Cyberangrep vil også skje i årene framover. Det er bare et spørsmål om når. Flere hevder at det kun finnes to typer virksomheter – de som allerede er hacket, og de som kommer til å bli det. Med dette dystre bakteppet har kontroll & revisjon hatt en prat med en ekspert på temaet.
Maria Bartnes er utdannet sivilingeniør ved Institutt for telematikk, NTNU og har en PhD i informasjonssikkerhet fra samme sted. Hun har også hatt studie- og forskningsopphold ved UC Santa Barbara i USA.
Maria er til daglig forskningssjef ved SINTEF Digital og leder en avdeling innen systemutvikling og sikkerhet. Hun er også førsteamanuensis II ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi, NTNU. Hun har tidligere vært både forsker ved SINTEF Digital og IT-sikkerhetsleder for SINTEF. I 2019 ble Maria kåret til en av Norges fremste tech-kvinner i norsk næringsliv av Abelia/ODA, og hun ble i fjor kåret til årets DigIT-kvinne 2023.
Maria er spesielt opptatt av samspillet mellom mennesket, teknologi og organisasjon, som må fungere for at SINTEF skal lykkes med sin visjon: Teknologi for et bedre samfunn.
Maria erkjenner at det her med cybersikkerhet er vanskelig og uoversiktlig for mange – hvor skal en starte, hva skal en gjøre. I dette intervjuet kommer hun med noen konkrete råd som du kan ta i bruk allerede i dag, og som vil gjøre deg best mulig forberedt på cyberangrep.
Kan du gi noen eksempler på cyberangrep?
I fjor ble 12 departementer hacket. Angrepet ble oppdaget i juli, men det viste seg at hackerne hadde vært inne i systemene i flere måneder, iallfall fra april. Dette var et målrettet angrep, og hackerne hadde utnyttet en sårbarhet som ennå ikke var offentlig kjent (det vi kaller en nulldagssårbarhet), og som det derfor ikke fantes en sikkerhetsoppdatering for.
Panteselskapet Tomra ble angrepet av hackere, og det førte til at de måtte stenge ned en rekke datasystemer, inkludert 65 prosent av panteautomatene deres over hele verden. De har anslått at angrepet, inkludert opprydding og etterforskning i etterkant, kostet dem nærmere 200 millioner kroner.
NRK ble lurt til å betale 80 000 euro (drøye 900 000 kr) til en svindler. Svindleren hadde tilgang til den NRK-ansattes e-post og visste at det skulle komme en reell faktura, for deretter å etterligne den videre kommunikasjonen og få NRK til å betale en forfalsket faktura. Dette var et avansert angrep hvor svindleren klarte å kompromittere/fange opp tofaktor-autentiseringen som den ansatte utførte.
I tillegg husker vel de fleste hva som skjedde med Østre Toten kommune i begynnelsen av 2021 og angrepene mot Stortinget for noen år siden. I desember 2021 ble Nordland fylkeskommune utsatt for et dataangrep. Dette førte til at fylkeskommunen måtte stenge ned administrative og faglige datasystemer, inkludert hos de videregående skolene og fagskolen.
Hva er de vanligste motivene bak cyberangrep og hvem står bak?
Maria forteller at de typiske motivene kan være:
- Økonomisk vinning.
Kryptovirus er en metode som kan benyttes for vinning, hvor angriper sørger for at store deler av fillageret krypteres og presser virksomheten for penger. Ulike former for svindel, kommer gjerne via e-post. Falske fakturaer. - Uthenting av konfidensiell informasjon for videre utnyttelse.
Dette kan være industrispionasje, at en henter ut spesifikasjoner eller andre tekniske dokumenter som gjør at en kan kopiere produkter og selge til lavere pris. Eller personopplysninger som kan videreselges for bruk i markedsføring. Eller bruke denne typen informasjon til utpressing, som igjen går tilbake til økonomisk vinning. - Datakraft – altså få kontroll over et stort antall datamaskiner for å kunne kjøre angrep mot det egentlige offeret med stor styrke.
Et slikt angrep kan for eksempel være et såkalt tjenestenekt-angrep, hvor angriper oversvømmer mål-systemet med forespørsler, det krever mye datakraft. Det blir som at tusen kunder prøver å komme inn gjennom en vanlig butikkdør samtidig. Ingen kommer gjennom døra, og butikken stenger for å stoppe pågangen, og ender også opp med å ikke selge et eneste produkt siden de er stengt. - Ønske om å skade en gitt virksomhet, ødelegge deres rykte eller sørge for at de må stenge ned, og er ute av drift.
- Markering av politiske standpunkt, gjøre opprør mot øvrigheta/politikere/myndigheter, en form for demonstrasjon med konsekvenser.
F.eks. ble Nobelsenterets nettside hacket da det ble kjent at Liu Xiaobo skulle motta fredsprisen for en del år siden. - Vise hva en kan, hvor langt inn i systemene til enkeltvirksomheter en klarer å komme.
Dette kan være for å bygge sitt eget rykte som hacker. - Og helt ytterst på skalaen, krigføring.
Motivet vil være blant de ovennevnte, men hvis konteksten er krig, er både viljen og ressursene store, og offerets mulighet til å stå imot, vil være liten.
– Hvem som står bak, henger gjerne sammen med motiv, fortsetter Maria.
Det siste eksemplet med krig, da vil det typisk være en statsmakt som står bak. Mens det nest siste eksemplet, kan typisk være en enkeltperson eller kanskje en liten gruppe hackere som ikke har all verdens med ressurser, men som er ute etter anerkjennelse i gitte miljøer.
Markering av politiske standpunkt, det kan være ulike aktører, men hackergruppa Anonymous markerte seg for noen år siden, iallfall.
Den kriminelle økonomien innen cyber er stor, og det er ikke nytt at noen ønsker å skade andre – cyberdomenet er bare en ganske ny arena, hvor det er mulig å sitte geografisk langt unna offeret sitt, krysse landegrenser underveis og dermed skjule spor, og etter hvert oppnå ganske store konsekvenser, siden det meste i dag er koblet på nett. Også kritiske samfunnsfunksjoner.
Det er billig å angripe mange, f.eks. ved å sende phishing-eposter, og en trenger ikke å lure så mange før gevinstene er relativt store.
Det er billig å angripe mange, f.eks. ved å sende phishing-eposter, og en trenger ikke å lure så mange før gevinstene er relativt store. Så det kan være en snarvei til rikdom, og det er det alltid noen som er ute etter.
Hvem er utsatt – alle?
– Ja, absolutt alle er potensielle mål, sier Maria.
Alle virksomheter, store og små, kritisk infrastruktur og andre som ikke anser seg som spesielt kritiske. Og enkeltpersoner. Det er lett å tenke at «min kommune er ikke interessant, ingen vil vel angripe oss» - men absolutt alle virksomheter har både minst en kunde/bruker og minst en leverandør, og det betyr at alle virksomheter kan være en vei inn til å angripe en annen virksomhet.
De største virksomhetene har et konglomerat av både kunder/brukere og leverandører, og det å ha oversikt over den såkalte leverandørkjeden er dermed nærmest umulig. Men hackerne trenger bare å finne EN vei inn. Og noen av dem har god tid og mye ressurser.
På samme måte er de fleste av oss ansatt i en virksomhet, og dermed en vei inn. Og de som eventuelt ikke er ansatt noe sted, kjenner likevel noen som er ansatt.
Hackerne bruker tid til å kartlegge angrepsmålet sitt, og det inkluderer også hvem som jobber der, hvem kjenner hvem, hva er fritidsinteressene til de ulike, etc. Alt for å kunne bygge tillit og utnytte det etterpå.
Hva er de vanligste sårbarhetene i virksomhetssystemene?
– I alle IT-systemer er det tekniske sårbarheter, såkalte sikkerhetshull, sier Maria.
Noen av dem kan utnyttes av angripere, mens andre ikke kan det. Sårbarhetene er både i enkeltsystemer, og i det at ulike systemer er koblet sammen. Men i svært mange angrep utnyttes mennesker på ulike måter. Vi lures til å slippe inn folk som ikke jobber der, til å oppgi passordet vårt, til å taste inn personopplysninger på falske nettsider, til å betale fakturaer som er _nesten_ autentiske.
Vi er på mange måter lettlurte, men samtidig ønsker vi å ha et samfunn hvor vi har tillit til hverandre. Den tilliten kan lett utnyttes av angripere.
Vi er på mange måter lettlurte, men samtidig ønsker vi å ha et samfunn hvor vi har tillit til hverandre. Den tilliten kan lett utnyttes av angripere.
Hvordan oppdages et cyberangrep?
Maria forteller at mange angrep oppdages så tidlig at de ikke får effekt. Av tekniske overvåkningssystemer som virksomhetene selv har. Andre angrep oppdages av årvåkne ansatte.
Noen angrep oppdages dessverre ikke før de faktisk har fått effekt – f.eks. at enkelte systemer oppfører seg rart.
Hvilke grunnleggende sikkerhetsprinsipper bør alle kommuner implementere?
Maria mener følgende tre ting er det aller viktigste å gjøre – hvis en ikke helt vet hvor en ellers skal begynne med godt sikkerhetsarbeid:
- Du må vite hva du har.
Hvilke verdier har du? Hvilke systemer har du? Hva er kritisk at fungerer? Hvis du ikke vet hva som må beskyttes, klarer du ikke å beskytte det.
Hva har du av dokumentasjon, policy og prosedyrer? Hvilke avtaler har du med leverandørene dine? Hvilken hjelp får du hvis det skjer noe?
Du trenger ikke være ekspert på verken IT eller cybersikkerhet, men du som er øverste leder MÅ ha oversikt. Også må du vite hva du ikke vet. For hvordan skal du spørre om hjelp hvis du ikke vet?
Det er som med økonomi, det er helt greit å være toppleder og ikke være økonom, men du følger jo med på regnskapet? Eller sjekker dere kontoen en gang i året og ser om det er underskudd? Sånn er det med IT-sikkerhet også!
Så hvis du kjenner på litt vondt i magen nå fordi du ikke har oversikt, så vet du hvor du kan begynne i morgen.
- Du må bygge god sikkerhetskultur.
En kultur hvor sikkerhet sitter i ryggmargen hos alle. En kultur med nok takhøyde til at alle kan tørre å vise sine feil – du, jeg klikka på den lenken, det skulle jeg kanskje ikke ha gjort?
En kultur for å stille spørsmål – du, når sikkerhetsleverandøren vår sier at de har gjort sånn og sånn, hva betyr egentlig det?
En kultur for å spørre om råd – du, det angrepet som avisa skriver om i dag, kunne det også ha skjedd her?
En kultur der kunden/brukeren kan hjelpe leverandøren, og omvendt, til å tenke på sikkerhet. Da hjelper vi hverandre til å bli litt bedre rustet på dette området.
- Sikkerhetsarbeid funker ikke som skippertak.
Jobb med sikkerhet litt gjennom hele året. Hvordan kan du få til det?
Ta regnskap som et eksempel igjen, for det har du sikkert på agendaen en gang i måneden, og i starten av nytt år er det tid for årsregnskapet og revisjon. Sett sikkerhet på agendaen en gang i måneden også. Både i ledelsen og i virksomheten ellers.
En gang i året har du en beredskapsøvelse hvor dere snakker dere gjennom en cybersikkerhetshendelse. Oktober er sikkerhetsmåneden, da finnes det mengder av tilbud om gratisforedrag og opplæring – bruk det.
Men det viktigste er å få sikkerhet fast på agendaen, over tid. En liten investering i jevn oppfølging her, vil spare deg for mange millioner i tap den dagen angrepet treffer deg.
Hvordan kan en kommune bygge en sterk sikkerhetskultur?
Sikkerhetskultur handler om hva en gjør i hverdagen, at den enkelte ansatte vet hva som er riktig å gjøre i ulike situasjoner, at de ansatte forstår tilstrekkelig sin rolle i det totale sikkerhetsarbeidet og har en viss forståelse av hva som kan gå galt dersom en ikke gjør det som er rett. Og ikke minst, at en tør å si fra hvis en har gjort feil eller oppdager noe rart. Ledere er de viktigste kulturbyggerne og rollemodellene.
Ledere er de viktigste kulturbyggerne og rollemodellene.
– Og så må regler/policy være passe strenge, men ikke for strenge – de må gi mening, og de må la seg etterleve uten at de ansatte opplever dem som hindre for å få gjort jobben sin, understreker Maria.
Hvordan bygge sikkerhetskultur? Maria kommer med følgende råd. Først sørge for å forankre behovet for god sikkerhet og sikker praksis hos lederne. Deretter ta en gjennomgang av regler/policyer – gir de mening, og er de mulig å etterleve med de IT-løsningene/systemene som er i bruk?
Hvis tilgjengelige løsninger og regler/prosedyrer/sikkerhetsinstrukser ikke henger sammen, er det nærmest umulig å drive god opplæring og bevisstgjøring. Hvis det henger sammen, kan en begynne holdningsskapende arbeid på ulike måter. E-læringsleksjoner, foredrag og diskusjoner i mindre grupper, sette sikkerhet på agendaen i ulike fora på en passende måte. Snakke om hvilke hendelser som faktisk rammer virksomheten for å gjøre det konkret, ekte og realistisk.
Hva er de viktigste elementene i en effektiv krisehåndteringsplan?
Hvis, eller kanskje vi skal driste oss til å si, når noe skjer, er det alltid en fordel å være forberedt og ha en plan. Maria trekker fram de viktigste elementene:
- Hvilke systemer/verdier er de aller viktigste for virksomheten, hvilke skal prioriteres å holdes i gang dersom en krise/et angrep inntreffer?
- Hvem skal være involvert i krisehåndteringen? Hvem er med i beredskapsstaben fra egen virksomhet, og hvilke andre aktører er vesentlige å ha med på laget? Leverandører, IT-support, annen bistand?
- Hvem har ansvaret for kommunikasjon internt og eksternt, og hvordan kommuniserer vi? Prinsipper for åpenhet, hvilke kanaler brukes til hvilke målgrupper.
Og det aller viktigste er å øve innimellom, minst en gang i året, på cybersikkerhetshendelser. Øv på ulike scenarier hver gang. Og gjør det enkelt – det ligger utrolig mye læring i enkle diskusjonsøvelser. Snakk gjennom en hendelse. Hvordan kan den oppdages, hvem gjør hva når den oppdages, hvem varsles først og sist, hvordan håndterer vi interne ansatte, hvordan kommuniserer vi utad. Og hvordan holder vi trykket oppe over tid dersom hendelsen krever flere døgns kontinuerlig håndtering? Hvilke dilemmaer kan vi støte på underveis? Sørg for at de riktige medarbeiderne deltar i øvelsen, altså de som kommer til å være involvert dersom en hendelse inntreffer.
Det er lettere å ta valg i en krise hvis tankene har vært tenkt tidligere. Og det som kommer til å treffe virksomheten er sannsynligvis noe en aldri har øvd på, men ved å øve på ulike scenarier trener en håndteringsevnen og kreativiteten, og vil lettere takle det uforutsette. Evaluer etter hver øvelse, etter hver reell hendelse, også når det går bra (at det ikke ender i katastrofe og mange millioner i kostnad).
Og det som kommer til å treffe virksomheten er sannsynligvis noe en aldri har øvd på, men ved å øve på ulike scenarier trener en håndteringsevnen og kreativiteten, og vil lettere takle det uforutsette.
Noen refleksjoner på tampen?
– Du trenger ikke å få til alt selv. Det finnes mange steder å søke råd, sier Maria.
Næringslivets sikkerhetsråd har f.eks. laget en «Nødplakat for digitale angrep» med hvem som kan hjelpe deg den dagen cyberangrepet treffer. Men det er jo lurt å ha det klart for seg på forhånd, så skriv den ut og heng den opp sammen med ei liste over hvem som gjør hva i virksomheten når det smeller.
Hackerne kommer ikke til å gi seg. De vil hele tiden finne nye måter å angripe på. Men uansett hvem som angriper deg og uansett hva de gjør – du må gjøre det samme: hold fokus på egen virksomhet, gjør det du kan for å redusere sårbarhetene DINE og IKKE tro at dette kommer til å gå over.
Fra å ha hodet i sanda som en struts og håpe at det går bra – en ganske så defensiv holdning som sjelden lønner seg – så bruk disse rådene aktivt, vær på offensiven, ta styring.
Fra å ha hodet i sanda som en struts og håpe at det går bra – en ganske så defensiv holdning som sjelden lønner seg – så bruk disse rådene aktivt, vær på offensiven, ta styring. Den endringa starter med deg. For hvis vi alle gjør litt grunnarbeid, så beskytter vi kommune-Norge sammen.
Lenke til kontroll & revisjon nr. 3/2024: