Washington (NTB-Reuters): Den amerikanske etterretningstjenesten NSA har i mer enn to år kjent til og utnyttet det store datasikkerhetshullet som ble avdekket denne uka, ifølge Bloomberg.

Nyhetsbyrået viser til to kilder som skal ha kjennskap til saken.

Kildene sier NSA benyttet sikkerhetshullet til å skaffe seg tilgang til passord og andre opplysninger, istedenfor å varsle om en sårbarhet som kunne ramme millioner av internettbrukere.

– Raskt oppdaget
Ifølge Bloomberg har NSA over 1.000 eksperter som jobber med å avdekke datasikkerhetshull, og nyhetsbyråets kilder hevder NSA fant Heartbleed etter kort tid. Men NSA og Det hvite hus avviser påstandene.

– Opplysningene om at NSA eller andre deler av myndighetene skal ha hatt kunnskap om sikkerhetshullet Heartbleed før april 2014 er feilaktige, sier Caitlin Hayden, Det hvite hus’ talskvinne for nasjonale sikkerhet.

– Dersom de føderale myndighetene, inkludert etterretningstjenestene, hadde oppdaget denne sårbarheten, så ville de blitt formidlet til de ansvarlige for OpenSSL, legger hun til.

Tar på alvor
Det var tidligere denne uken at sikkerhetssvikten døpt «Heartbleed» ble oppdaget i OpenSSL – en tjeneste som skal beskytte mot at informasjon på nettet kommer på avveie. Feilen kan ha blitt utnyttet av hackere i to år.

– Denne administrasjonen tar på alvor ansvaret vi har for å bidra til et åpent, sikkert og pålitelig internett, sier Hayden videre.

OpenSSL brukes av de fleste av verdens nettbutikker, e-posttjenester og nettskyer. Oppdagelsen av den alvorlige sikkerhetssvikten, som ble gjort av Google og sikkerhetsfirmaet Codenomicon, førte til at amerikanske anbefalte bedrifter om å sjekke om de brukte sårbare versjoner av OpenSSL.

Lær Kidsa Koding, en landsomfattende aksjon for frivillig opplæring i programmering til barn og ungdom, skal organisere en samling for alle deltakere 24. og 25. mai i lokalene til Bouvet på Torshov i Oslo.

Program og andre detaljer er lagt ut på bloggen til initiativtaker Simen Sommerfeldt.

Programmet omfatter en egen samling for lærere og skoleledere.

Initiativtakerne håper at arbeidsgivere kan sponse deltakelse, slik at alle kan bidra til å senke utgiftene til deltakere som må reise langt.

digi.no kunne i går bringe historien om Moss kommune, som blir landets første kommune til å skrote lokale servere og flytte store deler databehandlingen ut i nettskyen.

Innen ett år skal anslagsvis 40 prosent av IT-plattformen deres kjøre i Microsofts Azure-sentraler i Amsterdam eller Dublin.

Dette er selvsagt kontroversielt. En kommune har typisk mer enn hundre fagapplikasjoner. Både saksgang og dialog med innbyggerne tilsier at en god del av dokumentmassen og kommunikasjonen inneholder sensitive data.

De første reaksjonene på Moss’ planer lot da heller ikke vente på seg. digi.no merker seg spesielt et innlegg skrevet av Thomas Sødring i debatten under gårsdagens artikkel.

Sødring, som er førsteamanuensis ved Høgskolen i Oslo og Akershus med arkiv som spesialfelt, skriver at det kommunen planlegger gjør ham veldig bekymret. Han etterlyser også en offentlig debatt rundt relevant juss på området.

– Akseptable risikonivåer
Det er riktig som han tar opp, at det kan oppstå problemer i forhold til lovverket. Det erkjenner Moss kommune, som sier at de nettopp derfor har valgt en såkalt hybrid sky-modell, hvor altså deler av IT-plattformen forblir lokalt driftet.

digi.no har utfordret kommunens lokale IT-partner Skill om noen av bekymringene som har dukket opp.

– Slik vi ser det har Moss kommune hatt sterk fokus på å møte nettskyen på en trygg og god måte. Kommunen har, og har hatt, løpende dialog med blant annet Datatilsynet som rådgivende instans for å vurdere egnetheten til ulike tjenester, og diskutert nødvendige sikkerhetstiltak, slik at data behandles innenfor akseptable risikonivåer, skriver Ole-Erik Thornquist i Skill.

Ifølge ham er infrastrukturen for å ta i bruk mulighetene i nettskyen nå på plass. Over påske vil kommunens applikasjoner flyttes ut én etter én, men bare etter en nærmere vurdering i hvert tilfelle.

Dette innebærer at før tjenester flyttes over til Azure, så skal hver enkelt tjeneste bli vurdert i forhold til gjeldende lovverk, teknisk egnethet og økonomi. Dersom norsk lov er til hinder for overføring av tjenesten, videreføres den på lokal plattform som før.

– Moss kommune har ikke til hensikt å bryte norsk lovgivning og vil ha høyt fokus på sikkerhet i prosessen. Det er mange lovgivende myndigheter i offentlig forvaltning og Moss kommune vil løpende rådføre seg med de aktuelle instansene, sier Ole-Erik Thornquist.

En kommune har mange ulike datasystemer. De trenger ikke bestå av sensitive data, eller av data som ikke lovlig kan flyttes ut, mener han.

Hybrid-modellen Moss har valgt gjelder også for skytjenesten Office 365, som kommunen blant annet bruker til e-post.

Det er innført rutiner for å klassifisere en brukers profil, ut fra hva slags data brukeren i tråd av sin stilling vil kunne behandle. – De som følge av stillingen er vurdert å være i en høyere risikogruppe, får lokal e-postkonto, forteller Skill-rådgiveren.

Oslo (NTB): Regjeringen stanser arbeidet med datalagringsdirektivet etter EU-domstolens knusende dom over det omstridte direktivet denne uken.

Det bekrefter samferdselsminister Ketil Solvik-Olsen (Frp) og statsminister Erna Solberg (H) overfor Dagbladet.

– Regjeringen tar domstolsvedtaket i EU til følge og legger arbeidet med datalagringsdirektivet på is. Vi sender brev til Stortinget om det i dag, sier samferdselsministeren fredag.

EU-domstolen i Luxembourg erklærte tirsdag datalagringsdirektivet for ugyldig og mener det bryter med EU-borgernes grunnleggende rettigheter.

Direktivet er med støtte fra Høyre og Arbeiderpartiet vedtatt innført i Norge.

Kristelig Folkeparti, Venstre, Senterpartiet, Sosialistisk Venstreparti og Miljøpartiet De Grønne krevde torsdag full stans i iverksettelsen av direktivet som følge av EU-domstolens avgjørelse.

Statsminister Solberg slo allerede i Stortingets spørretime onsdag fast at direktivet nå ikke lenger eksisterer og derfor ikke kan iverksettes. (©NTB)

Som digi.no skrev i går, har Condoleezza Rice blitt valgt til nytt styremedlem i Dropbox. Det er gjerne slik at styremedlemmer kommer og går i mange bedrifter, uten at særlig mange legger spesielt merke til det. Men det er tydelig at valget av Rice både har vekket forargelse.

Det er Rice’ fortid som nasjonal sikkerhetsrådgiver og utenriksminister under George W. Bush som er årsaken til at mange nå protesterer mot valget av Rice. Det har blitt opprettet et eget Drop Dropbox-nettsted hvor folk oppfordres til å dele en ferdig forfattet melding på Twitter eller Facebook.

I meldingen, som er rettet til Dropbox, heter det at dersom selskapet ikke fjerner Rice fra styret, som vil avsenderen eller avsenderens virksomhet finne seg en annen leverandør av nettskylagring. For øyeblikket går ikke mange sekundene mellom hver gang noen publiserer meldingen eller andre innlegg med hashtaggen #DropDropbox på Twitter.

Det handler ikke om kompetansen til Rice, som det ikke stilles spørsmål ved. Det er etikken som er i søkelyset.

– Når et selskap bokstavelig talt har tilgang til alle dataene din, blir etikken mer enn bare et morsomt tankeeksperiment, kan man lese på Drop Dropbox-nettstedet.

På nettstedet trekkes det blant annet fram at Rice var eller skal ha støttet eller bidratt til både Irak-krigen og torturprogrammet til Bush-administrasjonen. Men i forbindelse med Dropbox er et nok verre at Rice både støttet Patriot Act og autoriserte uhjemlet avlytting av blant annet amerikanske statsborgere uten kjennelse fra en domstol.

– Gitt alt det vi nå vet om USAs uhjemlede overvåkningsprogram, og Rice’ rolle i dette, hvorfor i all verden skulle vi ønske at noen som henne er involvert i Dropbox, en organisasjon som vi overlater våre viktigste forretnings- og persondata til, spørres det på nettstedet.

Det er ikke oppgitt hvem som står bak kampanjen og nettstedet. Domenenavnet ble registrert i går via GoDaddy og Domains By Proxy. På nettstedet ramses det opp en rekke konkurrerende tjenester.

PCMag.com er nær ved å kalle utnevnelsen for en gavepakke til Dropbox’ konkurrenter.

I februar i fjor publiserte det amerikanske IT-sikkerhetsselskapet Mandiant en rapport om globale IT-trusler der de dokumenterte at kinesiske militære medvirker til kyberspionasje. Spionasjen retter seg mot andre land og mot bedrifter. Mandiant pekte ut en høyblokk i Shanghai som de mente huser en av verdens mest avanserte avdelinger for kyberkrigføring og spionasje.

I årets trusselrapport fra Mandiant granskes den militære hackergruppens virksomhet i tiden etter at de ble avslørt. Mandiant ser også på virksomheten til en annen kinesisk hackergruppe som ble tatt på fersken i nettverket til New York Times og avslørt i deres spalter 30. januar.

I Mandiants siste rapport kalles den militære gruppen de avslørte for APT1 («advanced persistent threat»), mens den New York Times avdekket kalles APT12.

Her påvises det at både APT1 og APT12 begge reduserte sin virksomhet etter avsløringene, APT1 i større grad enn APT12. Dette visualiseres i grafen øverst i denne artikkelen: Den røde linjen er aktivitet i 2013, den blå er gjennomsnittet av aktiviteten på tilsvarende datoer årene før.

En annen endring er at APT1 endret IP-adressene knyttet til skadevaren de brukte. Mandiant illustrerer dette slik:

APT1 sluttet med andre ord å bruke sine etablerte IP-adresser straks Mandiant-rapporten var publisert. Det tok dem noen uker før skadevaren fikk ny infrastruktur å forholde seg til.

Tilsvarende endringer ble observert for APT12, selv om New York Times ikke publiserte IP-adressene knyttet til denne gruppens skadevare.

Washington Post har innhentet uavhengige eksperters vurdering av den nye Mandiant-rapporten.

Disse er enige med Mandiant i to hovedkonklusjoner: For det første at kinesiske myndigheter er følsomme for vestlige avsløringer om kyberspionasje. De sørger for at virksomheten trappes ned og legges delvis om i perioder på opptil flere måneder, selv om de utad blånekter for at de overhodet driver med kyberspionasje.

Den andre hovedkonklusjonen er at siden kyberspionasjen tas opp igjen, er gevinsten så stor at den berettiger risikoen den medfører for en alvorlig forverring av forholdet til USA og andre vestlige land.

Tidligere denne uken pekte digi.no på at mange globale nettaktører har opplevd kursras den siste måneden.

I går kveld var amerikanske finanstjenester igjen opptatt av temaet: Nasdaq-indeksen falt med 3,1 prosent, den største dagsnedgangen siden 2011, og ligger nå på samme nivå som ved årsskiftet.

Både Bloomberg og Wall Street Journal er opptatt av det de kaller «tech selloff».

I tillegg til IT, rammes bioteknologiaksjer spesielt hardt.

En kilde til ekstra nervøsitet er tall fra Kina, der det heter at landets eksport falt 6,6 prosent i mars. Bloomberg viser til analytikere som tror den reelle nedgangen er større, og at Kina pynter på statistikken.

Flukten fra teknologiaksjer er ikke begrenset til Amerika. Den europeiske Stoxx 600 Technology Index falt i går og fortsetter å falle i dag. Stjerneaksjen ARM er ned 4,1 prosent.

I Asia rammer kursfallet blant annet Kinas største nettselskap Tencent, som er ned 6,1 prosent, den japanske mobiloperatøren Softbank som har falt 13 prosent denne uken, og Samsung som skulle feiret lanseringen av Galaxy S5 med lyse utsikter og kursoppgang, mens som fortsatte nedgangen utløst av profittvarslet tidligere i uken. Samlet sett er Samsung-aksjen ned 2,7 prosent siden tirsdag.

Nettutstyrsleverandørene Cisco og Juniper advarer at sårbarheten «Heartbleed» i «Heartbeat»-modulen i OpenSSL rammer også systemvaren i flere av deres produkter, blant dem rutere, svitsjer og brannmurer.

Cisco beskriver dette i sikkerhetsvarselet OpenSSL Heartbeat Extension Vulnerability in Multiple Cisco Products, der de lister hvilke produkter som er rammet og hva slags tiltak er påkrevet for å gjenopprette normal sikkerhet.

Cisco skriver at sårbarheten kan utnyttes til å hente ut deler av minnet til en klient eller til en server, og at dette kan potensielt omfatte også følsom informasjon som private krypteringsnøkler.

Junipers supportside lenker til informasjon om hvordan Heartbleed rammer deres utstyr under overskriften «High Alert». Denne lenken krever brukernavn og passord. Søk på Junipers «Knowledge Center» gir to treff på Heartbleed: Details on fixes for OpenSSL “Heartbleed” issue og Multiple products affected by OpenSSL “Heartbleed” issue. Her kommer det fram at versjon 13.2 og tidligere av Junos OS ikke er sårbar. Versjonen som er sårbar, er Junos OS 13.3R1.

Kryptografi-ekspert Matthew Green ved Johns Hopkins University sier til Wall Street Journal at sårbart nettverksutstyr i brannmurer og VPN-løsninger kan utnyttes av angripere for å infiltrere et nettverk.

Det sårbare utstyret selges til både bedrifter og forbrukere. Cisco og Juniper sier de arbeider på spreng for å framstille systemvarefikser, men advarer at de ikke vet hvor lang tid dette vil ta. Når fikser er klare, kan det også gå tregt å oppdatere selve systemvaren.

Digi.no viste i går til Bruce Schneier, en anerkjent uavhengig kryptograf som også blogger om Heartbleed. Bloggen er nå oppdatert med en advarsel om at det antakelig finnes ikke-oppgraderbare integrerte løsninger som bruker OpenSSL-versjon med Heartbleed-sårbarheten. Da er det i så fall bare én måte å kvitte seg med sårbarheten på: Skrote utstyret og kjøpe nytt.

I en annen oppdatering til den samme bloggen viser Schneier til troverdige indikasjoner på at Heartbleed kan ha blitt utnyttet av etterretningstjenester i november 2013, utover det opprinnelige materialet referert i Ars Technica.

Datasentre er motoren i vårt moderne informasjonssamfunn. Det snakkes ofte om å legge IT-tjenester ut i skyen som om dette er noe som skjer i en sky på himmelen. Faktum er at disse såkalte skytjenestene foregår i store energikrevende datasentre i rundt omkring i verden – bare i Europa sluker datasentre en energimengde som tilsvarer hele den norske elektriske energiproduksjonen på cirka 125 TWh. Nettopp derfor blir datasentervirksomhet
ofte omtalt som vår nye kraftkrevende industri.

Datasentre er store energiforbrukere. Dataserverne og utstyret som benyttes krever mye elektrisk strøm for å fungere. I tillegg må IT-utstyret kjøles – ofte benyttes like mye energi til kjøling som til selve serverdriften.

Norge har fra naturens side sannsynligvis Europas beste forhold for å drive med datasentervirksomhet. Som eneste land produserer vi tilnærmet 100 prosent fornybar, elektrisk energi fra vannkraft, i tillegg har vi et kaldt klima og tilgang på kaldt vann som kan benyttes til kjøling. Likevel er det slik at Google har valgt å plassere ett av sine store datasentre i Hamina i Finland, Facebook valgte Luleå i Sverige og nylig har Microsoft også valgt Finland. Dette er selskaper som har stor fokus på bruk av fornybar energi. I Finland er 31 prosent av den elektriske energien fra fornybare kilder og i Sverige 54 prosent, det øvrige kommer fra atomkraft og kraftverk med fossilt brennstoff.

Finland besluttet nylig å inkludere datasenternæringen i sin definisjon av kraftkrevende industri, og som et resultat ble avgiftene på forbruk av elektrisk kraft redusert med 60 prosent. Dette betyr at finnene reduserer avgiftene med cirka 8 øre per kWh, noe som gir en aktør som Google en årlig besparelse i størrelsesorden 50 millioner kroner.

Norsk forbruksavgift for strøm til ordinær sats utgjør 12,39 øre/kWh. Enkelte sektorer som bergverk, produksjons av fjernvarme og så videre, får en redusert sats som utgjør 0,45 øre/kWh. Kraftintensiv industri som elektrolyse, metallurgiske og mineralogiske prosesser samt energiintensive foretak i treforedlingsindustrien, er fullt ut fritatt fra forbruksavgift i Norge. Finland med sin næringsnøytrale avgiftsordningen har over natten gitt Norge en betydelig konkurranseulempe. Det haster å gjøre noe med dette, dersom norske myndigheter ønsker å utvikle datasentervirksomheten til en fremtidig industri.

De store datasentrene flyttes primært til områder nært fornybar kraftproduksjon for å sikre
god tilgang på kraft og for å unngå tap av energi i overføringsleddet. Videre er det slik at den produksjonen som foregår i et datasenter kan transporteres ved bruk av lys som sendes gjennom fiberkabler til nesten hvor som helst i verden med kun beskjeden bruk av energi.

Etablering av slik virksomhet vil være et viktig norsk bidrag til en grønnere hverdag for Europa og resten av verden.

I Green Mountain har vi bygd et stort datasenter der vi gjenbruker et tidligere NATO-anlegg
på Rennesøy utenfor Stavanger, og vi bygger nå også et nytt datasenter i vannkraftbyen
Rjukan i Telemark. En datasentervirksomhet i seg selv er ikke arbeidsintensiv, vi forventer
15-20 ansatte på Rjukan. Men indirekte bidrar slike sentre til betydelig økonomisk aktivitet i
nærområdet og i landet forøvrig

I et datasenter som det vi nå bygger på Rjukan, vil våre kunder ha IT-utstyr for mangfoldige milliarder kroner i anlegget når det er ferdig utbygd. Dette utstyret skal anskaffes, transporteres, monteres, settes i drift og holdes operativt gjennom hele levetiden. Normal levetid på slikt IT-utstyr er på 3-5 år. Det vil si at etter denne perioden skal alt utstyret demonteres, tas ut og håndteres på en forsvarlig måte samtidig som nytt utstyr igjen skal anskaffes, monteres, settes i drift, og så videre.

Rundt et slikt stort datasenter vil det altså foregå en meget stor økonomisk aktivitet, det kan antas mer enn 2 milliarder kroner hvert eneste år – år etter år. Basert på våre erfaringer er et forsiktig anslag at ringvirkningene vil være på minst 150-200 arbeidsplasser. Det er altså snakk om mange varige kompetansekrevende arbeidsplasser i distriktene og med tilhørende skatteinntekter til kommuner og til landet. I tillegg kommer investeringene i selve byggingen av datasentrene og investeringer i moderne infrastruktur som sikrer at landet som helhet styrker sin robusthet og tilgjengelighet på fiber- og kommunikasjonssiden.

Etter de grep Finland har gjort ved å definere datasenterindustrien som en moderne
kraftkrevende industri, er Norge nødt til å følge opp med tilsvarende grep dersom man ønsker at en slik næring skal kunne utvikle seg også i Norge. Dersom man ikke ønsker slik virksomhet så kan jo alternativet være å overføre kraften og medfølgende arbeidsplasser til datasentre i Sverige og Finland. Da sikres det i hvert fall at datasenteraktører i Sverige og Finland kan bruke vår rene norske vannkraft uten å betale norsk forbruksavgift.