Stadig proffere og mer avanserte trusler

TRUSSELBILDET: Roar Thon i NSM peker ut de største truslene og hvem som står bak. (Foto: Stig Øyvann)

Stadig proffere og mer avanserte trusler

It-sikkerhet anno 2015 er noe helt annet enn tidligere. På tide å ta de nye truslene på alvor.

Kriminell aktivitet på nettet har blitt kraftig profesjonalisert, og metodene blir bare mer og mer avanserte. I tillegg har nasjonalstater og statsstøttete organisasjoner også meldt seg på, der aktiviteten både dreier seg om både statlig etterretningsvirksomhet og rein og skjær industrispionasje, i begge tilfellene med metoder som ikke skiller seg fra «normal» datakriminalitet. Med et statsbudsjett i ryggen, er det klart at slike organisasjoner rår over helt andre ressurser enn det gammeldagse hackere har.

Samtidig peker flere kilder på at risikoen for å bli utsatt for datakriminalitet øker kraftig, også her i Norge. I en tid der fler og fler systemer knyttes sammen, og både samfunn og bedrifter er stadig mer avhengige av sine it-systemer, er det også klart at konsekvensene av et dataangrep har blitt langt større enn før.

Til sammen gjør disse faktorene at bedrifter og organisasjoner har blitt nødt til å tenke gjennom informasjonssikkerhetsstrategien sin en gang til. Tradisjonelle tekniske tiltak er ikke lenger tilstrekkelige, og det er et faktum alle er nødt til å ta på alvor.

19 milliarder tapt i 2014

Vi får en jevn strøm av rapporter og analyser om de fleste disipliner innenfor it, og kanskje aller mest og oftest om sikkerhet. De fleste av disse er internasjonale,  men vi finner også informasjon som er spesielt relevant for Norge og norske virksomheter.

Det internasjonale sikkerhetsselskapet Symantec utgir for eksempel den årvisse rapporten Internet Security Threat Report. Den er blant annet basert på statistikk som hentes ut av hundretusener av kundemaskiner som har selskapet produkter installert, i tillegg til Symantecs egne sentrale overvåkingssystemer for dataangrep og tilhørende trafikk på nettet.

I årets utgave av Symantecs rapport finner vi interessant og relevant informasjon, også for norske forhold. Statistikken viser at fem av seks store norske virksomheter ble utsatt for avanserte målrettet angrep (Advanced Persistent Threat, APT – se egen ramme) i 2014. Dette er ifølge Symantec en økning på 40 prosent fra året før. Antallet av denne typen målrettete angrep i Norge har firedoblet seg siden 2013, skriver Symantec.

I tillegg viser tallene fra Symantec at 75 prosent av dataangrepene i Norge rettes mot bedrifter med 1 til 500 ansatte. De minste av disse er altså virksomheter som er mest utsatt, etter som små bedrifter har færrest ressurser til å gjennomføre informasjonssikkerhetsarbeid på en skikkelig måte.

Den relativt nylig ansatte sjefen i NorSIS, Roger Johnsen, pekte på en av konsekvensene av datakriminalitet under sitt innlegg på sikkerhetskonferansen Paranoia, som nylig ble arrangert.

- Bare i Norge er det økonomiske tapet som en følge av datakriminalitet beregnet til 19 milliarder kroner i 2014. Dette utgjør over 0,6 prosent av brutto nasjonalprodukt. Til sammenligning var veksten i fastlandsøkonomien i Norge i 2014 var på 1,2 prosent. Dette viser at problemet er kritisk, fastslo Johnsen.

Økende risiko og langt flere angrep

Det er ikke bare aktører som ønsker å selge sikkerhetsprodukter og –tjenester som kommer med denne analysen nå. Nasjonal Sikkerhetsmyndighet (NSM) har også publisert en rapport, denne heter Risiko 2015. Også her finner vi informasjon om et endret trusselbilde og en økende risiko for norske bedrifter og organisasjoner.

I rapporten kan vi lese at ”NSM vurderer at risikoen for spionasje mot norske verdier er høy. NSM håndterte i fjor 88 alvorlige dataangrep, mot 51 i 2013. De fleste av disse handlet om forsøk på spionasje not norsk næringsliv og offentlige interesser”.

Fagdirektøren for sikkerhetskultur i NSM, Roar Thon, utdypet dette under sitt innledningsforedrag hos Oracle User Group Norway for en tid tilbake.

- Disse 88 sakene er basert på 17600 hendelser, mot i all vesentlig grad offentlige virksomheter og det vi kan kalle andre virksomheter som er innenfor det vi kaller kritisk infrastruktur. Av disse drøye 17000 hendelsene hadde vi 5100 som krevde at vi måtte bruke betydelig mer manuelle og menneskelige kunnskapsressurser til å analysere situasjonen. Det er disse som danner grunnlaget for de 88 sakene, forklarte Thon da.

Hodet i sanden

For ikke veldig lenge siden var det en utbredt oppfatning her til lands at it-sikkerhetstruslene som var gjeldende her hos oss, dreide seg om virus og ormer som ved hjelp av brannmurer og antivirus lar seg stoppe før de rekker å gjøre skade i bedriftens it-infrastruktur. Om man i tillegg er nøye på å holde operativsystemene og annen programvare oppdatert, så er mange trygge på at virksomhetens informasjonssikkerhet er vel ivaretatt.

I tillegg har mange tenkt at vellykket sosial manipulering og andre avanserte trusler ikke har vært aktuelle her til lands – rett og slett fordi at det er de færreste i verden som behersker språket vårt godt nok til å lykkes med den typen angrep. Et skikkelig dårlig nigeriabrev, oversatt til norsk av en eller annen automatisk tjeneste, har vært ytterpunktet vi har sett for oss av den typen angrep. Dette fikk til og med sitt eget navn: "Security by obscurity", altså at det norske språket er så obskurt i verden at vi i trygge for internasjonale it-kriminelle.

Alle solemerker viser nå at denne tiden definitivt er forbi, og alle norske virksomheter gjør lurt i å ta en ekstra titt på informasjonssikkerheten sin.

- Dessverre så opplever vi, gjennom det vi ser og gjør og bistår med, at det fortsatt er altfor mange som ikke tror at dette kommer til å ramme dem. Dette skjer oss, og det treffer oss daglig. I det digitale rom invaderes vi hver eneste dag, det er det ingen tvil om, oppsummerte Roar Thon om den saken.

Å utkjempe denne krigen

Det nye sikkerhets- og trusselbildet krever at virksomhetene tilpasser tiltakene sine. Det er et langt mer uoversiktlig bilde nå enn før, men det er i alle fall klart at tradisjonelle teknisk baserte sikkerhetstiltak ikke lenger er tilstrekkelige.

UTVIKLING: Truslene på internett har endret seg kraftig over tid. I dag er nasjonalstater og svært profesjonelle kriminelle som står bak de alvorligste truslene. Legg også merke til det blå feltet, som viser hvor tradisjonelle mottiltak er effektive. (Ill: The Langner Group)

- Om du i dag bare gjennomfører sikkerhetsoppdateringer, og kun bruker brannmurer og antivirus, så er du fullstendig utdatert. Dette er ikke lenger godt nok, du utkjemper forrige krig, den for femten-tyve år siden, sa sikkerhetseksperten Ralph Langner under sitt foredrag på sikkerhetskonferansen Paranoia nylig.

Samtidig er dagens trusselbilde så uensartet og komplisert at det ikke finnes noen konkrete tommelfingerregler lenger for hvordan en virksomhet skal beskytte seg. Den enkelte virksomhet må ta sine forholdsregler basert på sin egen situasjon, infrastruktur og håndtert informasjon.

I rapporten fra NSM kan vi lese følgende liste over momenter som ledere og ansatte i norske virksomheter anbefales å legge særlig vekt på i sikkerhetsarbeidet sitt:

  • FORSTÅ SITUASJONSBILDET: Hva er risikoen for at spionasje, sabotasje, terror eller andre alvorlige hendelser kan ramme virksomheten din? Kan det dere jobber med ha betydning for samfunnsviktige funksjoner utenfor eget ansvarsområde?
  • ERKJENNE RISIKO: Er virksomheten klar over risikoene, og gjør dere noe med dem? Gjennomføres risikovurderinger?
  • FORSTÅ SÅRBARHETENE: Er virksomheten din klar over hvor sårbarhetene er, og har dere gjort nok for å redusere eller lukke dem?
  • SKAFFE KOMPETANSE: Har dere kompetansen dere trenger for å ivareta sikkerheten på en god nok måte? Vet de ansatte hva de skal gjøre for å bidra til en god sikkerhetskultur?
  • GJØRE NOE MED SITUASJONEN: Har dere iverksatt tiltakene som bør på plass for å redusere risikoen til et akseptabelt nivå? 

Mer åpenhet

Tradisjonelt har mange bedrifter unnlatt å informere om at de har vært utsatt for datakriminalitet, av frykt for å miste omdømme eller fremstå som inkompetente. Derfor har det alltid eksistert store mørketall om omfanget av datakriminalitet i Norge, og mørketallsundersøkelser som har blitt utført, har dokumentert at det er svært stor underrapportering av sikkerhetshendelser her til lands.

Direktøren i NorSIS, Roger Johnsen, mener at dette er et stort problem, av flere årsaker. Både underrapporteringen som gjør at myndighetene ikke får dokumentert omfanget ved hjelp av antall politianmeldelser av saker, men enda viktigere, at dagens forsvar mot avansert datakriminalitet må baseres på kunnskap og deling av kunnskap. Dette tok mye av plassen da Johnsen holdt et foredrag om åpenhet som et mottiltak mot cybertrusler på sikkerhetskonferansen Paranoia i år.

Les også: - Dette treffer norske bedrifter

- Jeg tror at den viktigste forutsetningen er å forstå trusselen. Ikke bare teknisk signatur på at noe er i ferd med å skje, men også hvorfor, hva er målet, og med hvilke ressurser. Da må vi samarbeide. Dagens modell, med utveksling av informasjon om digitale sårbarheter mellom noen få store aktører under forutsetning om å ikke spre det videre, tror jeg ikke er veien å gå, sa han.

Han mener at dersom bedriftene og organisasjonene blir mer åpne om det de vet og ser, og deler på kunnskapen de har ervervet seg, så vil mange flere kunne håndtere de nye truslene bedre. Han fremholdt særlig de minste bedriftene som ikke har mannskap og ressurser til å gjøre avansert trusselanalyse selv som spesielt utsatte.

- Manglende åpenhet om ikt-hendelser utsetter små og mellomstore virksomheter for unødvendig risiko. Det er situasjonen i Norge i dag. Påstander om at det har snudd til en delingskultur, er tøv. Det er ikke mer utbredt nå enn tidligere, fastslo Johnsen.

- Jeg har tre ting jeg skulle ønske at både det offentlige og det private Norge virkelig tok seg i nakken for å gjøre noe med: Det første er å samarbeide om å forstå trusselbildet, utveksle den informasjonen som trengs, og hjelp hverandre med å analysere det. For det andre samarbeid om å forebygge, og håndtere datakriminalitet. Ikke overlat det til noen få, eller lev i den villfarelsen at det finnes en sentral myndighet som kan håndtere dette alene. Til sist må alle samarbeide om å redusere konsekvensene av ikt-hendelser, avsluttet direktøren i NorSIS.

Sikkerhet