Til neste år, 2026, er det Totalforsvarsåret. Regjeringen har gitt DSB og Forsvaret oppdrag om å lede planleggingen og gjennomføringen. Det overordnede målet er ifølge DSB «å styrke Norges evne til å forebygge og håndtere sikkerhetspolitiske kriser og krig». Alle samfunnets ressurser skal kunne benyttes til felles innsats, i det øvre krisespekteret.
Som en forløper til Totalforsvarsåret gjennomføres Øvelse Digital 2025 i november i år. Over 60 private og offentlige virksomheter deltar i den største nasjonale cyberøvelsen gjennomført i Norge, noen gang. Hensikten er «å styrke samfunnets evne til å motstå digitale angrep» og videre «teste totalforsvarets evne til å håndtere og koordinere en kompleks digital hendelse, på tvers av sektorer, samt evnen til å kommunisere og samarbeide under håndteringen». Selv om digitale trusler og angrep er normaltilstand i cyberdomenet, er det ikke hverdagskost – heller ikke her i Norge – at man står ovenfor en motivert og kapabel angriper som forsøker å utføre sabotasje mot IT-systemene våre.
Dette til forskjell fra i Ukraina der Russland faktisk har utført vesentlig med forsøk på destruktive angrep mot myndighetsorganer, kraftforsyning og telekom-infrastruktur. De russiske cyberaktørene har imidlertid ikke lykkes med sine destruktive operasjoner mot Ukraina, blant annet som følge av et effektivt cyberforsvar på ukrainsk side. Derfor er det nyttig å teste samfunnets samlede respons mot cybertrusler, også her i Norge.
Vårt nasjonale cyberforsvar
Men før vi går i gang med øvingen og testingen, er det verdt å reflektere litt rundt hvordan vårt nasjonale cyberforsvar opererer og hva det består av. Altså hvilke aktører som er involvert og på hvilke nivåer de involverte aktørene samarbeider, både de med offensive og de med defensive mandater. For til forskjell fra det analoge og fysiske domenet hvor politiet og Forsvaret «bekjemper» og «nøytraliserer» trusler i henholdsvis fred-, krise- og krigstid – og resten av samfunnet primært reduseres til tilskuere – er store deler av det nasjonale cyberforsvaret overlatt til private og offentlige aktører, med støtte av politiet og Forsvaret. Det to sistnevnte har en mer tilbaketrukket rolle i cyberdomenet enn hva de har i det fysiske domenet. Det er ikke få ganger jeg selv har blitt møtt med utsagn som at «Cyberforsvaret» forsvarer hele Norge i det digitale rom. Selv om Cyberforsvaret gjør en utrolig viktig jobb for å forsvare Forsvarets egne systemer mot digitale angrep og -trusler, har de en begrenset rolle i å forsvare resten av samfunnet. Der har private aktører som Microsoft, Google og norske IT-sikkerhetsselskaper som for eksempel Mnemonic, som avdekket angrepet mot departementene sommeren 2023, en langt viktigere rolle.
For å øve bruk av både offensive og defensive virkemidler, samler NATO CCDCoE flere tusen deltakere hvert år for å delta på den årlige cyberøvelsen, Locked Shields. Et norskt lag med deltakere fra de ulike nivåene i vårt nasjonal cyberforsvar, deltar også under øvelsen.
Selv om vi i Norge har et cyberforsvar bestående av en rekke aktører på ulike nivåer eller «lag» av forsvar, diskuterer vi sjeldent temaet på denne måten. Ofte blir enkeltaktører og tiltak diskutert hver for seg. Som for eksempel når innføringen av ny sikkerhetslov diskuteres, nye virkemidler for PST til å lagre data fra «åpne kilder», nytt sensor-nettverk hos NSM for overvåkning av skjermingsverdige informasjonssystemer, eller E-tjenestens kapasiteter for å bedrive «offensive» cyberoperasjoner. Alle disse virkemidlene som befinner seg hos forskjellige aktører, inngår i et større virkemiddelapparat som må fungere i et samspill for å oppnå god nasjonal sikkerhet. Hver for seg kan tiltakene bidra til å sette den enkelte aktøren som forvalter virkemiddelet i stand til å utføre sin del av samfunnsoppdraget – men det vil ikke nødvendigvis bidra til god nasjonal sikkerhet med mindre tiltakene fungerer godt i et samspill. For å illustrere det med et eksempel:
Dersom en samfunnskritisk virksomhet legger et sårbart IT-system direkte tilgjengelig på internett, slik at en angriper enkelt kan kompromittere systemet – så hjelper det mindre at PST er i stand til å avdekke en video på Telegram postet av angriperne som viser at systemet er kompromittert. Slik situasjonen tilsynelatende kan fremstå i forbindelse med angrepet på damanlegget i Bremanger. Eller at NSM, med sitt sensornettverk, avdekker at 4,000 e-poster fra Stortingets e-post servere blir eksfiltrert (hentet ut), av kinesiske aktører. Det er viktig å kunne oppdage cyberangrep, men mer nyttig er det å forhindre angrepene å inntreffe, ved å etablere bedre sikkerhet i virksomhetenes egne systemer. Altså de defensive, forebyggende IT-sikkerhetstiltakene. Både hackingen av Stortinget og kompromitteringen av damanlegget i Bremanger, kunne vært forhindret. I begge «operasjonene» har politiet og PST brukt betydelige ressurser på den reaktive aktiviteten det er å etterforske straffbare handlinger utført av kinesiske og pro-russiske cyberaktører. «Angrep» som kunne vært forhindret og stanset av proaktive forebyggende sikkerhetstiltak. Derfor bør vi bruke mer tid på å diskutere hvordan de ulike tiltakene og virkemidlene skal fungere i et samspill. Fordi det hjelper mindre med reaktive tiltak for å øse vann ut av båten når du egentlig trenger en ny, tett båt uten hull som lekker vann inn.
Tre lag med virkemidler og aktører
De fleste stater, også her i Norge, har vi et tre-lags cyberforsvar som beskytter mot trusselaktørenes aktivitet. Det første laget består av den enkelte virksomhets egen sikring av sine IT-systemer. Det neste laget består av sentraliserte varslings- og deteksjonssystemer som leveres av private og offentlige aktører samt sektorvise responsmiljøer (SRM’er). Det tredje og siste laget består av de offensive kapasitetene til politiet og forsvarssektoren. I Norge forvaltes sistnevnte av Etterretningstjenesten.
Til sammen utgjør disse tre lagene med nasjonalt cyberforsvar, et system som bidrar til «forsvar i dybden». Til tross for at alle de tre lagene må fungere i et samspill, er det sjeldent temaet diskuteres i en slik kontekst. Som tidligere nevnt, blir ofte hvert enkelt tiltak omhandlet isolert – hver for seg, uten at man ser på konteksten rundt tiltakene. Så la oss se nærmere på de tre lagene som utgjør vårt nasjonale cyberforsvar.
Det første laget i vårt nasjonale cyberforsvar
Grunnsikringen til enhver virksomhet utgjøres av den lokale forebyggende sikkerheten. Dette er virksomhetens eget ansvar og utgjør fundamentet som holder trusselaktørene ute. Fysisk sikring, personellsikkerhet og IT-tekniske tiltak. Mangler man grunnleggende tiltak for å sikre at kun autoriserte brukere får tilgang til IT-systemer og data, så er man et enkelt mål for trusselaktørene. Dette gjelder uansett hvor avanserte trusselaktørene er, noe som godt illustreres av kompromitteringen av damanlegget i Bremanger. Så lenge virksomheten er sitt ansvar bevisst, er det på dette laget de aller fleste cyberangrep og forsøk på kompromitteringer, stanses. Virksomhetens beredskapssystemer, herunder deteksjon, hendelseshåndtering og -responssystemer, er del av det første laget.
Undertegnede har skrevet mer inngående om hvordan man kan sikre sine IT-systemer for Stratagem i tidligere artikler, så la oss fokusere på de to andre lagene i cyberforsvaret.
Det andre laget i vårt nasjonale cyberforsvar
Det andre laget i det nasjonale cyberforsvaret utgjøres av sentraliserte deteksjons- og responsfunksjoner. Det er tjenester som leveres av andre leverandører, men som støtter virksomheten (i lag én), med i å oppdage og håndtere cyberangrep- og hendelser. Leverandører av såkalte MDR (managed detection and response) og SOC (security operations center)-tjenester, utgjør det andre laget. Disse kan leveres fra både private og offentlige, nasjonale og internasjonal leverandører. Microsoft, Mandiant (nå Google) og CrowdStrike er tre store internasjonale leverandører. I Norge har vi private leverandører som for eksempel Mnemonic og Netsecurity eller offentlige aktører som Nasjonal sikkerhetsmyndighet (NSM), hvilket leverer varslingssystem for digital infrastruktur (VDI).
Sistnevnte er et sentralisert deteksjons- og varslingssystem utplassert hos virksomheter underlagt sikkerhetsloven. En enkelt virksomhet kan benytte seg av tjenester fra flere av disse aktørene samtidig og de er spesielt viktige dersom det første laget av cyberforsvar svikter. For det er først når en sårbarhet er utnyttet og angriperen er på vei til å lykkes med å kompromittere virksomhetens IT-system (lag 1) at deteksjonssystemene med varsling (lag 2), vil kunne oppdage og alarmere om den uautoriserte trussel-aktiviteten.
Virksomheten selv kan også drifte egne deteksjons- og varslingssystemer, men dette er både ressurs- og kompetansekrevende. Derfor velger mange å anskaffe tjenester fra en profesjonell MDR eller SOC-leverandør i markedet. I tillegg er sektorvise responsmiljøer (SRM’er) som ofte går under navnene sektor-CERT’er (computer emergency response teams), del av det andre beskyttelseslaget. For eksempel JustisCERT, HelseCERT, FinansCERT og VegCERT, for å nevne noen. Disse kan bistå med alt fra varsling om sårbarheter og trusseletterretning til anbefalinger om forebyggende tiltak og ikke minst, hendelseshåndtering. Flere av CERT’ene har egne IRT’er (incident response teams), noe som også ofte leveres av de private tjenesteleverandørene omtalt over. Det finnes et eget rammeverk for hvordan virksomheter og SRM’er skal koordinere sine aktiviteter sammen med Nasjonal Cybersikkerhetssenter (NCSC) hos NSM ved digital angrep.
Det tredje laget i vårt nasjonale cyberforsvar
Det siste og tredje laget i vårt nasjonale cyberforsvar, er det som består av politiet og Forsvarets (ofte lagt til Etterretningstjenestene) sine offensive kapasiteter. Dette er «laget» som ofte får minst offentlig oppmerksomhet, men som likevel er viktig, spesielt hvis det første og andre laget svikter. Politimyndigheter som etterforsker lovbrudd og som kan benytte seg av tvangsmidler (også skjulte) og internasjonalt politisamarbeid som, sammen med andre stater, kan ta i beslag, pågripe, ransake de som mistenkes å stå bak kriminaliteten. Også cyberkriminalitet. Det som ofte blir omtalt som «cyberhendelser» eller «cyberangrep» innen IT-industrien er per definisjon kriminalitet etter rettslige standarder. Et tjenestenektangrep mot nettsider består av lovbruddet skadeverk. Et løsepengevirus med uthenting av data er tyveri, skadeverk og utpressing.
Selv om etterforskning er en reaktiv virksomhet som er svært tid- og ressurskrevende, er det samtidig den aktiviteten som ofte er best egnet for å attribuere et angrep tilbake til en bestemt trusselaktør. Altså aktiviteten som består i å identifisere hvem som står bak angrepet. Nettopp fordi politiets etterforskninger krever stor grundighet og nøyaktighet for å kunne benyttes som grunnlag i domstolene, dersom straffesaken kommer så langt. Et godt eksempel på sistnevnte er KRIPOS sin etterforskning av løsepengevirus-angrepet mot Hydro som kostet sistnevnte bortimot én milliard norske kroner. Flere personer som er siktet for angrepet har i dag blitt pågrepet ved hjelp av internasjonalt politisamarbeid.
I tillegg til de offensive kapasitetene til politimyndigheter, har vi Etterretningstjenestene som både «følger» og «forstyrrer» utvalgte trusselaktørers aktivitet. Selv om det ikke eksisterer noen offentlige kjente eksempler på hvordan den norske E-tjenesten har benyttet offensive cyberkapasiteter, var VG i 2023 til stede for å rapportere fra en av deres øvelser. Målsettingen var å stanse et pågående angrep fra en fremmed aktør som hadde tatt seg inn i det norske strømnettet. Ved å ta seg inn i «motstanderens» IT-infrastruktur, kan politi og etterretningstjenester sabotere for deres operasjoner ved å ødelegge eller forstyrre systemene som benyttes for å «angripe» strømsystemet.
Bruk av offensive cyberoperasjoner har imidlertid vært kontroversielt her i Europa, i lang tid. Dette er én (av trolig flere) grunner til at Norge fremdeles ikke har cyberstrategier som omhandler bruk av offensive kapasiteter. Vi fokuserer utelukkende på de defensive i våre offentlige cyberstrategier, til forskjell fra for eksempel USA og Stortbritannia. En av kontroversene handler om at trusselaktørene ofte benytter IT-infrastruktur som befinner seg i et annet land, for eksempel et annet NATO-land, når de utfører sine «angrep» mot vestlige nasjoners IT-systemer. En offensiv cyberoperasjon utført fra Norge kan dermed innebære å «hacke» et IT-system i Tyskland dersom det samme systemet benyttes av cyberaktører fra Russland. Dette er et politisk og juridisk minefelt, noe amerikanske U.S. Cyber Command fikk erfare da de tok ned en server i Tyskland som spredte propaganda for terrorgruppen IS. Til tross for kontroversene har Trump-administrasjonen uttalt at de vil løsne på restriksjonene som holder de offensive cyberkapasitetene, tilbake. Som en respons på det økende antallet cyberangrep fra Kina, ønsker Trump og støttespillerne at amerikanske myndigheter skal slå mer offensivt tilbake – ikke bare forsvare seg.
Dette tredje og siste laget i vårt nasjonale cyberforsvar kan både virke proaktivt og reaktivt. Altså både for å forhindre, ettergå og bekjempe trusselaktørenes operasjoner. Spesielt viktige er lag tre dersom ikke lag én eller to har forhindret, oppdaget og stanset angripernes operasjoner. Lagene må fungere sammen for at vi skal oppnå ønsket effekt.
Tre lag med cyberforsvar – sammen blir vi sterkere
Når vi snakker om, eller øver, vår nasjonale evne til beskyttelse i cyberdomenet, må vi omhandle alle de tre lagene av cyberforsvar. Som jeg har vært innom tidligere, er det svært ofte at hvert enkelt virkemiddel diskuteres isolert og hver for seg. Spesielt i forbindelse med innføringen av nye virkemidler og lovverk. Men dersom vi som samfunn ønsker å oppnå en best mulig beskyttelse mot fremmede aktørers cyberoperasjoner, enten disse utføres av kriminelle eller aktører tilknyttet fremmede stater, er vi nødt til å betrakte og vurdere de ulike virkemidlene, deres styrker og svakheter – i samspill.
Det er et faktum at de aller fleste operasjoner stanses av det første laget med nasjonalt cyberforsvar, av virksomhetens egne defensive tiltak. Deretter stanses svært mange operasjoner på lag to, av sentraliserte deteksjons og respons-funksjoner. Dette er tilfellet spesielt dersom trusselaktørene kommer seg forbi det første laget av cyberforsvaret. Den tredje og siste mer «offensive» kategorien blir spesielt relevant hvis de to første lagene «svikter» og statens egne myndigheter med offensive mandater får kunnskap om trusselaktørens operasjoner. Det kan for eksempel være at IP-adresser blir fanget opp i lag én eller to, som danner grunnlaget for hvilken IT-infrastruktur som de offensive kapasitetene i lag tre skal forsøke å «hacke» seg inn i. Også trusselaktørens egen infrastruktur innehar sårbarheter som kan utnyttes av kompetente «hackere».
Og i noen tilfeller er det en fordel om hackerne bærer det norske flagget på sitt bryst.
Foto: Anette Ask/Forsvaret
