Angrepene øker

Angrepene øker

DND: Hun jobber med å holde den norske delen av internett så trygg som mulig

Av Siri Rooseboom de Vries, Dataforeningen

NorCERT/NSM, jobber med forebyggende arbeid, penetrasjonstesting og hendelseshåndtering for nasjonal sikkerhet og infrastruktur.

Marie Moe er PhD og overingeniør hos NorCERT/NSM (Nasjonale Sikkerhetsmyndigheter).

Hun jobber til daglig med vår nasjonale sikkerhet og forteller at forebyggende sikkerhetsarbeid gjerne er defensive tiltak for å beskytte informasjon og objekter mot spionasje, sabotasje, terror og andre sikkerhetstruende hendelser.

Tiltakene omfatter blant annet tiltak for å skape robuste barrierer, og evne til deteksjon av sikkerhetstruende hendelser og sårbarheter, reaksjon og gjenoppretting av sikker tilstand.

- NSMs avdeling NorCERT er Norges nasjonale senter for hendelseshåndtering ved alvorlige dataangrep mot kritisk og samfunnsviktig infrastruktur. Hendelseshåndtering innebærer deteksjon av angrep, identifikasjon av angrepsmetoder, estimering av omfanget og tiltak for å hindre ytterligere kompromittering. Bevissikring, fjerning av angrepskode, samt gjenoppretting hører også til. Analyse av hendelsesforløp, hvor vi avdekker mulige tiltak for forebygging av nye angrep, i tillegg til implementasjon av mekanismer for å bedre kunne detektere fremtidige angrep er også viktig i etterkant av en hendelse, forteller Marie og fortsetter:

- Her snakker vi om informasjon, objekter, funksjoner, naturressurser eller menneskelige ressurser som anses som viktige å beskytte, da trusler mot disse kan ramme liv og helse, miljø, økonomi eller opprettholdelse av kritiske samfunnstjenester. Norge har store samfunnsverdier å beskytte, vi er for eksempel verdens nest største gasseksportør, verdens sjette største oljeeksportør, og har en strategisk posisjon i forhold til nordområdene. Det er trolig mange som er interessert i å få tiigang til informasjon rundt disse feltene.

Økning i hendelser

NorCERT har hatt økning i antall hendelser, som gir en tredobling i økning av antall håndterte saker de siste fire årene.

I 2011 ble omtrent 500 saker hver måned håndtert i NorCERTs operasjonssenter. De fleste av disse var mindre alvorlige saker som formidling av informasjon om kompromitterte klienter eller servere til internettilbydere og hosting leverandører. Når det gjelder de mest alvorlige sakene, bruker NorCERT stadig mer ressurser på håndtering og saksbehandlingen, og dette kan strekke seg over uker og måneder.

- Ved alvorlige hendelser bistår vi den berørte virksomheten i deres håndtering av saken. Ved spesielt alvorlige saker som for eksempel kan dreie seg om industrispionasje, bruker NorCERT mye ressurser på bistand i form av rådgiving, samt analyse av angrepskode og hendelsesforløp. NSM har også en enhet som utfører penetrasjonstesting av informasjonssystemer. Penetrasjonstesting, eller inntrengingstesting er et kontrollert dataangrep som har som formål å teste motstandsdyktigheten til informasjonssystemet og effektiviteten av de allerede implementerte sikkerhetsmekanismene. Dette gjøres etter avtale, hvor virksomheten selv har anmodet om å få utført slik testing, sier Marie.

NorCERT har et VDI-system, et sensornettverk for et utvalg private og offentlige virksomheter. Disse regnes som samfunnsviktig infrastruktur.

- Deltagerne er fra flere samfunnssektorer, som gjør at vi kan detektere angrep på tvers av flere sektorer og se mulige korrelasjoner mellom disse. I mange tilfeller detekteres angrep som virksomheten ikke selv har fanget opp. Det kan være akkurat i det angrepet utføres, eller i etterkant ved å få tilgang til informasjon som allerede finnes i VDI-systemet. I tillegg mottar vi også informasjon om mulige dataangrep i Norge fra samarbeidspartnere nasjonalt og internasjonalt. Ved mistanke om alvorlige angrep varsler vi direkte den berørte virksomheten. Vi sender også varsel via ISP eller hostingleverandør ved mindre alvorlige saker, der det mottas informasjon om kompromitterte klienter og nettsider på norske IP-adresser eller domener. Dette er viktig for å holde den norske delen av Internett så trygt som mulig, altså så fri for virus og svindel som mulig, avslutter Marie.