Sikkerhetstest ga direkte adgang til offentlig datasystem

Nasjonal sikkerhetsmyndighets direktør Kjetil Nilsen sier de alltid greier å bryte seg inn i datasystemer når sikkerheten i offentlige organisasjoner testes.
Nasjonal sikkerhetsmyndighets direktør Kjetil Nilsen sier de alltid greier å bryte seg inn i datasystemer når sikkerheten i offentlige organisasjoner testes. Foto: Berit Roald / NTB scanpix
Artikkelen fortsetter under annonsen

Da Norsk sikkerhetsmyndighet (NSM) i fjor skulle teste datasikkerheten i en statlig virksomhet, behøvde de ikke akkurat å bryte seg inn.

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Artikkelen fortsetter under annonsen

Hvert år tester Nasjonal sikkerhetsmyndighet sikkerheten til mange offentlige virksomheter. Også private virksomheter som forvalter samfunnskritisk teknologi, kan bli testet av ekspertene i NSM.

I sin årsrapport for 2017 som ble offentliggjort tirsdag, skriver NSM at de i 2017 gjennomførte et «e-postangrep» mot en virksomhet i norsk statsforvaltning.

Det endte dårlig. Eposten som ble sendt ut, var laget for å pirre nysgjerrigheten til de ansatte. Den inneholdt en simulert skadevare og en lenke som – hvis den ble klikket på – dirigerte brukerne til en tilsynelatende legitim nettside som ba om brukerens påloggingsdetaljer.

Les også: NSM advarer om alvorlig sikkerhetshull i Apple-operativsystem

Ni av ti

– Ni av ti klikket på den tilsynelatende legitime lenken. Fem av ti aktiverte den simulerte skadevaren. Tre av ti oppga sine påloggingsdetaljer til virksomhetens systemer, skriver NSM i rapporten.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

– Dette er stort sett det vi ser i alle testene vi gjennomfører. Dette er bekymringsfullt. For det er et budskap som ikke har gått inn, sier NSM-direktør Kjetil Nilsen til Aftenposten.

Han er nedslått over nivået på sikkerheten og ber offentlige så vel som private å bli mer bevisst på farene ved et svakt IT-forsvar.

– Ved å komme oss inn på denne måten kan vi endre innhold, ødelegge funksjonalitet, slette innhold eller slå av systemet, sier han.

Les også: Nasjonal sikkerhetsmyndighet advarer mot flere alvorlige avvik i nødnettet

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

Åpne dører

NSM gjorde også fysisk inntrengning ved å komme seg inn i lokaler gjennom trege dører for så å plante fiendtlig datautstyr på maskiner i organisasjonen.

– NSM fikk fysisk tilgang til en offentlig virksomhet ved å ta seg inn en åpen kantinedør de ansatte brukte for å trekke frisk luft. Vel inne i lokalene fant teamet fysiske tilkoblingsmuligheter på taket. Virksomheten var trolig ikke klar over tilkoblingsmuligheten, og det var liten sannsynlighet for at kompromittering kunne bli oppdaget, skriver de i rapporten.

Artikkelen fortsetter under annonsen

I sensornettverket Varslingssystem for digital infrastruktur (VDI) kan NSM måle angrep eller forsøk på innbrudd hos offentlige virksomheter eller bedrifter som forvalter eller eier kritisk informasjon eller kunnskap i Norge. I fjor avslørte sensorene i systemet 20.000 mistenkelige datastrømmer. Etter sjekk var det 5.000 varsler som ble fulgt opp som en ekte trussel.

Rapporten avdekker også at dårlig sikkerhet mellom organisasjonens eget nettverk og eksterne tjenester man kjøper fra andre, utgjør en betydelig sikkerhetsrisiko.