På ettermiddagen 25. mars ble Oria oppdatert med bedre sikring på webserveren og sikkerhetshullene er tettet. Dette ble gjort i samarbeid med leverandøren Ex Libris. Samtidig ble også det siste planlagte tiltaket knyttet til tilbakemeldingsskjemaet iverksatt.

Oria-ansvarlige ble varslet i forbindelse med oppdateringen med tanke på å undersøke eventuelle konsekvenser av den økte sikkerheten. Vi har ikke fått noen meldinger som tyder på dette.

Sikkerhet er viktig for Unit og noe vi jobber kontinuerlig med. Over påske vil seksjon for bibliotektjenester i samarbeid med sikkerhetsteamet i Unit vurdere å gjennomføre en større sikkerhetsgjennomgang av de løsningene vi får fra Ex Libris.

-- Vennlig hilsen Asbjørn Risan, Tjenesteansvarlig

Avdeling for forskningstjenester

[signature_1205506728] Unit - Direktoratet for IKT og fellestjenester i høyere utdanning og forskning M: (+47) 958 24 000

Fra: Brukerstøtte bibdrift@unit.no Sendt: torsdag 25. mars 2021 09:25 Til: biblioteksystem@unit.no; oria@unit.no; bibliotekledere@unit.no; Postmottak Unit postmottak@unit.no Emne: [Biblioteksystem] Sikkerhetshull i Oria er avdekket

Sikkerhetshull i Oria er avdekket.

11. mars fikk Unit et varsel fra en bruker om en mulig sårbarhet knyttet til tilbakemeldingsfunksjonen i Oria. Unit tar informasjonssikkerhet og personvern på alvor og vi har gått grundig gjennom saken, og vi har iverksatt nødvendige tiltak.

Den 24. mars ble det avdekket et sikkerhetshull i Oria. Denne sårbarheten skyldes mangelfull sikring på serveren Primo kjører på fra Ex Libris' side. Saken er omtalt i Khrono, Studenten Christopher avslørte sikkerhetshull i system hele Norge bruker (khrono.no)https://khrono.no/studenten-christopher-avslorte-sikkerhetshull-i-system-hele-norge-bruker/565574

Varselet medførte at det umiddelbart ble etablert kontakt mellom Seksjon for bibliotektjenester og sikkerhetsteamet i Unit i tråd med gjeldende rutiner for informasjonssikkerhet. Sammen har vi gjort undersøkelser rundt mulig omfang og konsekvenser, samt iverksatt tiltak for å redusere denne sårbarheten.

Unit har rapportert sårbarheten til Ex Libris. De har bekreftet mottak av vårt varsel og samtidig bekrefter de at informasjonssikkerhet har høyeste prioritet i deres løsninger. Vi avventer nå deres svar på vår rapport og forventer en hensiktsmessig løsning som ivaretar problemet så raskt det lar seg gjøre.

Selv om vi vurderer sannsynligheten for at svakhetene har blitt misbrukt som liten, så skal det ikke være slike svakheter i de systemene vi tilbyr. I samarbeid med sikkerhetsteamet i Unit vil vi vurdere å gjennomføre en større sikkerhetsgjennomgang av de løsningene vi får fra Ex Libris.

Unit vil gå igjennom rutinene ved varsel, slik at vi i framtida vil etablere kontakt med varslerne for å innhente viktig informasjon raskere for å øke sikkerheten til tjenestene våre.

Unit vil sende ut informasjon om utviklingen i saken vi har pågående med Ex Libris.

-- Vennlig hilsen Avdeling for forskningstjenester

[signature_1205506728] Unit - Direktoratet for IKT og fellestjenester i høyere utdanning og forskning M: (+47) 958 24 000