Lammet strømnettet og ekom i nasjonal øvelse:Beredskapen sviktet under cyberangrep

Cyberangrep anses som en svært reell trussel mot norske interesser. Et slikt angrep vil lamme så å si alt av samfunnets funksjoner - og nærmest sende oss tilbake til steinalderen.

– Det holder ikke at det fungerer på toppen dersom grunnmuren ikke holder, da raser alt. Et totalt bortfall av ekom-tjenester i en uke vil stresse samfunnet i stor grad, sier avdelingsdirektør Einar Lunde i Nasjonal kommunikasjonsmyndighet (Nkom).

Åtte år siden forrige øvelse

Nkom var ansvarlig for den to dager lange NCEK15-øvelsen som ble avholdt i desember i fjor. Det er den første nasjonale cyberøvelsen på åtte år.

Formålet med øvelsen var å bidra til å øke samfunnets evne til å håndtere tilsiktede cyberhendelser mot de kritiske infrastrukturene ekom og kraft, samt øve de involverte virksomhetenes grensesnitt opp mot myndighetene, og grensesnitt myndighetene imellom.

Det var først og fremst informasjonsdelingen som sviktet i øvelsen, som inkluderte både kommersielle aktører og myndighetene. Dermed visste ikke den ene hånden hva den andre gjorde – og man hadde ikke et såkalt omforent situasjonsbilde.

Men også mangel på kunnskap hos myndighetene om hjemler i lov og forskrifter om å prioritere under kriser karakteriseres som en svakhet i beredskapen.

– Både prioritering med å få ressurser frem, og hva som skal prioriteres, oppfattes som uklart, slås det fast i en fersk evalueringsrapport av den nasjonale cyberøvelsen som ABC Nyheter har fått tilgang til.

REAKSJON: Justisdepartementet får kritikk: – De som har nøkkelroller under en krise må delta i øvelser

For dårlig informasjonsflyt

– Det var tydelig at informasjonsflyten ovenfra og ned ikke var godt etablert for cyberhendelser, oppsummerer avdelingsdirektør Einar Lunde i Nasjonal kommunikasjonsmyndighet (Nkom) til ABC Nyheter, og utdyper:

– Private aktører er ikke underlagt sikkerhetsloven. Dette ikke særnorsk, men mer og mer kritisk infrastruktur er på private hender. Først nå er det begynt å sige inn hos myndigheter. Vi må forholde oss til private aktører. I cyberdomenet går alt veldig fort. Du må håndtere situasjonen der og da.

Eller sagt med andre ord: Øve på å håndtere fiendtlige angrep som lammer strømforsyningen, telenettet og internett - og dermed både vanlige og sosiale medier, som skal oppdatere folk i kriser.

– Da er man blind!

Men hva skjer når man er uten nett?

– Da er man blind! Det gjør skikkelig vondt, det skal jeg si. Selv hang jeg på

ALT LAMMES: – Et slikt angrep vil lamme så å si alt av samfunnets funksjoner, sier avdelingsdirektør Einar Lunde i Nasjonal Kommunikasjonsmyndighet, som var ansvarlig for NCEK15 der svakheter ble avdekket.

taket i en satelittelefon. Andre bruker andre kanaler. Vi kan ikke ha det sånn at vi er avhengig av internett for å ha nasjonal kriseledelse. Vi må ha velfungerende nødløsninger, sier avdelingsdirektør Lunde.

Et slikt scenario anses som høyst reelt:

I sin åpne trusselvurdering Fokus 2016, skriver Etterretningstjenesten at denne typen angrep mot Norge øker. ABC Nyheter er kjent med at både E-tjenesten og Nasjonal Sikkerhetsmyndighet har registrert flere testangrep mot sentral norsk infrastruktur. Hensikten er å kartlegge sårbarheten før de eventuelt slår til i et koordinert angrep som lammer Norge.

Antall angrep øker

Totalt ble det behandlet snaue 21 000 saker i NSM NorCERT i fjor, 22 av dem karakteriseres som alvorlige dataangrep. Det er en markant nedgang fra året før, og skyldes ifølge NSM at hendelsene øker i kompleksitet og omfang, og at det krever mer arbeidsinnsats for å håndtere hver enkelt hendelse.

E-tjenesten viser til konkrete hendelser fra USA, Ukraina og Frankrike, som Kina og Russland mistenkes for å stå bak:

CYBERTRUSSEL: E-sjef Morten Haga Lunde viste til konkrete cyberangrep som lammet blant annet strøm og medier da han la frem FOKUS2016; trusselvurderingen for Norge. Foto: Terje Pedersen / NTB scanpix

– Etterretningsoperasjoner i det digitale rom, sosial manipulering og bruk av skadelig programvare øker i omfang, og ble i 2015 benyttet til å slå ut strømforsyning, stanse TV-sendinger og stjele store mengder personopplysninger, skriver E-tjenesten i trusselvurderingen for 2016.

Les også: Frykter lammende IKT-angrep fra Russland og Kina

Verdens mest digitaliserte

I Norge har man på nasjonalt nivå ikke øvd på å håndtere større cyberangrep siden 2008.

Siden det er vi blitt det landet i verden som er mest digitalisert. I 2012 lå vi på en suveren førsteplass med 63,7 poeng – langt foran Island på 2. plass. I november i fjor leverte det såkalte Lysneutvalget sin sårbarhetsrapport til Justis- og beredskapsdepartementet (JD).

Der slår de fast at svikter Telenors kjernenett, får det alvorlige konsekvenser for de aller fleste samfunnsområder i Norge.

Det er nettopp noe av det de øvde på nå. Men det var ett av områdene der det glapp under øvelsen, der en rekke virskomheter deltok (se oversikt over deltagere nederst i saken).

(saken fortsetter under grafikken)

MANGE SVAKHETER: – Vi er godt sikrede i den spisse enden. Men vi får et problem når grunnmuren svikter. Det holder ikke at det fungerer på toppen dersom grunnmuren ikke holder, da raser alt. Vi ser at mye militært er avhengig av sivile kommersielle tjenester, sier Einar Lunde, øvingsansvarlig i Nkom.

Alt gikk i svart

Scenariet for øvelsen var følgende:

* Den fiktive staten Slavistad gjennomførte et større cyberangrep mot norske infrastruktureiere innen ekom og kraft – det vil si både offentlige og private aktører. Formålet var å ramme Norge økonomisk. Øvelsen skulle ha en alvorlighetsgrad som krevde høy aktivitet hos de involverte og samhandling på tvers av sektorer helt opp på myndighetsnivå.

* I forkant av øvelsen ble det publisert avisartikler på øvelsesportalen om den politiske situasjonen i Slavistad av øvelsesledelsen Nkom, NVE og Safetec.

* Det ble rapportert om ulike angrep på kraft- og ekomvirksomheter, og NSM sendte ut en gradert trusselvurdering til Olje- og energidepartementet (OED) og SD om den uønskede aktiviteten, og kalte inn til møte i myndighetsforumet.

* Det ble sendt ut infiserte e-poster fra myndigheter, det var fiberbrudd, hacking av systemer, svikt i nettdomenet .no, urovekkende avisartikler og radiosendinger og til slutt et massivt logisk angrep mot Telenors kjernenett. Senere forsvant all ekom, og mobilnettet ble slått ut som følge av angrep.

Les også: Frykter russisk hybridkrig mot Norge

– Dønn avhengige av ekom

– Det er et veldig stort scenario. Det er nasjonalt. Et totalt bortfall av ekom-tjenester i en uke vil stresse samfunnet i stor grad. Hvordan samfunnet vil håndtere det spesifikke scenariet vet vi ikke, sier Einar Lunde.

Han sier det aldri vil skje på akkurat den måten.

– Men vi må være forberedt både teknologisk og teknisk, altså at vi får et bortfall av store deler av store ekom-tjenester, i nasjonen. Det setter oss på mange prøver. Vi er så dønn avhengig av ekom-tjenester. Vi gjør gamle ting på nye måter, sier Lunde.

Ifølge ham er strøm og elektroniske kommunikasjonstjenester spesielt sårbare, og utsatte for fiendtlige angrep:

– Det er premiss for alle andre samfunnstjenester, og det er en gjensidig avhengighet mellom dem. Vi har en egen løsning for reservestrøm på ekom, men den varer bare en viss tid, sier Lunde.

Les også : E-tjenesten ser for seg et mer ustabilt Russland

Evner ikke å prioritere

Øvelsen avdekket at myndighetene manglet evne til å prioritere. Under øvelsen rammet det Telenors kjernenett:

«Et øvelsesmoment var å frakte reservedeler til Telenor fra USA for å reetablere Telenors landsnett etter utfall. I den forbindelse ba Nkom SD om å sørge for prioritet på flytransport, uten at henvendelsen ble besvart. Denne problemstillingen, samt tidligere reelle enkelthendelser, har belyst mangel på kunnskap om hjemmel i lov og forskrift til å prioritere under kriser, herunder prioritering av transport av kritisk personell og utstyr ved reetablering av kritisk infrastruktur», står det i evalueringsrapporten.

Lunde sier det er alvorlig:

– Det er ett av funnene vi har flagget på topp i rapporten, understreker han, og viser til at de har opplevd manglende prioritering under andre virkelige kriser:

– Vi har sett under ekstremhendelser at montøren som skal over å reparere en mast på andre siden av fjorden må stå i ferjekø som alle andre, men han må ha politiets hjelp for å komme over. Vi har hatt flere reelle hendelser.

Avdelingsdirektøren illustrerer en mulig svikt som en pyramide:

– Vi er i godt sikrede i den spisse enden. Men vi får et problem når grunnmuren svikter. Det holder ikke at det fungerer på toppen dersom grunnmuren ikke holder, da raser alt. Vi ser at mye militært er avhengig av sivile kommersielle tjenester, sier Lunde.

Les også: Russisk hackernettverk forsøkte å rane norsk bank

Saboterte strøm og TV

E-tjenesten viser til angrep russiske myndigheter mistenkes for å stå bak i sin trusselvurdering.

* Ved siste årsskifte forårsaket hackere strømbrudd i Ukraina da to nasjonale kraftselskaper ble rammet. Angriperen har trolig skaffet seg en bakdør til selskapenes datanettverk, og brukt denne til å slå ut transformatorstasjoner. Sletting av filer på nettverket medførte at styringssystemene ble gjort utilgjengelige, og gjenopprettingen av strømforsyningen måtte skje manuelt.

* I april i fjor slo hackere ut 12 franske TV-kanaler. Franske myndigheter mener en avansert hackergruppe kalt AOPT28 står bak. De har link til Kreml, og har tidligere forsøkt å ta seg inn i systemene til både Det hvite hus og NATO, og har også angrepet russiske dissidenter og pro-ukrainske aktivister.

Man kan ikke utelukke at det vil skje i Norge, ifølge Einar Lunde.

– Scenariet er realistisk! Det er derfor vi øver på det. Vi må være forberedt på bortfall av totalt kraft og ekom. Hensikten med øvelsen er å kunne beskytte egen infrastruktur, og det som transporteres gjennom nettet i samspill med sikkerhetstjenestene og de andre sektorenhetene.

Les også: E-sjefen går ikke god for norsk cyberforsvar