Slik er rikets it-sikkerhet

Slik er rikets it-sikkerhet

Vaktene sover, bedriftene hackes av fremmede nasjoner og offentlig sektor er kaos. Velkommen til e-Norge 2011.

- Sikkerhetsvakten sover, om ikke han har falt i koma, sier Andreas Vogt fra Norcert for å illustrere sikkerhetstilstanden i riket.

Verst er det med fremmede stater som snoker etter info. Trusselen herfra er høy, og norske bedrifter dårlige stilt. Det bekrefter også Jon Fitje, avdelingsdirektør i Politiets sikkerhetstjeneste.

- At mange land har statlige etterretningstjenester i Norge skal vi være sikre på. Som alle etterretningstjenester driver de rekruttering og prøver å skaffe seg kilder. Fortsatt er den menneskelige kilden på innsiden best for etterretningsinfo og som kan gjøre mest skade, sier han.

Fitje understreker at PST ikke klarer å avdekke alle spioner i riket, og at det derfor er viktig at dem som sitter på skjermingsverdig informasjon gjør alt de kan for å beskytte denne.

- Det forsøkes å innehente informasjon fra statlige aktører, men også fra næringslivet og mange av dem som forvalter informasjon, sier han.

Vogt understreker at det er den enkelte virksomheten som har ansvar for egen sikkerhet, Norcert og PST kan ikke overvåke og avdekke alt.

Flere angrep i Norge

Mike Andersen fra Norcert påpeker at de for tiden jobber med å floke opp i en konkret situasjon der en bedrift fant uautoriserte brukere på en sentralt datasystem. Brukerne hadde den ikke-navngitte bedriften ikke selv opprettet, og bedriften søkte selv bistand fra Norcert.

Norcert samarbeidet med bedriften og bedriftens sikkerhetsleverandør og avdekket ondsinnet kode som blant annet logget tastetrykk. De har funnet flere kompromitterte maskiner hos bedriften. 15 stykk, viser siste oppdatering.

- Det jobbes fremdeles med å avdekke hvordan de ble infisert, sier han.

En stor bekymring er dog angrep mot SCADA-systemer, prosseskontrollsystemer, som media har skrevet mye om den siste tiden etter Stuxnet-ormen.

SCADA-systemer kan for eksempel brukes av kraftleverandører. Utstyret kjører ofte på helt standard programvare som sjeldent oppdateres og der mange ikke har antivirus fordi systemets eiere ikke tør å gjøre noe med det av redsel for å ødelegge.

Dermed er det en åpning for at hackerne i stedet kan klusse med det. Norcert har i løpet av året bistått en norsk bedrift der det ble funnet ondsinnet kode i et lukket prosesskontrollsystem. Andersen mener det er skummelt å tenke på hvor altomfattende slike SCADA-systemer er, de brukes også for eksempel i pacemakere.

Et tidsspørsmål

Vogt forventer en økning i alvorlige it-hendelser.

- Trusselbildet øker, sikkerhetstilstanden står på hvil. Det er et økende gap, og den trenden fortsetter, sier Vogt.

Det er sju punkter man må være særlig obs på, mener Vogt. Sikkerhetsmessige utofrdringer knyttet til klareringer, sårbarheter i leverandørkjeden – da for eksempel grunnet outsourcing, spredning av skadevare for mobile enheter, misbruk av smartkort og smartkortlesere, målrette angrep mot lukkede nett, mer proff utvikling av ondsinnet programvare og forsøk på å infiltrere prosesskontrollsystemer.

Han mener bedre samarbeid med offensive og defensive tiltak må til.

Samarbeid

Og det akkurat dét er også mantraet til Anette Tjaberg, assisterende direktør i Nasjonal sikkerhetsmyndighet (NSM).

- Via en felles tilnærming med myndigheter, industrien og akademia kan gjøre at vi sammen er i stand til å møte truslene, sier hun.

Tjaberg fremhever mangel på felles grunnsikring som et problem. Kravene i ulike sektorer er veldig ulike, hvem som har ledelsen er ikke en gang klart.

- Norge er sektorbasert, og også stadig mer nettverksbasert. Et nettverksbasert samfunn tar ikke hensyn til skillelinjer.

Og ser man statsforvaltningen isolert sett er den i antall ansatte av samme størrelse som et middels stort amerikansk konsern. Men i motsetning til hvordan det ville vært i et amerikansk konsern, finnes det ingen felles retningslinjer.

- Konsernet Norge har mange forskjellige datasystemer og ulike krav til beskyttelse, sier hun.

2012 – et viktig år

Tjaberg har jobbet i Forsvaret i ulike perioder, og da hun etter noen år kom tilbake i 2003 hadde det skjedd viktige ting. Forsvaret hadde innført en felles løsning for høygradert og lavgradert informasjon.

- En slik helhetlig styring, en slags konsernmodell, kan med fordel brukes i offentlig sektor, påpeker Tjaberg.

NSM er derfor positive til den pågående revisjonen av de nasjonale retningslinjene for informasjonssikkerhet og sikkerhetsloven.

- De skal være ferdigstilt i løpet av 2012, og det er viktig at disse to store arbeidene koordineres og ses i sammenheng. I det kommende året blir det avgjort hvor sikre norske datasystemer blir i fremtiden. Dette er en historisk sjanse til å gi informasjonssikkerhet et løft, sier hun.

- Sektorprinsippet fungerer bra på mange ting, men det er behov for å se an felles krav til grunnsikring som gjelder for alle sektorer, og at den enkelte sektor deretter forvalter og følger opp innenfor sitt område.