Telenor slår hacker-alarm

- Det er ikke sånn at dette hadde vært "unngått ved bedre oppfølging". Alle dere hadde gått på dette, sier Telenors sikkerhetsdirektør Rune Dyrlie, i et rom fylt av alle former for sikkerthetseksperter, cyberforsvarssjefer, virusanalytikere, penetrasjonstestere, perthorsheimere, oletomserierstadere og øvrige digitale slåsskjemper med lisens til å kode.

Forrige fredag anmeldte Telenor industrispionasje til Kripos for første gang, etter at det ble påvist trojaner-basert spionasje mot flere Telenor-sjefer. Dyrlie snakket ut om angrepet og om Telenors generelle digital-juridiske komplikasjoner på Nasjonal sikkerhetmyndighets (NSM) konferanse tirsdag, der han også avslørte flere og nye detaljer om angrepet som søndag ble gjort kjent gjennom et oppslag i Aftenposten.

Les også.

Angrepet mot Telenor var ekstremt sofistikert, ifølge sikkerhetssjefen. Han er ikke i tvil om at det er profesjonelle miljøer som står bak, miljøer med nærmest ubegrensede ressurser og kompetanse. Disse foreløpig ukjente skurkene går ikke av veien for å leie inn språksikre nordmenn til å lure ofrene. Du kan til og med få kommunikasjon på nynorsk, om det skulle falle seg naturlig.

En ting er å få en epost, ut av det blå, et svar på noe du aldri har spurt om, skrevet på dårlig norsk, som ber deg på knærne om å klikke på et vedlegg. Det var ikke en slik ting Telenors sjefer falt for. Epostene de fikk, ble gjerne sneket inn i en pågående epost-dialog med norske - man må anta jobbrelevante - personer. Eposten ble skrevet i samme stil som i den opprinnelige kommunikasjonen, og da er det ikke så rart at vedleggene, som inneholdt trojanere, ble åpnet.

- Skurkene kommer inn

Etter at angrepet ble kjent har Dyrlie blitt nedrent av telefoner fra sikkerhetsmiljøer. Det messes om sikkerhetskultur og opplæring. Sikkerhetsselskapene lover at de sitter på tekniske orakelmedisiner Telenor kan få tilgang på mot en sum penger. Drøm videre, tenker Dyrlie.

- Det er viktig å erkjenne én ting: Vi kan ikke lenger si at dette vil skje oss. Dette skjer mot oss. Det pågår nå. Alle med økonomiske- og kunnskapsmessige verdier vil bli utsatt for det, eller er allerede utsatt for det. Det er noen der ute som vil oss noe vondt, sier han.

- Du kan ha masse god opplæring, god sikkehetskultur, gode systemer rundt epost og infeksjoner -- poenget mitt er at uansett kommer noen seg på innsiden. Og da må du ha systemer for å fange dem opp på innsiden. Vi har jo selvfølgelig brannmur og alt det der, men det er det ukjente vi må finne ut av og håndtere.

Dyrlie påpeker at det er mange systemer som til sammen utgjør forsvarsmekanismen - det er slik Telenor fant ut at det forekom mystisk trafikk inne i nettverket. Han mener systemene er helt verdiløse uten mennesker koblet på.

- Enten må du ha noen internt, og da de flinkeste av de flinkeste, eller du må kjøpe tjenester fra noen som har det. Du må ha noen på innsiden av eget nett til å håndtere slikt.

Anmeldte villig

Dyrlie omtaler det som den første alvorlige industrispionasjesaken i Telenor, i alle fall i nyere tid. Derfor var de ikke i tvil om å koble inn Kripos, samt sine samarbeidspartnere Norcert og Cyberforsvaret.

- Cyberforsvaret har kompetanse vi ikke sitter på, og vice versa. Noe av nøkkelen er at de kompetente må samles. Og dette er noe av utfordringen til etater som Kripos og Politiet - de må komme på banen tidlig.

Og her er et hjertesukk fra Dyrlie. For mens angrepet pågår er det ikke tid til å skrive anmeldelser. Og når det er tid til å skrive anmeldelser, er det egentlig litt sent for Kripos å komme på banen.

Dyrlie skulle ønske Norcert som kontaktpunkt kunne koordinere mer av denne dansen - ta de nødvendige samtalene på bakrommet, mens offeret stod midt i bokseringen med hanskene hevet.

Sikkerhetssjefen skulle dessuten helst sett en egen privat og konfidensiell arena for debatt og diskusjon rundt situasjoner slik den Telenor nå har vært i, bestående av ulike relevante aktører.

- Vi er for lite flinke til å kikke i glasskula og se hva vi står overfor. Vi må snakke med hverandre. Når vi står her og snakker i offentlighet, er det begrenset hva vi kan si. Vi må skape arenaer der vi kan utveksle informasjon, og det er en utfordring for myndighetene, sier Dyrlie.

- Får vi til dette, kan vi også dryppe informasjon til mindre leverandører.

Han synes informasjonen de får fra Norcert er nyttig, men påpeker at Telenor strengt tatt får mye mer informasjon fra sine utenlandske samarbeidspartnere.

- Kan ikke dele alt

Nasjonal sikkerhetsmyndighet, ved assisterende direktør Anette Tjaberg, hører hva Telenor sier.

- Vi registrerer innspillene. Telenor eier jo viktig kritisk infrastruktur, og at de har oppfatninger om dette er helt naturlig ,sier hun.

- Her handler det også om at Telenor setter seg inn i de rollene som er etablert når det gjelder nasjonal koordinering av ikt-hendelser, som NSM er ansvarlig for gjennom Norcert-funksjonen. Hvis vi skal få dette til å fungere på en god måte, må alle forholde seg til de etablerte rollene vi har per nå. Dette er også viktig slik at NSM får gode og riktige situasjonsrapporter og trusselvurderinger til myndighetene, legger hun til.

NSM/Norcerts mål er å dele informasjon slik at virksomheter settes i stand til å beskytte seg selv, og detektere angrep, ifølge Tjaberg.. Men i noen sammenhenger er det bedriftsintern informasjon som ikke kan deles.

Hun tror møteplasser slik Dyrlie skisserer kan ha noe for seg, men at de må ha en struktur å støtte seg på.

- Med samfunnssikkerhetsmeldingen fra politisk side i fjor ble det snakk om å få på plass en sektorstruktur med egne responsmiljø i ulike sektorer. Når det kommer på plass og virker ordentlig, håper jeg det løser noe av det som etterlyses.