sett av prosedyrer, retningslinjer og så videre, som skal være til hjelp for NTNU på dette området.
E-post og sensitivt materiale
Håkon Alstad understreker at det går an å installere kryptografiske sertifikater i e-postklienten for å heve sikkerheten ved bruk av e-post.
- Bruker du ikke dette, er rådet at du ikke sender sensitiv informasjon over e-post, sier han.
Alstad anbefaler ansatte som jobber med sensitivt forskningsmateriale å kontakte enten NTNU IT eller Seksjon for digital sikkerhet for råd og veiledning om hvordan bruk av e-post kan gjøres forsvarlig.
Slik skjer forveksling
UA ber Christoffer V. Hallstensen utdype i hvilke tilfeller slik forveksling av avsendere kan forekomme i e-post.
Han svarer at dette kan forekomme ved at avsenderadresse aktivt forfalskes, noe som antakelig ikke har skjedd i tilfellene nevnt ovenfor. Det kan også skje ved et uhell – utilsiktet – dersom man kopierer en annen avsenderadresse inn i «fra»-feltet i epostklienten.
- Dette skjer veldig sjeldent og jeg har opplevd dette bare én gang i løpet av min karriere, skriver han i e-posten.
Det tredje tilfellet han viser til, gjelder personer med ulike roller ved NTNU, som har satt opp e-postklienten sin til å kunne velge hvilken rolle de kommuniserer som. Disse rollene kan ha ulike e-postadresser som mottaker-/avsenderadresse.
- Da kan man ved et uhell endre rolle på en e-post man svarer på, eller velge feil rolle når man sender ut e-post. Da kan det se ut som den kommer fra «vaktmester» i stedet for Ola Normann og vice versa.
Kan bli lurt i Outlook
- Skjer forveksling av e-postavsender ved at man bruker en annen e-postklient enn Outlook, for eksempel Thunderbird?
- Dette har absolutt ingenting med hva slags e-postklient man bruker. Funksjonaliteten som benyttes er definert i e-postprotokollen og støttes derfor mer eller mindre i alle e-postklienter, svarer han.
- Hvis avsender og mottaker kun bruker Outlook: Kan man da føle seg temmelig sikker på at slik forveksling ikke vil skje?
- Nei, det er lettere å bli lurt i Outlook enn hvis man bruker andre e-postklienter. Dette er fordi Outlook ikke viser selve e-postadressen, men gjør et oppslag og henter navnet til personen bak e-postadressen. Så lenge den får et treff på en eksisterende bruker i systemet, så er det navnet som vises. Hvis avsender da er forfalsket, vil det komme fram et navn og ofte et bilde av personen som eier e-postadressen som er forfalsket.
Sikkerhetsanalytiker Hallstensen sier at det derfor er viktig å være veldig oppmerksom når man svarer på en e-post. Man må sjekke at adressen i «til»-feltet faktisk er adressen til eller navnet til mottakeren (i Outlook) som man forventer.
- Det var slik vi oppdaget svindelforsøket overfor rektor, der hans e-postadresse ble utnyttet. Når man skulle svare, så var det plutselig en annen e-postadresse i «til»-feltet.
Skjer slik forveksling med ansatte som kommuniserer mye med hverandre på e-post, eller kan navnet på en for meg helt ukjent NTNU-ansatt plutselig stå som avsender på en e-post som jeg har sendt?
- Nei, det er første gang vi har opplevd et slikt tilfelle. Teknisk sett er det mulig at en annen person står som avsender på tilsynelatende din e-post. Da har vedkommende en kopi av e-posten du har sendt, han åpner en ny e-post og kopierer innholdet av e-posten din, limer dette inn i sin egen e-post og sender den videre. Men dette vil aldri være din e-post, men personens egen e-post med ditt innhold kopiert
Hallstensen sier at denne personen må ha mottatt e-posten du har sendt enten direkte fra deg, eller fått den tilsendt av noen mottakere av den opprinnelige e-posten.
- E-poster bytter ikke avsender bare helt uten videre og de sendes heller ikke til personer som ikke legges til i mottakerlisten.
- Hvorfor er det så vanskelig å «tette» dette sikkerhetshullet, slik at brukerne kan føle seg helt sikre på at det ikke blir slikt rot med e-post?
- Det er vanskelig å tette dette «sikkerhetshullet» fordi det er ikke et sikkerhetshull, men rett og slett slik e-post er designet og forventet fungerer. Det blir ikke mer rot i e-post enn det eventuelle brukere lager selv, skriver sikkerhetsanalytikeren i sitt svar til UA.
E-post er som postkort
Christoffer V. Hallstensen sier at uten denne funksjonaliteten vil det ikke være mulig for flere personer å benytte en felles e-post, eller kommunisert via e-postlister. E-post er originalt designet uten noen form for personvern eller sikkerhetsfunksjonalitet innebygget. Han presiserer at det aldri var aldri meningen at e-post skulle være navet for elektronisk kommunikasjon slik den er i dag.
- Veldig forenklet kan vi se på e-post som et postkort skrevet med blyant. Vi kan skrive hva vi vil som avsenderadresse, og dette kan viskes bort og endres på. Alle kan også lese det som står på postkortet.
Derfor sier Hallstensen, i likhet med IT-sjef Alstad, at den eneste måten å virkelig sikre e-post på, er å benytte kryptografiske metoder på selve innholdet av e-posten. For å bekrefte at en avsender faktisk er den hun utgir seg for å være, kan man signere innholdet i e-posten med et personlig sertifikat (se også faktaboks for utdyping).
- Problemet med å rulle ut S/MIME- eller PGP-kryptering er at dette ikke er veldig brukervennlig å komme i gang med. Det er en liten terskel for å ta dette i bruk, og en ganske stor terskel for å rulle det ut til alle ved NTNU, svarer sikkerhetsanalytikeren i sin e-post til UA.
