Nytt trusselbilde: Nå skal hackerne også sabotere, ikke bare spionere

Hackere ødelegger i stedet for å spionere i større grad nå enn før, mener Nasjonal sikkerhetsmyndighet. I andre europeiske land er både kraftverk, stålverk og banker blitt satt ut av spill. Men det er ofte vanskelig å vite hvem som står bak.

Sjef i BDO Cert, Chris Culina, sammen med leder i NSMs cybersikkerhetsavdeling, Hans Christian Pretorius t.h.). I dette rommet sitter 14 høykompetente IT-folk og overvåker datatrafikken for å finne uregelmessigheter. Anette Karlsen

9. juli 2017 21:30 Sist oppdatert 11. juli 2017

Det er en tydelig dreining i trusselbildet, ifølge Nasjonal sikkerhetsmyndighet (NSM) og det private IT-firmaet BDO Cert, som er ny underleverandør for NSM. Lenge har spionasje vært den store trusselen, men nå er hackerne blitt mer opptatt av å sabotere.

– Bruken av digitale våpen er ikke noe nytt, men da har det vært først og fremst spionasje som har vært i fokus. Vi ser nå at sabotasje er noe som i større grad er et mål, sier Chris Culina, leder i BDO Cert.

Fakta Dette er NSM Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og objektsikkerhet og det nasjonale fagmiljøet for IKT-sikkerhet. De er også nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser. NSM er ett av fire organer som årlig gir ut en nasjonal trusselvurdering. De tre andre er Politiets sikkerhetstjeneste (PST), Etteretningstjenesten (E-tjenesten) og Direktoratet for samfunnssikkerhet og beredskap (DSB) De er underlagt Forsvarsdepartementet. Vis mer

De overvåker datatrafikk for å finne og håndterer uregelmessigheter. De hjelper til med å sikre Norge mot cyberangrep ved hjelp av såkalte stordata.

Industrispionasje blir fortsatt regnet som en av de større truslene i E-tjenestens trusselvurdering for 2017. Men sabotasje er blitt et viktigere tema enn før.

Les også LES OGSÅ: Riksarkivet vil ikke utlevere Beredskapstroppens 22.-juli forklaringer

Sabotasje fordekt som svindel

En av trendene som Chris Culina ser, er at sabotasje blir fordekt som svindel, som var tilfellet i «ransomware»-angrepet som mange bedrifter i Norge og Europa, spesielt Ukraina, opplevde i slutten av juni.

Her er ikke målet å tjene penger, men å ødelegge, ifølge Culina.

– Å drive med utpressing med digitale verktøy er en klassisk skurkestrek. Men det har vært noen eksempler der en hendelse har et skinn av løsepengevirus, eller ransomware, som kanskje mer har vært et røykteppe for annen virksomhet, sier Culina.

Han stiller seg svært tvilende til at det var et ekte løsepengevirus. De har analysert skadevaren og stusser over hvor dårlig laget betalingsdelen var. Resten av viruset var svært sofistikert og krever høy kompetanse.

– Min personlige mening er at det var et destruktivt angrep som skulle sverte Ukraina, sier Culina.

Hans-Christian Pretorius, leder i NSMs cybersikkerhetsavdeling, presiserer at norske myndigheter ikke har konkludert med hvem som sto bak, men støtter Culinas analyse av skadevaren.

– Det er et faktum at dette var relativt god skadevare helt opp til betalingsdelen. Det så egentlig ikke ut som om noen forsøkte å tjene penger på det. Det i seg selv kan peke i ulike retninger, sier Pretorius.

Nasjonal sikkerhetsmyndighet og IT-bedriften BDO Cert har startet et samarbeid. Dette er første ledd i NSMs satsing på å formalisere et samarbeid med kompetente underleverandører. Anette Karlsen

Stålverk, kraftverk og finanssystemer

I 2014 ble et tysk stålverk hacket. Angriperne brukte svindelmail for å skaffe seg tilgang til kontrollsystemene. De overkjørte systemene til en smelteovn, noe som førte til store materielle skader for bedriften og at produksjonen stoppet. Det er aldri avdekket offentlig hvem som sto bak, og motivet for angrepet er heller ikke kjent.

Lille julaften 2015 ble et ukrainsk kraftverk utsatt for et hackerangrep. Angripere klarte å slå ut over 30 transformatorstasjoner i et sofistikert angrep, og over 80.000 husstander, bedrifter og ulike virksomheter ble rammet. Totalt 225.000 ukrainere var uten strøm i sprengkulden. Også her var det uklart hvem som sto bak, selv om mange pekte på Russland

Ett år senere ble Ukraina igjen rammet av et hackerangrep, denne gangen rettet mot finanssystemet. Det nasjonale betalingssystemet ble satt ut av spill, og nettsidene til finansdepartementet og statskassen ble hacket. Ingen vet sikkert hvem som sto bak eller hva motivet var.

– Her er det ikke at hundretusener av ukrainere mister strømmen som er oppsiktsvekkende eller sjokkerende i seg selv, men at noen besitter kapasiteten og i tillegg er villige til å avsløre at de har den. Som et varselskudd, kanskje for å si at: «Får vi ikke viljen vår, så vet dere hva vi kan gjøre», forklarer Culina.

Les også LES OGSÅ: Polititopper mener Norge er sårbare for hackerangrep

Et gjennomgående fenomen er at det ofte er vanskelig å være sikker på hvem som er ansvarlige eller hva som er motivet.

– Mye av utfordringen med det vi driver med, er at det er vanskelig å peke på hvem som står bak, enten de driver med vinningskriminalitet, sabotasje eller spionasje. Til det trengs det stor innsats over lang tid, sier Culina.

I BDO Certs data- og kontrollrom jobber flere personer med kontinuerlig overvåking av datasikkerheten. Anette Karlsen

– Terrororganisasjonene har ikke kompetanse

– De fleste eksemplene i det siste er hybrid krigføring. Ukraina ligger langt fremme i eksempeldatabasen, sier Pretorius.

Fakta Hybrid krigføring Hybrid krigføring er et begrep som kan brukes for å beskrive flere angrep på samme tid med samme mål. For eksempel at det blir brukt skadevarer for å sabotere, falske nyheter for å spre feilinformasjon og Twitter-kontoer for å påvirke opinionen. Generelt blir det brukt for å beskrive en sammenblanding av konvensjonell og ukonvensjonell bruk av volds- og tvangsmakt. Et scenario kan for eksempel være at en aktør tar ut strømnettet gjennom digital sabotasje samtidig som bakkestyrker blir sendt inn. Gå til NUPI for utfyllende informasjon om begrepet. Vis mer

– De store aktørene ser at cyber, som en del av et større hybridbilde, er egnet til å skape politisk ustabilitet eller skape usikkerhet om en situasjon. Sabotasje blir brukt som et verktøy for å eskalere en konflikt, for å skape politisk uro eller nå andre mål, sier Pretorius.

Mange av hendelsene de siste årene er knyttet nettopp til Ukraina, som er et av de mest turbulente landene i Europa.

Når det kommer til sabotasje, er «de store aktørene» først og fremst andre land, ifølge Pretorius. Han understreker også at for Norge sin del er det i all hovedsak to land som har pekt seg ut som trusler: Kina og Russland.

Det har kommet tydelig frem i trusselvurderingene både til E-tjenesten og PST i år. I førstnevnte blir spesielt Russland knyttet til digital sabotasje.

– Hittil har det primært dreiet seg om land og andre nasjoner. Det vi har sett hittil, er at terrororganisasjonene ikke har hatt kompetanse på dette nivået. Men det er ikke hugget i stein, og man må også anta at terrororganisasjonene i fremtiden vil skaffe seg kompetansen som må til, sier Pretorius.

Les også LES OGSÅ: PST har gjort flere våpenbeslag i ekstreme islamistiske miljøer i Norge

Sikkerhetseksperter støtter vurderingen

Per Thorsheim Privat

Sikkerhetsekspert Per Thorsheim sier at han har sett den samme tendensen, og han støtter analysen om at sabotasje er en trend.

– Jeg er helt enig i at det er en tendens. Sabotasje som verktøy er en trend vi har sett over lengre tid, sier han.

Han sier at nordmenn er like utsatt som hvem som helst andre, men at nordmenn ikke er mer naive enn andre folk.

– Cybersikkerhet er en økende prioritet, men det kunne alltids vært bedre. Samtidig er jeg skeptisk til den konstante skremmetaktikken som pågår for at cybersikkerhet skal prioriteres mer. Man kan bare skremme så mye før folk blir lei, sier han.

Jon Røgeberg i datasikkerhetsselskapet Mnemonic, er også langt på vei enig i at sabotasje er en trend.

– At sabotasje er en vedvarende trussel, er helt klart. Men vi er litt usikker på tallgrunnlaget. Om det er et økende antall sabotasjeangrep, eller et økende antall som skjer, har ikke vi mulighet til å si, sier Røgeberg.

Han mener at prioriteringen på cybersikkerhet i Norge er svært ulik fra virksomhet til virksomhet.

– Vi ser at enkelte bedrifter investerer mye penger og har gode fagmiljøer, mens andre sakker akterut når det kommer til cybersikkerhet.