04. september 2020
.jpg.aspx)
Det norske samfunnet opplever dessverre store tap som følge av digitale angrep. Vi kan i disse dager lese om dataangrep mot Stortinget og Region Innlandet. Dette er bare to av en rekke eksempler fra den siste tiden. Det viser at norske virksomheter er utsatt for digitale angrep, og at selv virksomheter som har god sikkerhet kan bli rammet. Samtidig kan vi også lese at Riksrevisjonen melder om mangelfull sikkerhet i flere samfunnskritiske virksomheter. Dette er bekymringsfullt, da konsekvensene ved slike hendelser kan være store. Strategisk viktig informasjon blir stjålet og manipulert, og sårbarheter i IKT-systemer og digitale tjenester blir utnyttet for å oppnå både økonomiske og strategiske mål. Dette risikobildet angår oss alle, og krever felles innsats.
Trusselaktørene som opererer i det digitale rom, eller «cyberspace» om man vil, utvikler stadig nye og avanserte metoder og virkemidler for å nå sine mål. Både tradisjonelle og nyere trusselaktører har tilpasset seg cyberspace. Det digitale rom er i dag både et verktøy for planlegging og gjennomføring av dataangrep, så vel som et potensielt angrepsmål i seg selv.
Våre etterretnings- og sikkerhetstjenester har i mange år advart mot at statlige aktører utvikler svært avanserte digitale etterretningskapasiteter og skadevare som kan benyttes i det digitale rom. Målene for disse operasjonene kan være både sivil og militær informasjon. Så langt tilbake som i 2014 sa Etterretningstjenesten at politiske beslutninger og beslutningsprosesser, forsvar, infrastruktur og industri er høyt prioriterte mål for utenlandske etterretningstjenester.
Hvert år detekterer og håndterer Nasjonal sikkerhetsmyndighet og en rekke private aktører, deriblant vi i BDO, et stort antall alvorlige digitale angrep rettet mot store samfunnsverdier. Vår nasjonale kapasitet til å oppdage slike angrep, er heldigvis voksende. Og samarbeidet mellom de offentlige og private kapasitetene har blitt styrket gjennom etableringen av det Nasjonale Cybersikkerhetssenteret. Men, det gir grunn til bekymring når antallet alvorlige hendelser er så stort og når så mange av våre samfunnskritiske virksomheter er blitt angrepet. Vi husker for eksempel alle angrepet mot Hydro for et års tid siden. Vi har også sett alvorlige angrep i kraftsektoren, maritim sektor, handel, e-kom osv. Dette er virksomheter og bransjer som generelt er godt sikret mot digitale angrep, men som likevel er utsatt. Mange av angrepene har vært målrettede angrep som ikke bare fører til tap for den enkelte virksomhet, men som potensielt også vil kunne svekke norske strategiske interesser.
Det interessante i slike saker er ikke bare hvilken informasjon som er stjålet, men hvordan trusselaktøren kan utnytte denne informasjonen. Skadepotensialet. Det kan være snakk om å bruke informasjonen til å påvirke politiske beslutningsprosesser, til forberedelser til forsvar og sikkerhetspolitiske konflikter, til strategiske markedsdisposisjoner osv. Det er for eksempel ganske sikkert at norske næringslivsaktører som opererer i det globale markedet har tapt store kontrakter og dermed markedsandeler som følge av cyberspionasje.
Hvem står bak?
Statlige aktører har potensielt høyest (og påvist) intensjon og kapasitet, og bruker i dag cyberspace i stor grad for å drive informasjonsinnhenting gjennom spionasje, eller inntrenging i IT-infrastruktur for å gjennomføre sabotasje. Dette skjer også mellom vennligsinnede land. I tillegg til dette utvikles det stadig nye militære kapasiteter som benyttes som en “force multiplier” i konflikter. Utviklingen av offensive kapasiteter har stor sikkerhetspolitisk betydning, da slike kan bli benyttet mot Norge med alvorlige konsekvenser som følge. Eksempelvis kan viktige samfunnskritiske prosesskontrollsystemer innenfor kraftforsyning og vannforsyning settes ut av spill ved manipulering eller angrep i det digitale rom.
Transnasjonale aktører er formelle eller uformelle nettverk som er grenseoverskridende, som f.eks. terrororganisasjoner. Disse aktørene bruker cyberdomenet for å finansiere aktiviteter, kommunisere, rekruttere, planlegge operasjoner, destabilisere myndigheter, samt at de potensielt kan gjennomføre direkte angrep via nettverksoperasjoner.
Mer eller mindre organiserte kriminelle organisasjoner kan være både nasjonale og transnasjonale organisasjoner. Disse organisasjonene stjeler eller manipulerer informasjon enten for egen vinning eller for å selge den videre. Disse kan også leies inn for å gjennomføre angrep på bestilling, av enten private eller statlige aktører.
En annen kategori av trusselaktører er såkalte «hackere». Dette er individer eller små grupper av personer som har kapasitet til å forstyrre eller få uautorisert tilgang til informasjonssystemer. Intensjonene til hackerne varierer i stor grad, og kan være alt fra guttestreker til målrettet politisk aktivisme. I denne forbindelse er det verdt å merke seg at stadig mer avanserte verktøy blir lett tilgjengelige, også for dem som ikke har spesielt høy kompetanse på området.
Alle de ovennevnte trusselaktørene, og spesielt de mer avanserte, kan gjøre nytte av innsidere som enten bevisst eller ubevisst letter gjennomføringen av angrepet. Dette kan skje på ulike måter, for eksempel ved manipulasjon via epost og sosiale nettverk.
Noen utfordringer knyttet til å fastslå hvem som står bak
Et gjennomgående trekk ved trusselbildet i det digitale rom er at skillelinjene mellom trusselaktørene er uklare. Eksempelvis kan hackere bli utnyttet av andre trusselaktører – som for eksempel statlige etterretningstjenester eller organiserte kriminelle – for å utføre fordekte operasjoner mot spesifikke mål.
Utfordringene knyttet til å skille mellom statlige og ikke-statlige aktører, har sikkerhetspolitisk betydning. En stat er ansvarlig for et cyberangrep som utføres av et statlig organ (uansett hvilken tilknytning organet har til staten), et organ som er under statlig kontroll, eller personer som utfører angrep på oppdrag fra staten. Det som imidlertid kan være krevende, er å fastslå med tilstrekkelig grad av sikkerhet hvem som faktisk står bak et cyberangrep; det såkalte «attribusjonsproblemet». Det kan altså være vanskelig, om ikke umulig, å bringe sannsynlighetsovervekt med hensyn til hvem som faktisk står bak et cyberangrep. Dette vil være avgjørende for å unngå urettmessige reaksjoner. Videre kan det være vanskelig å definere hva som kan eller skal kategoriseres som et cyberangrep, å fastslå hvilken skade eller konsekvens angrepet kan få eller faktisk har, samt å forfølge dette internasjonalt.
Hvordan sikre seg?
Risikobildet i det digitale rom blir stadig mer komplekst og altovergripende. Dessverre utvikler ikke sikkerhetsarbeidet seg i samme takt. Det gjøres mye bra av veldig mange virksomheter for å sikre seg, men gapet mellom trusselen og sikkerhetstilstanden ser ut til å være økende, til fordel for angriperen. Denne utviklingen, sammenholdt med de betydelige verdiene norske virksomheter råder over, bør vekke bekymring. Det er nå nødvendig med en betydelig styrkning av innsatsen for å sikre seg i det digitale rom. Dette må skje gjennom en kombinasjon av menneskelige, organisatoriske og teknologiske tiltak. Alle kan ha stor nytte av å hente frem igjen den nasjonale strategien for digital sikkerhet som regjeringen lanserte i fjor. Der ble det gitt en liste over viktige tiltak som ALLE virksomheter bør få på plass. Regjeringens poeng var at alle virksomheter må gjøre en innsats for å sikre seg. Strategien oppstod ikke i et vakuum, men var resultat av erkjennelsen av at håndteringen av risikoene i det digitale rom krever en felles innsats. Alle må erkjenne risikoen og være sitt ansvar bevisst, for alle er en del av helheten som utgjør samfunnets digitale robusthet.
Et godt sted å starte, er å identifisere hvilke digitale verdier virksomheten behandler og oppbevarer. Dette kan være alt fra personsensitive opplysninger, forskning og utvikling, kontraktsforhandlinger, markedsstrategier, produksjonsprosesser, mv. En oversikt over hvilke digitale verdier virksomheten har, gir et grunnlag for å gjøre de riktige valgene for å sikre seg. Hvis norske virksomheter skal klare å møte cybertrusselen på en målrettet og effektiv måte, er det altså på tide å gjøre et skikkelig løft. Og for at det skal skje, må sikkerhet høyere opp på agendaen, det må opp fra IT-avdelingene og inn på styrerommene.
Les mer om cybersecurity på bdo.no/cybersecurity