Kommuner fravælger open-source sikkerhedsløsning mod keylogger-angreb
Computerskærmene på Ballerup Bibliotek er svøbt ind i rødt og hvidt afspærringsbånd. De er corona-lukket lige nu, men når de åbner op igen, kan borgerne her gå på nettet med større tryghed, end på mange andre af landets biblioteker, og det er helt essentielt for Michael Anker, der er digital leder for Ballerup Bibliotek.
»Det ville være katastrofalt, hvis der var en sag med misbrug på vores bibliotek, som man har hørt om på andre biblioteker,« siger han og tilføjer:
»Det med sikkerheden, det skal bare være i orden, og så er det de andre ting, der må komme efter. Det er laveste fællesnævner, at sikkerheden er i orden.«
Sikkerheden halter nemlig på mange af landets biblioteker, hvor beskyttelse mod såkaldte keylogger-angreb er helt i bund, som Ingeniøren og Version2 kunne afsløre i forrige uge.
Hackere kan således montere en keylogger mellem stik og computer for at udspionere, hvad borgeren taster, når de f.eks. skal tilgå netbank eller e-boks med deres Nemid.
Men Ballerup Kommune er kommet de it-kriminelle i forkøbet og har implementeret it-sikkerhedsløsningen OS2borgerPC på deres bibliotekers offentligt tilgængelige computere. Det betyder, at hvis it-kriminelle hiver tastaturstikket ud og monterer en keylogger, går alarmen hos administrator. Når borgeren ikke har brugt hverken mus eller tastatur i mere end 30 sekunder, så lukker systemet ned og ‘nulstiller’ maskinen, så alt, hvad brugeren f.eks. har downloadet eller installeret, fjernes - også software-keyloggere.
Men før hackere kan forsøge sig med en keylogger, skal de ind til computeren. Under skrivebordet sidder et metalkabinet nemlig fastmonteret med en hængelås. Indeni er maskinen afspærret for uvedkommende, og derfor kan it-kriminelle ikke komme til at hive tastaturstikket ud, uden at bryde boksen op først. Det er en ekstra sikkerhed udover OS2borgerPC.
Softwaren, udviklet af Aarhus Kommune og it-leverandøren Magenta, skabte en win-win-situation for Ballerup Bibliotek. Løsningen bruger nemlig det gratis Linux-baseret styresystem Ubuntu, så kommunen sparer deres Windows-licenser, og borgeren beskyttes bedre mod keylogger-angreb, fortæller Michael Anker.
Open-source volder udfordringer
Det er omkring seks år siden, at Per Kjær, systemejer på OS2borgerPC og teamleder i ITK Digital i Aarhus Kommune, begyndte at tilbyde kommuner en beskyttelse mod keylogger-angreb, der kan downloades via GitHub. Han har dog kun haft held med at friste 15 kommuner, der i dag bruger softwaren på deres bibliotekers offentlige computere. Disse 15 kommuner bruger OS2borgerPC på deres bibliotekers offentlige computere eller er netop ved at få det implementeret.
Han vurderer, at grunden til, at det indtil videre kun er 15 kommuner, der har omfavnet løsningen er, at mange kommuner er konservative ift. at implementere nye it-systemer, og at springet mod open-source-løsninger volder udfordringer:
»De fleste kommuner er Microsoft-kommuner, som kører Windows og med Windows-kontorpakken, og det er nok primært den, der er problemet,« siger han.
For at benytte løsningen OS2borgerPC er det nemlig nødvendigt at skifte til Open Office, som langt hen ad vejen minder om Word, men skiftet skaber alligevel en udfordring for bibliotekspersonalet.
»Langt de fleste af dem, de bruger jo Windows, og derfor er de jo lidt kede af faktisk at skulle hjælpe borgerne med de her open source løsninger - simpelthen fordi de nødvendigvis ikke har kompetencerne til det,« fortæller Per Kjær.
Det er ikke kun bibliotekspersonalet, som kan opleve udfordringer ved skiftet - også flere kommunale it-afdelinger er modstandere af løsningen, vurderer han:
»Det som it-afdelingerne kan have udfordringer med, det er: Hvordan skal vi kunne supportere de her maskiner, hvis vi normalt kun har en serverpakke, der består af microsoft-servere?«
Det kan ikke svare sig økonomisk for nogle kommuner, der måske kun har otte maskiner, at investere i, at medarbejderne tilegner sig kompetencerne indenfor Ubuntu og Linux, mener Per Kjær.
Direktør: Problemet går under radaren
Dér, hvor Ubuntu-kompetencerne mangler, kan kommunerne udlicitere driftsopgaven til en it-leverandører som eksempelvis Magenta.
Selvom en udlicitering af open-source-softwaren lige pludselig får en pris, så kan det alligevel betale sig for Ballerup Kommune, der altså rent faktisk sparer deres Windows-licenser.
Derfor er det også mærkeligt, at der ikke er større efterspørgsel på it-sikkerhedsløsninger til biblioteker, mener Morten Kjærsgaard, direktør for virksomheden.
»Jeg tror simpelthen det er fordi, det går under radaren i kommunerne og sådan generelt - og fordi det kun er biblioteker,« siger han og tilføjer, at de kun fik tre nye kunder sidste år, da Version2 og DR satte fokus på problematikken.
»Hvis det her havde været en sikkerhedsbrist på et kommunekontor eller i et ministerium, så havde man håndteret det noget mere alvorligt, men fordi det kun er et bibliotek, så lader de det køre - men det synes jeg er ærgerligt,« siger han.
Der er dog ikke noget, der er gået under radaren på Ballerup Bibliotek. Digital leder, Michael Anker, understreger, at selvom de aldrig finder en løsning, der kan sikre hundrede procent mod keyloggere, så er det vigtigt, at man gør et forsøg:
»Det er umuligt, for der er folk, der kan stå og kigge hen over skulderen - men det er bare vigtigt, at borgerne de ved, at det de bruger nede på biblioteket er sikkert.«

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.