Angriper Norge

Assisterende direktør i NSM, Christophe Birkeland. Foto: NSM.
Assisterende direktør i NSM, Christophe Birkeland. Foto: NSM.
Artikkelen fortsetter under annonsen

<pMandag starter den største nasjonale datasikkerhetsøvelsen i Norge noen gang.</p

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Artikkelen fortsetter under annonsen

Tenk deg at en fiende med store ressurser angriper norsk infrastruktur som telefoni, flytrafikk, strøm og forsvar. Ved å ta kontroll over datamaskiner eller oversvømme nettsteder med trafikk settes samfunnskritiske funksjoner ut av spill. Denne uken øver landets myndigheter og en rekke private aktører på å håndtere angrep av denne typen.

Flere tusen angrep

- Vi er kontinuerlig under flere hundre eller flere tusen angrep. Brorparten av disse angrepene er ubetydelige, og anses bare som støy i nettverket. Men med jevne mellomrom, fra flere ganger daglig til flere ganger i uken, skjer det hendelser der vi aktivt går inn og gir råd for å hjelpe samarbeidspartnere, sier assisterende direktør i Nasjonal sikkerhetsmyndighet (NSM), Christophe Birkeland, til ABC Nyheter.

1.-3. desember gjennomføres IKT08, den første større nasjonale sikkerhetsøvelsen i forhold til informasjons- og kommunikasjonsteknologi (IKT). Øvelsen fokuserer på samfunnets evne til å være forberedt på, oppdage og håndtere massive digitale angrep på samfunnsviktige funksjoner og kritisk infrastruktur i Norge. Hensikten er å øve aktører med ansvar for kritiske samfunnsfunksjoner. Alle departementene og om lag 30 offentlige og private virksomheter innen bank, finans-, energi- og telesektorene tar del i øvelsen. NSM er faglig ansvarlig, som myndigheten med ansvar for å sikre «skjermingsverdig informasjon og skjermingsverdige objekter mot sikkerhetstruende virksomhet som spionasje, sabotasje og terrorhandlinger».

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen


Les også: Ruster for dataangrep mot Norge


- Håndteringen av slike hendelser dreier seg i stor grad om å kommunisere raskt med de rette miljøene for å forklare hva som skjer. Tidsaspektet kjennetegner IKT-kriser i større grad enn andre. De kan eskalere svært fort, sier Birkeland.

Kaprede maskiner

under krigen mellom Georgia og Russland i august ble nettstedene til georgiske myndigheter lammet. Foto: Scanpix/AFP.under krigen mellom Georgia og Russland i august ble nettstedene til georgiske myndigheter lammet. Foto: Scanpix/AFP.

I spilløvelsen er det satt opp scenarioer med hendelser deltakerne må forholde seg til. Blant angrepstypene deltakerne skal øve seg på er massive såkalte tjenestenektangrep og store forstyrrelser i samfunnsviktige funksjoner og kritisk infrastruktur. Ved tjenestenektangrep brukes tusenvis av kaprede maskiner til å overbelaste et enkelt nettsted. Det blir sendt så mye trafikk mot nettstedet at det ikke greier håndtere alle henvendelsene, og dermed kneler fullstendig.

- Tjenestenektangrep er det vi var vitne til både i Estland for to år siden og i Georgia i år. Hvis det skjer mot myndighetenes nettsteder mister man muligheten til å sende informasjon til publikum via internett, sier Birkeland.

Slike angrep kan dirigeres fra nettverk av private maskiner, såkalte botnet, som er tatt over ved hjelp av datavirus.

- Noen ganger kan vi få informasjon for eksempel om at hjemme-PCer i Norge blir brukt til angrep mot en virksomhet i USA, England eller annet sted i verden. Landets myndigheter sender oss da lister over hvilke maskiner som er med i angrepet. Vi formidler denne informasjonen til den norske internettleverandøren, som stanser angrepet, sier Birkeland.

- Det samme skjer ved større angrep i Norge, der vi ved hjelp av utenlandske og norske internettleverandører kan få informasjon om hvilke IP-adresser som står bak, som vi kan overlevere til de nasjonale sikkerhetsmyndighetene i landet der datamaskinene befinner seg.

- Deler dere slik informasjon med alle type land, også de som har problemer med rettsikkerhet og respekt for menneskerettigheter?

- Informasjonen vi deler er informasjon om såkalte kompromitterte klienter, altså maskiner noen har hacket. Hvis jeg ser at en IP-adresse er brukt mot et norsk system er det ikke sikkert eieren er skyldig, det er sannsynligvis en uheldig hjemmebruker som har fått sin hjemme-PC infisert.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

Vanskelig å ta bakmennene

Noen ganger er denne informasjonsutvekslingen ren rutine, andre ganger er angrepene så alvorlige at tjenester blir satt ut spill og ikke kan levere sine tjenester.

- Veldig få virksomheter går ut med informasjon om at de har vært satt ut av spill, men det har vært enkelte tilfeller rapportert i media, sier Birkeland.

- Er det mulig å ta bakmennene?

- Det er mulig, men vanskelig. De blir stadig flinkere til å skjule seg. De har blitt flinkere og flinkere til å anonymisere sin aktivitet, og til å kryptere trafikk og sine egne systemer, slik at når politiet får tak i en maskin vil den være helt kryptert.

Troja

Eksempel på målrettet trojaner levert skjult bak en falsk henvendelse fra amerikanske skattemyndigheter. (NSM)Eksempel på målrettet trojaner levert skjult bak en falsk henvendelse fra amerikanske skattemyndigheter. (NSM)

En annen angrepsform NSM har advart spesielt om er de såkalte trojanerne. Begrepet stammer fra gresk oldtidslitteratur, der en trehest ble presentert som gave til den beleirede byen Troja. I virkeligheten skjulte det seg krigere inne i den hule hesten. Litt på samme måte fungerer trojaneren, der ondsinnet kode skjuler seg i et tilsynelatende nøytralt e-postvedlegg.

Artikkelen fortsetter under annonsen

- De målrettede trojanerne er kort sagt et virus som åpner din datamaskin for andre brukere, sier Birkeland.

Disse kodene er vanskelige å oppdage. Hovedbekymringen til NSM når det gjelder trojanere er målrettede angrep mot enkeltpersoner som sitter på sensitiv informasjon, og massespredning av «ondsinnede koder» som brukes til å utvikle såkalte botnet, nettverk av tusenvis av maskiner som har nok datakraft og båndbredde til å utgjøre en trussel mot viktige IKT-systemer. NSM har registrert og håndtert alvorlige forsøk på ulike former for spionasje i Norge ved hjelp av denne typen programmer, noe som ble utgangspunkt for et sikkerhetsvarsel publisert våren 2008.

Blant utsatte sektorer regnes blant annet forsvarssektoren, høyteknologiske selskaper, olje- og gassektoren, og menneskerettighetsorganisajoner.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

- Når man åpner vedlegget overtas maskinen av angriperen, og hvis det først har skjedd er maskinen din kompromittert. Da vil den som angriper kunne kontrollere all kommunikasjon du har fra maskinen din, for eksempel kredittkortinformasjon og alt annet man driver med på PCen, sier Birkeland.

- Hvis trojaneren er målrettet er den skreddersydd spesielt for en mottaker. Slike koder kan også finnes i kun et eksemplar i hele verden, og dermed vil de ikke oppdages av antivirussystemer. De fleste alminnelige trojanere handler om å smitte flest mulig sluttbrukere. Da rettes det ikke mot meg som person eller min virksomhet, men at man er på jakt etter lisenser, kredittkortinformasjon eller å skaffe seg båndbredde for å gjennomføre tjenestenektangrep og lignende, sier Birkeland.

- Kjenner du til at fremmede stater eller terrorister har gjennomført dataangrep mot Norge?
- Nei, jeg kjenner ikke til slike angrep, men vi vet at det med å bruke dataangrep er nok et verktøy i en konfliktsituasjon. Dermed må vi være forberedt på også å håndtere slike angrep.

Artikkelen fortsetter under annonsen

- Hva er de alvorligste sikkerhetsfeilene du har sett hos deres samarbeidspartnere?
- Alle gjør blundere. De vi har mest informasjon om er de som er best på sikkerhet. De verste er de som ikke deler informasjon, fordi de ikke selv vet hva som skjer hos seg. Det er langt verre med de som ikke har noen bevissthet om sikkerhet, enn de som informerer.