Sikkerhetshull i Oria er avdekket.
11. mars fikk Unit et varsel fra en bruker om en mulig sårbarhet knyttet til tilbakemeldingsfunksjonen i Oria. Unit tar informasjonssikkerhet og personvern på alvor og vi har gått grundig gjennom saken, og vi har iverksatt nødvendige tiltak.
Den 24. mars ble det avdekket et sikkerhetshull i Oria. Denne sårbarheten skyldes mangelfull sikring på serveren Primo kjører på fra Ex Libris' side. Saken er omtalt i Khrono, Studenten Christopher avslørte sikkerhetshull i system hele Norge bruker (khrono.no)https://khrono.no/studenten-christopher-avslorte-sikkerhetshull-i-system-hele-norge-bruker/565574
Varselet medførte at det umiddelbart ble etablert kontakt mellom Seksjon for bibliotektjenester og sikkerhetsteamet i Unit i tråd med gjeldende rutiner for informasjonssikkerhet. Sammen har vi gjort undersøkelser rundt mulig omfang og konsekvenser, samt iverksatt tiltak for å redusere denne sårbarheten.
Unit har rapportert sårbarheten til Ex Libris. De har bekreftet mottak av vårt varsel og samtidig bekrefter de at informasjonssikkerhet har høyeste prioritet i deres løsninger. Vi avventer nå deres svar på vår rapport og forventer en hensiktsmessig løsning som ivaretar problemet så raskt det lar seg gjøre.
Selv om vi vurderer sannsynligheten for at svakhetene har blitt misbrukt som liten, så skal det ikke være slike svakheter i de systemene vi tilbyr. I samarbeid med sikkerhetsteamet i Unit vil vi vurdere å gjennomføre en større sikkerhetsgjennomgang av de løsningene vi får fra Ex Libris.
Unit vil gå igjennom rutinene ved varsel, slik at vi i framtida vil etablere kontakt med varslerne for å innhente viktig informasjon raskere for å øke sikkerheten til tjenestene våre.
Unit vil sende ut informasjon om utviklingen i saken vi har pågående med Ex Libris.
-- Vennlig hilsen
Avdeling for forskningstjenester
[signature_1205506728] Unit - Direktoratet for IKT og fellestjenester i høyere utdanning og forskning M: (+47) 958 24 000