Flere digitale angrepsflater

Denne uka ble ny trusselanalyse fra Politiets Sikkerhetstjeneste (PST) lagt fram.

En av de mest interessante voksende truslene i rapporten var hvordan offentlig sektor har økt som mulig og legitimt mål for spionasje og angrep.

Dette føyer seg til et trusselbilde der norsk teknologivirksomhet og energisektor allerede er viktige mål for den som vil ramme vitale samfunnsinteresser.

Så hvordan bygge beredskap og vern mot truslene når de bare øker? Secode peker på det enkleste virkemiddelet:

- Det viktigste mottiltaket mot økt trusselfare er å øke sikkerhetsbevisstheten blant medarbeiderne. Å vektlegge sikkerhetstiltak som IPS/IDS og brannmurer alene hjelper lite om sensitiv informasjon vandrer ut av bedriften på to bein, eller om medarbeidere av vanvare lar seg sosialt manipulere til å importere skadevare gjennom nettfiske, sier seniorrådgiver og sikkerhetssjef Lars Thoresen i sikkerhetsselskapet Secode.

Stux-kryssningen

Et eksempel på hvordan en bagatellmessig svikt hos en medarbeider kan ha enorme negative effekter for Norge, er å ta en variant av noe som har skjedd, og tilpasse det til norske forhold.

- Marerittscenariet vil være at terroristorganisasjoner utviklet skadevare av Stux-typen beregnet for oljeinstallasjoner. Sikkerheten i denne sektoren er sterk, men det holder med en minnepinne på avveie og brukt på feil sted. Konsekvensen for drift og miljø kan bli dramatisk, sier Thoresen.

Stux var den første familien av skadevare laget for å angripe og ødelegge industri-it-systemer med minimal innblanding fra mennesker. Den ble sannsynligvis utviklet av den israelske etterretningen, og ble kjent da den ble brukt til å angripe kraftproduksjon og industri i Iran. Det er langt på vei bevist at USA hadde flere fingre med i spillet.

En plattform i nordsjøen ute av drift er ille for operatøren. Om den spyr ut olje, er det en miljøkatastrofe. Dersom et helt oljefelt Stuxes, rammes miljø, samfunnsinntekter og pensjonsavsetninger hardt.

Ikke mitt ansvar

En utfordring i sikkerhetsarbeidet er at det kan bli en sak som omhandler virkemidler og verktøy som kjøpes inn og settes i drift. Dermed blir det en fremmedgjøring av det hele. Medarbeidere og andre ser ikke på sikkerhet som noe som angår dem, det er opp til brannmur, antiskadevareprogrammer og sikkerhetsansvarlige å sørge for sikkerheten.

- Vi ser av og til at medarbeidere ikke ser hvilket ansvar de har, eller hvilke konsekvenser manglende sikkerhetstankegang får. Men om noen slipper til en usb-minnebrikke eller slipper inn noen som tar med sensitive data ut, så rammer det fort flere enn medarbeideren som har gjort feilen, poengterer Thoresen.

Utfordringen er å få denne konsekvenstankegangen gjennom. For om virksomheten går overende på grunn av konkurransetap eller omdømmetap, så rammer det alle ansatte. Det spiller ingen rolle om man er resepsjon, regnskap eller selger.

Rettete trusler fra nye angripere

Den vanligste trusselen de siste årene har vært de såkalt rettete truslene. Det er visse virksomheter som er målet, og det settes store ressurser inn på å finne ut mest mulig og stjele informasjon. Ressursene er gjerne så store at det krever stater i bakkant, eller internasjonale kriminelle nettverk.

- Bildet har skiftet her også. Russland er fortsatt en kilde for kriminelle angrep, siden russisk lov kriminaliserer angrep mot russiske virksomheter, ikke utenlandske, og sammen med Kina står Russland for om lag brorparten de forsøk vi registrerer på innbrudd i norske nett. Brasil er på vei opp som basis for angrep, forteller Thoresen.

Brasil er inne på radaren på grunn av en fantastisk økonomisk utvikling, blant annet drevet av massive investeringer i digital infrastruktur og kompetanse. Som det største landet i Sør-Amerika er det også en av verdens største økonomier, og landet er «B»-en i BRIKS-gruppen av kommende økonomiske stormakter.

- Nå skal det sies at Brasil har lovgiving på plass som rammer cyberkriminelle. Myndighetene reagerer også raskt og strengt og foretar arrestasjoner når miljøer blir avslørt, poengterer Thoresen om forskjellen.

Også frivilligheten rammes

Det er en særskilt utfordring for norske virksomheter, det være seg private eller offentlige.

- Norske virksomheter skjønner ofte ikke hvor verdifull informasjon de har. Dermed blir åpenheten og små og oversiktlige forhold en utfordring fordi man ikke ser verdiene, og heller ikke veit om de er stjålet, sukker Thoresen.

Han ser også for seg hvordan norske frivillige organisasjoner kan være et mål for harde angrep. I alle fall om de driver virksomhet som er rettet mot stater eller organisasjoner som er lite glade for søkelys og kritikk.

- Utfordringen er at frivillige organisasjoner i sin natur er åpne og tillitsbaserte. De har også dårlig råd og kan ikke bruke mye penger på informasjonssikkerhet. Derfor kan de angripes og overvåkes, og informasjonen de har kan brukes mot dem de vil hjelpe, forteller Thoresen.

Han nevner hvordan tildeling av Nobels Fredspris alltid resulterer i økt aktivitet fra angripernettverk i tiden etter tildelingen.

Han poengterer at det ikke er helsvart. Trusselvurderingen til PST gir et oppdatert bilde av sammensetningen av trusselbildet. Det norske Forsvaret etablert i høst en egen forsvarsgren på linje med hær og marine som skal håndtere digitale trusler: Cyberforsvaret.

Det hele kommer tilbake til en sikkerhetsbevissthet som gjelder alle medarbeiderne i virksomhetene.

- Men det er vanskelig å kreve at noen skal ta ansvar for noe de ikke helt forstår, eller ikke forstår hvorfor det er deres ansvar, understreker Thoresen.