Økende trykk i cybersikkerhetssenteret

Operasjonsrommet ved Nasjonalt Cybersikkerhetssenter håndterer 30–40 alvorlige sikkerhetshendelser årlig. Under coronakrisen har angrepsaktiviteten økt.

VIKTIG MED SAMARBEID: NSM Cybersikkerhetssenter har et tett samarbeid med næringslivet og offentlig sektor. Her Tom Andre Røgden (t.v.), leder for operasjonssenteret, seksjonssjef Harald Næss (i midten) og Ole Tom Seierstad fra Microsoft. Foto: Eivind Yggeseth
Teknologi

På Langkaia, vis-à-vis Operaen i Oslo, sitter noen av Norges fremste IT-eksperter på cybersikkerhet.  NSM Nasjonalt Cybersikkerhetssenter (NCSC) bemannes døgnet rundt av et team rekruttert fra norske universiteter, privat og offentlig næringsliv. I tillegg hentes talenter rette fra IT-samlinger som The Gathering.

 Mens vi sitter her pågår det nettverksoperasjoner mot offentlig og privat sektor. Enkelte av disse har samfunnskritiske funksjoner, sier Tom Andre Røgden, leder for operasjonssenteret ved NCSC.

Går raskt

Operasjonssenteret håndterer årlig et sted mellom 30 og 50 alvorlige hendelser mot norsk infrastruktur, samt drøssevis av mindre omfattende hendelser.

– Vi ser en tydelig økning i angrep på infrastruktur. I takt med digitaliseringen av samfunnet åpnes det nye sårbarhetsflater som trusselaktørene utnytter, sier Røgden.

Når NCSC blir varslet og står i en skarp hendelse, er det et utstrakt nettverk både nasjonalt og internasjonalt som bidrar med informasjonsdeling. 

– Vi setter opp et IKT-risikobilde, gjør en vurderinger om vi skal varsle flere og om vi skal dele informasjon for å unngå at andre rammes, sier Røgden.

STOPPER ANGREP: Operasjonssenteret ved NSM Nasjonalt cybersikkerhetssenter ledes av Tom Andre Røgden. Hans team overvåker norsk IT-infrastruktur døgnet rundt. Foto: Eivind Yggeseth

Alt skjer i et hurtig tempo. Cyberkriminelle, enten det er enkeltpersoner eller stater, evner å tilpasse den teknologiske utviklingen og er særlig aktive under ekstraordinære hendelser som under coronakrisen. 

— Informasjonen vi deler bidrar å forebygge, motvirke og avverge angrep, sier Røgden.

Angrep

Operasjonssenteret er i dag et forbilde i europeisk IT-sikkerhetsarbeid, og samme mal er blitt brukt av NATO og andre europeiske land. 

Før senteret var i drift, opplevde norsk næringsliv to store sikkerhetshendelser som senere har bidratt til økt åpenhet og bevissthet rundt IT-sikkerhet blant norske virksomheter.

I mars 2019 oppdaget Hydros IT-eksperter uvanlig aktivitet på serverne i aluminiumsselskapets globale IT-systemer. Det viste seg at Hydro var rammet av et alvorlig dataangrep. Løsepengevirus er skadelig programvare på datamaskinen som begrenser tilgang til eller krypterer filene dine, eller til og med gjør at du ikke kan bruke PC-en. Det prøver deretter å tvinge deg til å betale penger (løsepenger) for å få tilgang til filene dine.

Høsten 2018 forsøkte en avansert hackergruppe å stjele forretningshemmeligheter fra Visma. Programvareselskapet oppdaget angrepet uten at kundedata forsvant, og sporene pekte mot Kina. Nasjonal sikkerhetsmyndighet bisto Visma med å håndtere hackerangrepet, og kun noen måneder senere ble altså Hydro angrepet.

Coronatiltak

Harald Næss, leder for IKT-rådgivning i NCSC, står bak tiltak og anbefalinger på cybersikkerhet. En viktig del av seksjonens arbeid er å samarbeide med privat næringsliv og offentlig sektor.

– Vi har et 40-talls virksomheter som er våre partnere, pluss offentlige aktører. Det er toneangivende bedrifter som blant annet Microsoft, sier Næss. 

– Vi tror at samarbeid gir et bedre bilde når informasjon utveksles, fortsetter han.

Han er ikke så bekymret for trusselbildet fra gutterommet lenger.

– Den største trusselen er organisert kriminelle og statlige aktører. Mange har spekulert i om de sitter i regulert arbeidstid, gjerne med statlige støtte i form av personell og tilgang på utstyr, sier Næss (se også sak på side 26).

De seneste ukene har rådene handlet om hvordan ansatte skal forholde seg til IT-sikkerhet når de sitter på hjemmekontor. Hackere kan nemlig sitte med betydelige mengder informasjon om enkeltpersoner ved at de kartlegger arbeidsforhold, interesser og annet som plukkes opp fra sosiale medier.

– Risikoen er at nettverket du sitter på ikke har samme grad av sikkerhet som på kontoret. Det kan skape utfordringer når ansatte kommer tilbake på kontoret og plugger seg inn i servernettverket, sier Næss.

Ole Tom Seierstad, nasjonal sikkerhetsdirektør i Microsoft, sier det er en sunn holdning å forvente at du skal bli angrepet.

– De kriminelle benytter mediedekningen til å utføre angrep, det ser vi både i forbindelse med OL, presidentvalg, naturkatastrofer og nå også Covid 19. I løpet av en uke i mars registrerte vi på det meste 85.000 forsøk på angrep via e-post, sier Seierstad.

E-post vanligste vei

Operasjonssentralen opererer med en skala på trusselbildet fra 1–5. Så langt er ikke den mest alvorlige enden blitt benyttet, men det har vært hendelser hvor det er blitt vurdert.

E-post med vedlagt skadelig programvare er i dag den vanligste inngangen til bedriftenes servere, ifølge Røgden.

– Mennesket er førstelinjeforsvaret og man må være bevisst på hva man mottar. Det er helt avgjørende med årvåkenhet og skepsis til e-poster med vedlegg, sier han.

– Samtidig er trusselaktørene blitt mer sofistikerte, og det er ikke alltid enkelt å oppdage de røde flaggene. Vi har sett flere eksempler på e-post der avsender oppfattes som en naturlig relasjon og der budskapet er tilpasset det man jobber med.

Organiserte kriminelle har i stor grad gått for krypteringsvirus og direktørsvindel, mens nasjoner er mer ute etter statshemmeligheter og forretningsinformasjon. Det er mange eksempler på masseutsendelser, men majoriteten av disse fanges opp av antivirusprogram. 

– Alle angrep er unike. Vårt råd er at virksomheter må tenke proaktivt og reaktivt med beredskapsplaner, det kan redusere skadeomfanget. Har du ikke backup er det stor sjanse for at du mister viktig data, sier Røgden.

– Og hvis du betaler er det heller ingen garanti for at du får data tilbake, sier Seierstad.

NSM – råd om IKT sikkerhetstiltak, basert på erfaringer fra 2020

NCSC opplever at nødvendige risikoreduserende tiltak ofte mangler, helt eller delvis. Det gjør hendelseshåndtering unødig komplisert, kostbart og tidkrevende. Tiltakene som mangler er ikke nødvendigvis spesielt kompliserte eller kostbare å implementere, men de må være på plass før en hendelse inntreffer.

NCSC anbefaler at virksomheter systematisk arbeider for å ha følgende tiltak på plass:

  1. Det må etableres sikkerhetsovervåkning og man må ha kapasitet til å analysere data fra slik overvåkning. Sentral og beskyttet logging av relevante digitale systemer er viktig.
  2. Sørg for å ha god kontroll på internetteksponerte tjenester, sårbarhetsflate(r) og gjennomfør sikkerhetsoppdateringer med en gang når disse foreligger. Vurdér AllvisNOR og/eller andre tiltak for sårbarhetskartlegging.
  3. En oppdatert sikkerhetskopi av datasystemer (dvs. både programvare og data) må lagres på et isolert system for å beskytte mot tilsiktet og utilsiktet sletting, manipulering og avlesning. Verifiser også at det er mulig å lese tilbake sikkerhetskopien og restarte systemet ut i fra denne.
  4. Etabler grunnleggende deteksjonsevne og evne til å agere på mistenkelig aktivitet.
  5. Kartlegg alle enheter og programvare i datasystemene, og ha et oppdatert nettverkskart som viser knytninger mellom segmenter, systemer og andre virksomheter.
  6. Det er helt nødvendig å ha kontroll på alle identiteter og tilganger. Gå jevnlig igjennom bruker- og systemkonti, er alle relevante? Sørg for sterke passord og benytt to- eller fler-faktorautentisering hvis det er mulig.
  7. Utarbeid en beredskapsplan i tilfelle en hendelse inntreffer, og sørg for å etablere en plan for hendelseshåndtering.

Disse elementene baserer seg på erfaringer fra hendelser i 2020, de representerer ikke et helhetlig grunnlag for sikringstiltak. NCSC anbefaler at alle virksomheter følger NSMs Grunnprinsipper versjon 2.0 for å beskytte datasystemer mot uautorisert tilgang, skade eller misbruk. Dette er helt essensielt for å ivareta god grunnsikring av digitale verdier.

Kilde: NSM

En enkel sjekkliste – har din virksomhet dette på plass?

  1. Sikkerhetsovervåkning og logging av relevante digitale systemer
  2. Kontroll på internetteksponerte tjenester, sårbarhetsflater og sikkerhetsoppdateringer
  3. Sikkerhetskopi av datasystemer, lagret på et isolert system
  4. Grunnleggende deteksjonsevne og evne til å agere på mistenkelig aktivitet
  5. Kart over alle enheter og programvare, og oppdatert nettverkskart
  6. Kontroll på alle identiteter og tilganger for bruker- og systemkonti
  7. Sterke passord og to-faktorautentisering
  8. Beredskapsplan i tilfelle en hendelse inntreffer, og plan for hendelseshåndtering
Kilde: NSM
nasjonal sikkerhetsmyndighet
Nasjonalt cybersikkerhetssenter
Nyheter
Teknologi