Deler av Ruters datasystemer, blant annet billettautomatene, baserer seg på en versjon av Windows som Microsoft ikke har støttet siden 2010. Denne versjonen har en rekke åpne sikkerhetshull, noe som får sikkerhetseksperter til å reagere. Ruter mener det er for dyrt å oppgradere systemene.

Billettautomatene som er plassert på en rekke steder i Oslo og Akershus, kjører Windows 2000 Professional, et operativsystem som Microsoft ikke har tettet siden 13. juli 2010.

I 2015 gikk over 250 millioner kroner gjennom dette systemet. Billettautomatene lar brukere av Ruters tjenester fornye reisekort, og tar imot betaling med både kontanter og kredittkort.

Denne versjonen av Windows hadde en såkalt «end of life» i 2010, og alle sikkerhetshull og feil ved Windows 2000 som er funnet etter denne datoen, er nært umulig å få tettet.

Standarden for kortbetaling

Bedrifter som tar imot betaling via bankkort skal rette seg etter PCI-standarden – en standard utviklet av VISA og Mastercard, som alle de store kortleverandørene har stilt seg bak.

Krav nr. 6 i PCI-standarden fastslår at bedrifter som tar imot kortbetaling skal sørge for at alle systemkomponenter og programvare i deres systemer er sikret mot kjente sikkerhetshull. Krav 6 spesifiserer også at kritiske sikkerhetshull skal tettes senest én måned etter at de blir kjent.

6.1 Sørg for at alle systemkomponenter og programvare er beskyttet mot kjente sikkerhetshull ved å installere de nyeste oppdateringer fra leverandør. Installer kritiske sikkerhetsoppdateringer senest en måned etter at de frigis. PCI requirement 6.1

Kommunikasjonsrådgiver i PCI Security Standards Council, Lindsay Goodspeed, bekrefter i en epost til NRKbeta at tilbydere av betalingsløsninger bør oppgradere til siste versjon av aktuelle operativsystemer:

For å beskytte betalingsdataene sine, bør virksomheter som bruker gamle operativsystem oppgradere til nye. I mellomtiden bør de ha en plan for hvordan dette skal foregå. De må også kontinuerlig overvåke og minimere risikoen mot sine gamle eksisterende systemer. Lindsay Goodspeed, PCI Security Standards Council

Ruter sier de selv ikke er underlagt PCI-standarden, da de har outsourcet selve betalingsformidlingen til en tredjepart, og at betaling skjer gjennom separate PCI-sertifiserte betalingsterminaler med egne linjer. Likevel opererer Ruter datautstyr som er i kontakt med det PCI-sertifiserte betalingssystemet. Sikkerhetseksperter mener at det i verste fall kan utgjøre en sikkerhetsrisiko.

– En tikkende bombe

Direktør Torgeir Waterhouse i IKT-Norge reagerer sterkt på denne informasjonen, og mener at det er oppsiktsvekkende at en samfunnsaktør gambler med sikkerheten på denne måten:

– Det som virkelig er ille her er at en aktør som fyller en samfunnskritisk funksjon, velger å bruke utdatert programvare på en boks som tar folks kredittkort.

Waterhouse sier videre at dette ikke er en ukjent problemstilling, men likevel en av Norges største utfordringer:

– Vi kjenner til utallige tilfeller der foreldede datasystemer med vel og viten har blitt holdt i live, uten at man tar innover seg den risikoen dette kan utgjøre for både kundene og bedriften selv.

Microsofts egne nettsider viser at det siste hullet som ble tettet for denne versjonen av Windows, skjedde den 18. juli 2011.

– Mest sannsynlig har Windows 2000 mange sikkerhetshull som ikke kommer til å bli tettet, og dette er ikke noe annet enn en tikkende bombe, sier Waterhouse.

Han peker også på at dette ikke nødvendigvis bare er et problem for de utsatte automatene, men at ringvirkningene kan være store, siden de fleste systemer på ett eller annet vis er koblet sammen:

– I ytterste konsekvens gambler man med funksjongraden til byen som en helhet, da det i dag og i fremtiden er sånn at datasystemer i stor grad er koblet sammen, og er avhengig av hverandre.

– Bør ta en realitetssjekk

Han får støtte av sikkerhetsekspert Per Thorsheim, som mener at dette i stor grad er et prinsippspørsmål:

– Saken koker ned til et prinsipielt spørsmål: Man bør bruke supportert programvare, og kunne planlegge hvordan fremtiden ser ut. Og i denne saken er vi jo veldig på overtid.

Thorsheim peker på tilfeller i USA hvor datavirus har infisert en bedrifts nettverk via usikrede maskiner:

– I USA har man tilfeller av datavirus som kommer seg inn via usikre maskiner, og dermed sprer seg på nettverket og utsetter bedriften for et større sikkerhetsproblem. Da er det ikke lenger bare den aktuelle boksen som kan utgjøre et problem, men i verste fall kan dette få store konsekvenser for bedriften som en helhet.

– Hvis det verste scenarioet Ruter kan tenke seg er at noen kan stjele kortopplysningene til sine kunder, da er det på tide med en realitetssjekk, sier Thorsheim til NRKbeta.

– Vil innebære en stor kostnad

Kommunikasjonssjef i Ruter, Sofie Bruun, skriver i en epost at det er utfordrende at systemet ikke er oppdatert:

– Vi har et billettsystem fra begynnelsen av 2000-tallet. Dette billettsystemet utgjør ca. 7 % av omsetningen i dag. Systemet er sikret og isolert fra den andre billettinfrastrukturen. I tillegg har vi et billettsystem som benytter Windows 2003. Det er naturligvis en utfordring at leverandørenes billettsystemer ikke fornyer seg like fort som Windows server. Vi oppgraderer derfor operativsystemer hvor det er mulig å oppgradere.

Ruters billettinntekter i 2015 var på 3.58 milliarder, noe som betyr at dette billettsystemet håndterte omtrent 250 millioner kroner i 2015.

Bruun utdyper videre at de har vurdert oppgradering, men at det kommer til å medføre store kostnader:

– Vi har tidligere gjort vurderinger om å oppgradere den eldste plattformen, men har valgt å fase denne ut over tid. En oppgradering til Windows 7 for det eldste utstyret vårt, vil innebære en stor kostnad. Vi har i stedet valgt å gjøre sikkerhetstiltak som vi har vurdert som tilstrekkelige, inntil vi kan avvikle plattformen helt. Vi i Ruter er opptatt av at våre reisende skal ha trygge betalingsmåter når de reiser med oss, skriver Bruun i en epost.

De ulike sikkerhetstiltakene innebærer bruk av brannmur og egne nett for de eldre systemene. Bruun skriver også at de bruker ulike løsninger for å avdekke misbruk, og at systemene regelmessig blir scannet for virus og skadevare.

Pressevakt Øystein Dahl Johansen i Ruter skriver i en epost at sikkerhet har høy prioritet, og at de ikke kjenner til at angrep på deres systemer har ført til informasjon på avveie:

– Ruters datasystemer, på lik linje med systemene i de fleste andre virksomheter, utsettes jevnlig for angrep av ulike slag og håndteringen av slike situasjoner er en viktig og integrert del av den løpende driften av Ruters systemer. Det har ikke vært situasjoner som Ruter er kjent med hvor det har vært risiko for at informasjon fra Ruters systemer har kunnet komme på avveie.

Dårlig sikkerhetshåndtering kan få store følger. I helgen ble San Franciscos kollektivsystem hacket.

Angrepet av løsepengevirus

I anledning Black Friday fikk San Franciscos reisende en hyggelig overraskelse, nemlig gratis kollektivreiser i hele San Francisco. Men årsaken hadde ingenting med Black Friday å gjøre. En anonym hacker hadde tatt kontroll over datasystemene til Municipal Transport Agency (MUNI).

MUNI styrer majoriteten av kollektivtransporten i San Fransisco, og opererer blant annet busser, leddbusser og trikker i byen. Over 150 000 mennesker benytter seg av dette kollektivtilbudet hver dag.

All @sfmta_muni #Muni train machines are down. Investing the problem. All rides are free for now! pic.twitter.com/G2hfCZoT2T — Lisa Amin Gulezian (@LisaAminABC7) November 27, 2016

Datasystemene ser ut til å ha blitt infisert av et løsepengevirus (ransomware) – en type virus som tar kontroll over et datasystem, og krever betaling for å gi systemets rettsmessige eier tilbake tilgangen til systemet.

Man har sett en stor oppgang i denne typen virus de siste årene. Watchcom rapporterte i juni at de har sett en oppgang på 165% blant denne typen virus her til lands så langt i år.