Flere cyberoperasjoner og -angrep har blitt gjennomført mot Norge og norske virksomheter de senere årene. Noen av de står statstilknyttede aktører bak, som dataangrepene mot Helse Sør-Øst og Fylkesmannen i 2018, innbruddene i Stortingets e-post servere i 2020 og 2021 og departementenes IT-plattform i 2023. Flere private og offentlige virksomheter har i samme tidsperiode også blitt utsatt for angrep med løsepengevirus, slik som Østre-Toten kommune, Hydro, Amedia, Nortura og Tomra. De sistnevnte angrepene er i hovedsak utført av kriminelle grupperinger, ofte fra Russland.
Dette er imidlertid bare noen få utvalgte og kjente eksempler. Listen over de som har fått sine IT-systemer kompromittert men som ikke er offentlig kjent, er lengre. I tillegg har vi alle de som ikke er klar over at de har blitt kompromittert fordi de mangler evne til å oppdage tegn på trusselaktivitet. Det er nemlig ganske vanlig at en virksomhet ikke oppdager tegn på trusselaktivitet i cyberdomenet. Datagiganten IBM har tidligere uttalt at det i gjennomsnitt tar 280 før en virksomhet oppdager et datainnbrudd og FireEye, som er ett av de fremste selskapene i verden på å avdekke trusselaktivitet, har uttalt at 53 prosent av alle angrep mot IT-systemer foregår uten at virksomheten selv merker noe til det. Og videre at 91 prosent av trusselaktørens aktivitet ikke genererer noen alarmer eller varsler.
Små subtile tegn på kompromittering må oppdages
Det er nettopp derfor flere sentrale norske virksomheter har blitt kompromittert og fått dataene sine kryptert uten at de har vært i stand til å «kaste» trusselaktøren ut av IT-systemene, før det er for sent. Dersom en angriper først kommer seg på innsiden av IT-systemene og «eksfiltrerer» (henter ut) større eller mindre mengder data uten at eier av IT-systemet evner å oppdage slik aktivitet, vil sistnevnte forbli i en tilstand av uvisshet. Dette er typisk modus-operandi for avanserte statstilknyttede aktører på spionasjetokt. Dette til forskjell fra kriminelle aktører som benytter løsepengevirus som krypterer data, låser systemene og skjermene «går i svart». Da blir det fort åpenbart at man er under «angrep».
For å avdekke tidlige tegn på et cyberangrep, er virksomheten avhengig av å logge aktivitet og nettverkstrafikk i IT-systemene. I tillegg må det settes opp alarmer som varsler dersom mistenkelig aktivitet blir utført. Hvis ikke kan et datainnbrudd med påfølgende uthenting av data være umulig å oppdage. Dersom trusselaktøren er litt over gjennomsnittet avansert, vil de ta i bruk teknikker som tilsvarer aktivitet som en legitim bruker eller administrator av systemet ville ha gjort. Fremfor å benytte «hacker-verktøy» og «skadevare» som lager støy som kan fanges opp av deteksjonssystemer, kan trusselaktøren benytte verktøy som allerede er innebygget i Microsoft sine operativsystemer, slik som Powershell-kommandoer. Dette er normal aktivitet for administratorer av systemet å utføre.
Slike fremgangsmetoder omtales som «living of the land» og gjør trusselaktørens aktivitet vanskeligere å oppdage. Nettopp fordi det er vanskeligere å skille den normale og legitime aktiviteten til administratoren av system fra den unormale og illegitime til trusselaktøren (logget på som administrator). Tilsvarende kan trusselaktøren logge seg på med brukernavn og passord tilhørende en legitim bruker fremfor å prøve mange ulike kombinasjoner som feiler og som til slutt genererer en alarm som forsvarerne av IT-systemet kan følge opp. Slik aktivitet kan undersøkes av sikkerhetsanalytikere, og dersom tegn til brudd kan bekreftes – iverksettes hendelseshåndteringen. Altså de prosessene som virksomheten iverksetter når trusselaktivitet foregår i egne IT-systemer.
Vi må redusere hva som er «tillatt aktivitet»
Årsaken til at en sikkerhetshendelse eller et «cyberangrep» inntreffer kan være mange. Men til syvende og sist vil det være fordi en trusselaktør eller angriper på en eller annen måte forsøker å påvirke IT-systemet. Ofte for å tilegne seg data (spionasje) eller for å gjøre endringer i IT-systemet eller gjøre det utilgjengelig (sabotasje). Et vellykket «angrep» kan trusselaktøren enklest få til dersom de utnytter det vi omtaler som tillatt aktivitet. For eksempel ved å logge seg på en server eller et nettverk som er eksponert mot internett ved bruk av legitime påloggingsdetaljer. Flere angrep med løsepengevirus, blant annet mot en norske kommune i 2021, gjennomføres ved at trusselaktørene forsøker å koble seg opp mot en fjernaksessløsning via RDP (remote desktop protocol). Virksomheter som tilgjengeliggjør en RDP-tilkobling ut mot internett, inviterer nærmest angriperne inn til egne systemer. Protokollen ble laget for å drive fjernadministrasjon internt i et LAN-nettverk (local area network) for over 20 år siden. Protokollen er ikke tilpasset det «skitne» miljøet som internett er. Derfor er helt avgjørende at en virksomhet iverksetter forebyggende tiltak. Dette er tiltak som forhindrer skadelig aktivitet ved å ikke tillate den. Dermed reduseres sårbarhetsflatene som en trusselaktør kan benytte til å gjennomføre et angrep mot virksomhetens IT-systemer og nettverk.
Motsetningen til aktivitet som er tillatt er selvsagt alt som ikke er tillatt. Det er nemlig mulig å konstruere IT-systemer som er sikre mot dataangrep ved å begrense all den tillatte aktiviteten i så stor grad at det er tilnærmet umulig å manipulere eller «hacke» systemet. For å illustrere poenget så kan man se for seg et IT-system som er nedlåst i en bunker, uten tilkobling til internett og kun én person er i besittelse av nøkkelen inn til bunkerdøra. Utfordringen er bare at det gjør IT-systemet svært lite brukervennlig. Hjemmekontorløsninger, noe som for mange har blitt vanlig etter pandemien er utelukket med mindre hjemmekontoret befinner seg nede i bunkeren. Moderne IT-systemer må derfor konstrueres med en sikkerhetsarkitektur som ivaretar mange ulike, ofte motstridende hensyn. Hjemmekontor, smidig utvikling, skyteknologi, bruk av mobile som telefoner, droner og sensorer.
De færreste IT-systemer er nemlig konstruert kun for å være sikre. Det er andre årsaker til at en privat bedrift, et selskap, et universitet eller offentlig sektor benytter seg av IT. Som oftest fordi det øker effektivitet, samhandling og situasjonsforståelse. For virksomheter slik som Forsvaret, ser imidlertid denne balansen noe annerledes ut. Forsvaret er et instrument som ideelt sett skal kunne garantere en viss grad av sikkerhet for staten og befolkningen mot ytre trusler. I det minste et minimum av sikkerhet. Sikkerhetsarkitekturen til Forsvarets IT-systemer må derfor også være tilpasset og dimensjonert for et trusselbilde som består av sikkerhetspolitisk krise og krig. Derfor har Forsvaret utstrakt bruk av sikkerhetsgodkjente, «graderte» systemer. Disse har ingen RDP-tilkoblinger eksponert ut mot internett og den tillatte aktiviteten er redusert til et minimum og det strengt nødvendige.
Vi trenger mer sårbarhetsreduksjon og bedre forebygging
Selv om vi vet at forebygging og sårbarhetsreduksjon er viktig, så er en sentral utfordring i dag at mange virksomheter mangler grunnleggende tiltak for å beskytte sine IT-systemer og til å oppdage potensielle sikkerhetshendelser på et tidlig tidspunkt. Slik at virksomhetene kan avverge hendelser før de får alvorlige konsekvenser. Dette gjør det enkelt for angriperne å komme seg på «innsiden» av norske virksomheters IT-systemer. Enten de er kriminelle eller statstilknyttede aktører. Nettopp fordi mye av aktiviteten er «tillatt». Den er tillatt i form av at man ikke har begrenset mest mulig av aktiviteten som en trusselaktør kan utføre for å kompromittere det samme IT-systemet.
For å illustrere problemstillingen med et eksempel som mange kan kjenne seg igjen i og som var høyaktuelt for ett drøyt år siden: Når våre statsråder kan installere den TikTok på tjenestetelefonene sine uten at det ser ut til å være noe refleksjon om hva dette kan bety av risiko for statsråden selv og IT-systemene som er koblet til statsrådenes telefoner – er det grunn til å rope varsko. I det minste burde det gått av en alarm internt i departementenes IT-systemer som varslet om at en ikke-godkjent applikasjon var installert på statsrådens tjenestetelefon. Hva departementet og statsråden velger å foreta seg for å håndtere risikoen får være opp til dem – men en forutsetning for å håndtere risikoen er at potensiell trusselaktivitet eller handlinger som genererer sårbarhet, blir oppdaget. I et system hvor alt er tillatt blir det svært vanskelig å oppdage avvikene. Altså tegnene på at noe er unormalt.
Nåla i høystakken forsvinner med andre ord i den enorme mengden høy. Dette i et fjøs som til stadighet vokser i omfang og utbredelse jo flere applikasjoner og tjenester statsråden tar i bruk.
Vi må ha evne til å oppdage trusselaktivitet
Nok et eksempel på en manglende sikkerhetsarkitektur finner vi med Stortinget og deres Microsoft Exchange e-post servere i 2021 som var tilgjengelig på internett for angriperne. Dermed kunne flere sårbarheter utnyttes av angriperne. Heldigvis var det implementert mekanismer som bidro til å oppdage trusselaktivitet, slik at Nasjonal sikkerhetsmyndighet (NSM) kunne varsle Stortinget om «unormal aktivitet» inn mot Stortingets systemer. Oppdagelsen var imidlertid noe sen da over 4,000 e-poster tilhørende daværende nestleder i Stortingets utenriks- og forsvarskomité, Michael Tetzchner, allerede var hentet ut trusselaktøren som senere ble attribuert til Kina. Angrepet kunne med andre ord enkelt vært forhindret dersom Stortinget hadde fulgt beste praksis og lagt sine e-post servere bak brannmurer eller andre løsninger med moderne autentiseringsmekanismer slik som VPN-tilkobling.
Derfor er det et lite tankekors at tidligere Forsvarsminister Frank Bakke-Jensen uttalte følgende til TV2: «Når tilrettelagt innhenting er på plass vil den gi oss langt bedre mulighet til å oppdage digitale angrep tilsvarende det vi så mot Stortinget nylig.» Angrepet ble oppdaget av NSM, bare litt sent. Det er lett å ha forståelse for at Etterretningstjenesten ønsker «tilrettelagt innhenting» for å bedre sin etterretningsinnsamling, men det finnes langt enklere måter å sikre Norges viktigste demokratiske institusjon mot dataangrep på enn ved masseinnhenting av data i bulk. Stortinget måtte bare fulgt beste praksis for hvordan man skal sikre egne IT-systemer, ved å etablere en sikker IT-arkitektur. Dette er et ansvar som hver enkelt virksomhet i Norge selv må ivareta og kan forhindre de fleste angrep.
Men det finnes ingen «silver-bullett» mot cyberangrep
Samtidig vil heller ikke bedre forebygging være en «silver-bullett» mot cyberoperasjoner utført fra fremmede stater, noe fjorårets dataangrep mot IT-plattformen til de 12 departementene, illustrerer. Også denne hendelsen ble oppdaget, noe vi kan takke det norske sikkerhetsselskapet Mnemonic for. De oppdaget utnyttelse av tidligere ukjent nulldagssårbarheter i en programvare fra produsenten Ivanti som benyttes av mange sentrale virksomheter, verden over. En nulldagssårbarhet er en teknisk sårbarhet som ikke er kjent, heller ikke for for leverandøren av programvaren. I dette tilfellet Ivanti.
Det faktum at nulldagssårbarheter oppdages i program- og maskinvare er ikke uvanlig, de finnes i alle produkter – din mobiltelefon, datamaskin, el-bil og smarthus, men at utnyttelse av dem oppdages av et norsk selskap ved en cyberoperasjon mot sentrale norske virksomheter, har vi få offentlig kjente eksempler på. Angrepet ble utført av avanserte trusselaktører, trolig tilknyttet en fremmed stat. I etterkant av angrepet mot departementenes IT-plattform, har kinesiske cyberaktører utført flere cyberoperasjoner verden over der de har utnyttet nulldagssårbarheter i flere av Ivantis produkter.
Denne utviklingen vil trolig fortsette så lenge vi lager IT-systemene våre av sårbar program- og maskinvare som kan utnyttes av avanserte trusselaktører. Den eneste måten vi fremover kan få færre cyberhendelser å håndtere på, er å forhindre flere av hendelsene i å inntreffe. Ved å forebygge bedre, gjennom å redusere sårbarhet. I så tilfelle trenger vi mer fokus på det forebyggende arbeidet, og det må stilles krav til sentrale norske virksomheter om å ha en forsvarbar IT-sikkerhetsarkitektur. Bygget av «lag på lag» med sikkerhet hvor det som er «tillatt aktivitet» begrenses til det nødvendige.
Foto: Daniel Nordby/Forsvarets ingeniørhøgskole
