I dag var det duket for digital bakoversveis for dem som passer på datasikkerheten i det offentlige og næringslivet i Bergen.

Et trådløshode plasseres på et bord foran 150 tilhørere på VilVite-senteret under sikkerhetsdagen til ATEA.

— Jeg har kryptert nettverket, men det er ikke for vår egen sikkerhet. Det er for deres sikkerhet, sier seniorrådgiver Vidar Sandland i Norsk Senter for informasjonssikring spøkefullt.

På en hacker-konferanse i Bergen for kort tid tilbake, lot han nettverket være åpent. Da koblet ironisk nok alle «hackerne» seg på nettverket Sandland skulle demonstrere hvordan han kunne hacke dem med, forteller han for å demonstrere hvor lett det er å gå på en smell.

Facebook sårbart

På storskjermen bak seg viser Sandland skjermen til hackeren (ham selv) og den uvitende brukeren, i dette tilfellet kollega Hans Marius Tessem.

Sandland oppretter et trådløsnettverk med trådløshodet. Det heter noe med «gratis», og har det sterkeste signalet av alle tilgjengelige nettverk - de to tingene som frister flest til å koble seg til.

Tessem, som i dette tilfellet blir hacket, åpner nettleseren og går inn på Facebook etter å ha koblet seg til det ondsinnede nettverket.

- Er det noen som ser at denne er falsk, spør Sandland.

Det er det ikke.

Etter at Tessem har skrevet inn brukernavn og passord, blir han sendt videre til den ekte Facebook-siden. Siden de fleste aldri logger ut fra kontoen sin, kommer han rett inn.

Samtidig dukker brukernavnet og passordet hans opp på hackerens datamaskin.

- For stor tillit til SMS

Med det kan Sandland logge inn på Facebook-kontoen. Og dermed er han innenfor tillitsbarrieren til vennene til den som blir hacket.

Det er nemlig dét det dreier seg om.

— Det er nesten alltid et sosialt element når noen blir hacket, sier Sandland.

Det bringer ham videre til neste demonstrasjon: Hvordan ta over en mobiltelefon.

Med nettjenester kan han sende SMS-er med hvem han måtte ønske avsender.

— Folk har enorm tillit til SMS, sier Sandland.

Men det har de ingen grunn til. Får du en melding fra for eksempel mobilleverandøren din med en lenke, skal du tenke deg om flere ganger før du trykker på den. I alle fall hvis du har en Android-telefon, som har svakere sikkerhet enn Apple- og Windows-mobiler.

Tessem klikker på lenken kollegaen sender ham, og vips så ser vi ansiktet hans på skjermen til hackeren. Han har tatt fullstendig kontroll over telefonen hans.

- Kan hacke vannforsyningen

Det er ikke bare de som er koblet til internett som er sårbare. Farlig USB-plugg på feil sted er alt som skal til for å overta kontrollen over systemet som kontrollerer vanntilførselen til Bergen. Og kloakken.

— Hvis du har den nødvendige kompetansen og kjenner hvordan systemene virker i detalj, kan du rent teoretisk åpne et damanlegg i Bergen hvis du har fysisk tilgang på kontrollsystemet, sier Sandland.

Han sier farepotensialet ved hacking gjennom fysisk tilgang ofte undervurderes, men understreker at du må ha veldig mye mer kunnskap om systemet enn det du kan lese deg til på nettet for å gjennomføre slike angrep.

— Men har du kompetansen, er det fullt mulig. Hvis alle kodene legges inn på forhånd og man lurer systemet til å tro at det for eksempel er et tastatur som kobles til, trenger man ikke mye tid for å legge inn kode som kan ta kontroll over systemet, sier han.

Fjernstyrer hundretalls systemer

Ole Dan Lundekvam, spesialrådgiver i Bergen vann, forteller at han ikke kjenner til at de har vært forsøkt hacket.

— Det er klart at de rette folkene med den rette kompetansen kan hacke slike systemer som vi bruker. Jeg vil ikke stå her og si at det er umulig, men vi har gjort det vi kan for at det skal være sikkert og at ingen luringer skal komme seg inn.

Lundekvam kan fjernstyre hele vannforsyningen og avløpssystemet i Bergen kommune via en av spesialdatamaskinene de bruker.

Hvis for eksempel hovedvannverket i Svartediket skulle bli satt ut av spill, vil et tunnelsystem i fjellene kunne opprettholde vannforsyningen.

Strømbrudd kritisk

Fire andre hovedvannverk, seks store avløpsstasjoner og en hel drøss med pumpestasjoner, basseng og stasjoner kan kontrolleres via de digitale styringssystemene, som altså er adskilt fra det åpne internettet.

Ved for eksempel lengre tids strømbrudd, vil muligheten til å fjernstyre forsvinne.

— Da har vi rutiner for at våre folk fysisk drar ut til stasjonene for å styre dem lokalt, sier Lundekvam.

Det kommunale foretaket har tatt høyde for at de kan bli forsøkt hacket, med risiko- og sårbarhetsanalyser på styrings- og overvåkingssystemene.

Trivselsfylket hacket

Tom Sølve Myklebust var en av de om lag 150 tilhørerne på VilVite-senteret mens Norsis-rådgiverne tegnet og forklarte hvordan man i teorien kan bryte seg inn i ethvert datastyrt anlegg i verden.

Tom Sølve Myklebust
GERHARD FLAATEN

— Det var både skremmende og spennende å høre på, sier mannen som er driftsansvarlig for datasystemene i Sogn og Fjordane.På tross av omfattende sikkerhetssystemer, er det viktigste det som er mellom ørene til de ansatte.

— Vi har lært oss til å trykke ja på alt som popper opp på skjermen, sier Myklebust.

Det som ble presentert torsdag var ikke nytt for ham, men han medgir at det er en vekker å se hvor store mulighetene er for dem som ønsker å gjøre ugagn på nettet.

— Vi vet at vi har forskjellige nettsider som er blitt hacket. Den største trusselen er den sosiale, som skjer ved at man blir lurt av personer som ringer eller skriver e-post hvor de prøver å skremme eller lokke deg til å gi ekstern tilgang.