Er din epostserver like hullete som en sveitserost eller like sikker som et sveitsisk bankhvelv?

Den siste tiden har nyhetene strømmer over med artikler og skrekkhistorier over e-post-servere som er blitt hacket. Viktige data og hemmelig innhold er hentet ut og er kommet i fremmede hender. Det er også blitt lagt igjen små dataprogrammer som skaper skade – ransomware, virus og adware. Ingen aner hvem som har gjort dette. Det antydes både kriminelle bander, pengeutpressere og fremmede makter som ønsker å skape usikkerhet og uorden.

Det eneste vi vet med sikkerhet er at det er Microsoft’s e-post-server Exchange som er blitt angrepet. Hackerne har fått tilgang til et sikkerhetshull som har vært kjent lenge internt i Microsoft, men som de ikke har gjort noe med før det var for sent.

Her er et par artikler som kan være nyttige å lese for egen bakgrunn om denne problematikken. Den siste av de to artiklene dokumenterer også en rekke hendelser, blant annet det norske Stortinget, The European Banking Authority og en rekke statlige organer i USA. I Tyskland er over 60.000 datasystemer hacket. Det er opplysende, men svært skremmende lesning. 

• Sophos News: Black Kingdom ransomware begins appearing on Exchange servers
• Cormac McCarthy: Microsoft Exchange’s security is a «Swiss-cheese» 

Selv om du og din bedrift hittil har vært forskånet fra datainnbrudd så er ikke det noen grunn til å føle seg sikker. Om du har aldri så mange brannmurer mot omverdenen kan du ikke føle deg trygg. Det er ikke nok «å låse dørene». Ingen datasystemer er helt sikre mot innbrudd. Det viktigste er uansett hva innbruddstyvene får med seg av verdier ut av postboksene til dine medarbeidere. Det er med andre ord noen spørsmål du bør stille deg:

• Er du redd for at din bedrift skal bli hacket? 
• Hva er innholdet i din bedrifts e-post-servere?
• Hvilken verdi har denne informasjonen i en tøff konkurransesituasjon? 
• Hvilke strategiske og forretnings-kritiske hemmeligheter ligger gjemt i e-postboksene i din bedrift? 
• Hvilke økonomiske tap, eventuelle erstatningskrav, kan du lide dersom dokumenter og e-post kommer på avveie?
• Hva betyr det for din bedrifts fremtid og konkurranseevne dersom e-post-serveren din blir hacket og e-post stjålet? 

Kanskje bør du tenke nytt? Stadig flere velger e-post og web-møter i skybaserte løsninger fra store leverandører. Cloud, cloud, cloud, er refrenget som de fleste henger seg på uten å stille altfor mange kritiske spørsmål. Mange har valgt løsninger som Microsoft365 og Google Workspace, begge enkle og greie løsninger. Men har brukerne stilt seg alle de nødvendige spørsmålene – ikke minst om sikkerhet og eierskap til dataene.  

• Vet du f.eks. hvor og i hvilket land dataene dine er lagret? 
• Kjenner du til sikkerhetsgraden som leverandøren din tilbyr? 
• Er du sikker på at ikke leverandørens system lar seg hacke av data-pirater? 
• Om de først klarer å bryte seg inn i datasystemene – klarer de å få ut dataene dine og bruke dem i ondsinnet hensikt? 
• I hvilket land er datene dine lagret? 
• Er dataene dine lagret i henhold til prinsippene nedfelt i GDPR?
• Kan leverandøren din analysere dataene og selge metadataene dine til anonymisert kommersiell bruk – for eksempel til annonsører og geopolitisk analyse?
• Hvem eier egentlig dataene dine og hva skjer den dagen du vil bytte leverandør?

 Det er utrolig mange spørsmål du kan stille deg, langt fler enn de jeg har ramset opp over. Man kan undre seg over om f.eks. Stortinget og en rekke andre bedrifter og organisasjoner som i det siste er blitt hacket, har stilt seg disse spørsmålene. Det har de nok helt sikkert, men likevel er de blitt hacket. Spesielt de som har valgt Microsoft365 som bruker e-post-serveren Exchange. 

For mange, mange år siden utlovet IBM, som den gang var utviklere og eiere av Domino/Notes, en dusør på 100.000 dollar til den som klarte å hacke en Domino-server. De pengene ble, så vidt meg bekjent i mine 16 år i IBM, aldri krevd utbetalt. Ikke fordi at det ikke av og til ble avdekket svakheter i sikkerheten på Domino, men fordi det var umulig å få noe nyttig og forståelig informasjon ut av Domino-serveren og e-postene til brukerne. 

Det er noe helt spesielt med en Domino/Notes-løsning og det er den personlige ID-filen som hver eneste bruker må ha for å få åpnet en e-post. Uten denne ID-filen får selv ikke en dyktig hacker noe forståelig ut av innholdet i en e-post hentet fra Domino. Alt som ligger i en Domino-server er gjennomgående kryptert. 

I tillegg er dataene i en Domino-server beskyttet gjennom flere lag av ACL’er (Access Control List) og tilgangs-nivåer helt ned på dokument-nivå, ja, til og med helt ned på felt-nivå i dokumentene. Du skal med andre ord jobbe beinhardt og i svært lang tid for å hente ut data fra Domino i et forståelig format. Og du må ha tilgang til hver eneste brukers ID-fil. Dette kommer i tillegg til VPN, SSL og to-faktor-pålogging som de fleste andre løsninger også har. 

Nettopp denne flerlags sikkerheten til Domino har nok også vært årsaken til at organisasjoner og myndigheter med ekstremt strenge krav til datasikkerhet i årtier har brukt – og bruker – Domino-plattformen. Her snakker vi etterretning, politiske myndigheter, politiske partier, militære, politi, helsevesen og spesielt sårbare institusjoner og bransjer. 

Så sikker har denne plattformen vært at mange ikke har vurdert det som viktig å oppgradere til nyere versjoner, men har kjørt videre på en gammel plattform. Det har ofte medført at man har blitt sittende med gamle brukergrensesnitt på applikasjonene – de fleste av dem laget av tredje-parts-leverandører. Investeringsmessig har det sikkert vært lønnsomt å ri den gamle hesten så lenge som mulig, men teknologisk og funksjonsmessig sett ville det vært smartere å følge med i utviklingen og oppgradere til nyere versjoner.

Vi opplever at en rekke brukere av Domino/Notes fremdeles bruker versjon 8.5, mens vi nå er på versjon 11.1 og kommer på versjon 12.0 i løpet av juni. Det blir nesten som å kjøre en gammel Volvo PV (for deg som er gammel nok til å huske den fantastisk populære bilen) i en tid da selv Tesla trenger å utvikle seg videre.

Det er ikke bestefar’s Domino og «Lotus Notes» vi snakker om nå. I dag snakker vi om en helt annen, smartere, enklere, åpnere, mer integrerbar og mer moderne plattform. Hvem trodde vel at den gode gamle Notes-klienten – som mange elsker å hate – nå starter på under 4 sekunder? Hvilken annen e-post- og applikasjonsklient er så kjapp? 

Og hvem trodde at du i dag ikke trenger en Notes-klient for å kjøre applikasjoner og e-post som er basert på en Domino-server, men kan gjøre det fra hvilken som helst enhet og hvilket som helst OS? Og hvem trodde at man i dag kan lage en Domino-basert applikasjon på 2 minutter med drag&drop?

Ikke minst en del data-journalister burde oppdatere seg. En av dem raljerte nylig over at et av «Europas viktigste datatilsyn» fremdeles bruker «Lotus Notes» som «omtales som like egnet som å kjøre lønnssystem på en kuleramme». Han stilt seg aldri spørsmålet en profesjonell og kritisk journalist ville gjort, spørsmålet om hvorfor bedrifter og offentlige organer av denne type velger de sikreste løsningene.

Kanskje burde journalisten også få med seg at det ikke er noe som heter «Lotus Notes» – det navnet forsvant for 10 år siden. Løsningen er videreutviklet av nye eiere og er både modernisert, åpnet og gjort tilgjengelig for integrasjoner med hvilke som helst andre systemer. Det er nok ikke Domino og Notes som har hengt etter, men enkelte journalister som har sovnet i timen og som bare klipper og limer fake news fra utenlandske medier uten noen form for kildekritikk. 

Kanskje er det på tide å oppdatere seg litt? Domino og alle de andre tidligere IBM-løsningene har oppdatert seg veldig mye siden HCL overtok dem. Veldig mye. Utrolig mye. Enten du allerede er en Domino-bruker, eller er nysgjerrig på hva Domino kan gjøre for din bedrift eller organisasjon, ja da er det kanskje verd noen minutter’s samtale med oss for å bli oppdatert. Ta gjerne kontakt: arne@brainworker.no