0
Hopp til hovedinnhold

Cyberangrepene blir stadig mer sofistikerte – hvordan kan vi vinne kampen?

Trusler om stadig mer raffinerte cyberangrep fra statsstøttede aktører eller organiserte grupper gir grunn til bekymring for mange offentlige og private virksomheter i Norge. Det er behov for en sterkere koordinert innsats i cyberspace. 

Stortinget
Norges forsvar mot cyberangrep må styrkes gjennom økt grad av koordinering på tvers av offentlige og private virksomheter, skriver førsteamanuensis Nadia Noori og førsteamanuensis Paolo Spagnoletti ved Senter for integrert krisehåndtering (CIEM). (Foto: Colourbox)

De siste dagene har vi sett nye overskrifter om det massive cyberangrepet mot USA og selskapet Solarwinds. Via programvare fra selskapet har hackere kommet seg inn i de øverste myndighetsorganer som utenriksdepartementet, Pentagon, energidepartementet og presidentens kontor. Angrepet som startet i mars er antatt utført med støtte fra Russland og har påvirket SolarWinds klientbase på 300.000 kunder over hele verden, inkludert Microsoft.

Også norske selskaper som Equinor er på kundelisten hos Solarwinds. Selskapet FireEye som er leverandør av sikkerhetsløsninger til den amerikanske regjeringen beskriver hendelsen som en verdensomspennende kampanje utført med avanserte etterretningsmetoder og omfattende ressurser, og som bærer alle tegn til å være utført av aktører med statlig støtte som dekker sine spor.

I det digitale rommet uten nasjonale grenser ser vi at heller ikke Norge er immun mot slike sofistikerte cyberangrep utført av utenlandske aktører. 24. august i år opplevde vi et cyberangrep rettet mot e-postsystemet til Stortinget, etterfulgt av et lignende angrep 2. september mot e-postsystemet til kommuner i Hedmark. Også her er Russland utpekt som den som står bak.

Hva må til for å møte slike cyberhendelser, og sørge for sikkerhet og beskyttelse av Norges digitale rom?

Cyberangrep i Norge

Angrepet på Stortinget var rettet mot e-postkontoer til de folkevalgte stortingsrepresentantene og høyere offentlige tjenestemenn, og hackerne kan ha fått tilgang til personopplysninger som bankinformasjon og helseopplysninger. I Hedmark ble selskapet Hedmark IKT angrepet. Selskapet drifter epost-serverne for 7 kommuner i regionen, og angrepet etterlot 10.000 kommunalt ansatte uten tilgang til epost.
Også andre virksomheter i Norge er sårbare. Nettangrepet på Norsk Hydro i mars 2019 viste seg å påføre selskapet et tap på enorme 800 millioner kroner.

Trusler om stadig mer raffinerte cyberangrep fra statsstøttede aktører eller organiserte grupper er en stor bekymring for mange offentlige og private enheter. Cyberangrep som de på Stortinget, Hedmark og Norsk Hydro viser hvor alvorlige konsekvensene kan bli, som påvirkning av kritiske samfunnstjenester, tap av inntekter, urettmessig tilgang til forretningshemmeligheter eller sensitiv informasjon, eller til og med mulig tap av menneskeliv - som i hackingen av et tysk sykehus i september i år.

Å møte slike angrep krever:

- At vi kjenner våre motstandere. Mennesker og teknologi opererer tett i det digitale rom og det er avgjørende å kartlegge systemer og aktivitet i cyberspace for å kunne utarbeide et effektivt forsvar og respons. Dette krever grundig kjennskap til aktører og teknologi i cyberspace og hvilken rolle disse spiller.

- At vi utvikler robusthet eller motstandsdyktighet ved bruk av både teknologi og operasjonelle prosedyrer. Sentralt står automatisering av overvåking og tverretatlig samarbeid med god koordinering og informasjonsutveksling mellom offentlige og private aktører.

Koordinering og tydelig kommunikasjon må til for å vinne kampen

Det finnes mange sikkerhets- og kontrollnivåer for cyber-fysiske systemer innen statlige og private organisasjonsenheter i Norge. Forbedring av cybersikkerheten vår krever videreutvikling av tverretatlig samarbeid mellom offentlige og private enheter som opererer i cyberspace.

Et annet kritisk aspekt for effektiv respons er å utvikle en integrert strategi for styring av cyber-fysiske hendelser som adresserer behovene til lokale, regionale og nasjonale myndigheter, samt operatører av viktige tjenester som er av nasjonal betydning.
Hvert myndighetsorgan og private bedrift har sin egen organisasjonskultur, sine standard prosedyrer og interne tilsynskontroller som legger premisser for måten de jobber opp mot andre enheter på. Dette kan føre til konflikter og kan også vanskeliggjøre innsatsen for å oppdage og forhindre cyberhendelser.

Både innen akademia og praksis gjøres det en innsats for å styrke cyberforsvaret, men mye av arbeidet hittil har vært lite helhetlig. Når man ser på koordinering og kommunikasjon mellom organisasjonene, er det generelt lav bevissthet om den gjensidige avhengigheten av informasjonsinfrastruktur mellom enhetene samt sårbarhet på utsiden av organisasjonen.

I Norge er Nasjonalt cybersikkerhetssenter ansvarlig for å koordinere og håndterere dataangrep. Senteret inngår i Nasjonal sikkerhetsmyndighet (NSM) og jobber opp mot Politiets sikkerhetstjeneste, etterretningstjenesten, Kripos og sikkerhetsmiljøer hos myndigheter og næringsliv. Det er imidlertid ikke godt etablert når eller hvordan en bedrift eller en arbeidsplass som opplever en cyberhendelse skal varsle overliggende nivå. For å lykkes godt med respons og gjenoppretting er det behov for prosedyrer og retningslinjer som veileder de ulike aktørene involvert i håndteringen av en cyberhendelse.

Mangelen på en felles prosess som koordinerer interorganisatoriske svar på et cyberangrep, fører til manglende bevissthet om sårbarhet og kapasitet hos andre organisasjoner og om hvordan cyberangrep kan påvirke dem. Informasjon før og under en hendelse kan ofte bli kommunisert smalt og i uformelle fagnettverk basert på personlige forhold og tillit. Derfor mangler det en forståelse om hvilke ressurser og informasjon hver enkelt organisasjon har tilgang til, og hvordan de kan dele den. Dette er problematisk fordi kritisk infrastruktur ofte er sammenvevd, slik tilfellet er med energiselskaper, og det er høy risiko for at angrepet kan få enda større omfang og konsekvenser.

Vi kan lære av krise- og beredskapsarbeid

Ved UiAs Senter for integrert krisehåndtering (CIEM) analyserer forskere hvordan metoder og konsepter fra beredskap og krisehåndtering kan overføres til arbeidet med håndtering av cyberhendelser. CIEMs tverrfaglige forskerteam fokuserer på hvordan cybersikkerhet knyttet til organisatorisk praksis i såkalte High Reliability Organizations virker sammen med menneskelige faktorer for å oppnå en effektiv integrasjon av teknologi i prosessen.

Universiteter og utdanningsinstitusjoner har en viktig rolle i å forberede fremtidige cybersikkerhets-team i offentlige og private organisasjoner. I Masterprogrammet i cybersikkerhet ved UiA utforsker studentene hvordan automatisering basert på kunstig intelligens kan integreres i sikkerhetsløsninger for å raskt etablere felles situasjonsbilde i responsfasen. Dette studiet bidrar dermed til å møte fremtidige behov for effektiv håndtering av cyberhendelser for å beskytte Norges digitale rom.

 

Av: 

Førsteamanuensis Nadia Noori og førsteamanuensis Paolo Spagnoletti, 

Senter for integrert krisehåndtering (CIEM), Universitetet i Agder