Lammet strømnettet og ekom i nasjonal øvelse:Beredskapen sviktet under cyberangrep
Et fiktivt cyberangrep slo ut strømnettet og all elektronisk kommunikasjon i Norge. Øvelsen avdekket store svakheter i myndighetenes krisehåndtering.
Cyberangrep anses som en svært reell trussel mot norske interesser. Et slikt angrep vil lamme så å si alt av samfunnets funksjoner - og nærmest sende oss tilbake til steinalderen.
Elektronisk kommunikasjon (Ekom)
* All form for elektronisk kommunikasjon og den infrastrukturen som må være tilstede for at kapasitetskrevende tjenester skal fungere. Dette gjelder alle typer tjenester enten det er det offentlige og private næringslivet, privatpersoner eller ulike underholdningstilbud.
* Bruken av underholdningstjenester, interaktive spill, økt datatrafikk på internett øker også behovet for stadig høyere båndbredde og kapasitetskrav. Dette har medført at det i dag planlegges og bygges omfattende fiberoptisk infrastruktur som skal kunne håndtere alle typer tjenester som TV, alarm, styring og overvåking av bygg, telefon og internett.
* En svikt i ekom i flere døgn vil medføre: Det vil ikke være mulig å kontakte ambulansetjeneste, politi og brannvesen på telefon. Jernbane og flytrafikk stopper helt opp. Alle radio- og tv-sendinger vil opphøre. Jernbane- og flytrafikk stopper helt opp. Økonomiske transaksjoner og bruk av betalingsterminaler blir svært begrenset.
* Uten strøm - som i dette angrepet ble lammet - fungerer så å si ingenting i et moderne samfunn.
– Det holder ikke at det fungerer på toppen dersom grunnmuren ikke holder, da raser alt. Et totalt bortfall av ekom-tjenester i en uke vil stresse samfunnet i stor grad, sier avdelingsdirektør Einar Lunde i Nasjonal kommunikasjonsmyndighet (Nkom).
Åtte år siden forrige øvelse
Nkom var ansvarlig for den to dager lange NCEK15-øvelsen som ble avholdt i desember i fjor. Det er den første nasjonale cyberøvelsen på åtte år.
Formålet med øvelsen var å bidra til å øke samfunnets evne til å håndtere tilsiktede cyberhendelser mot de kritiske infrastrukturene ekom og kraft, samt øve de involverte virksomhetenes grensesnitt opp mot myndighetene, og grensesnitt myndighetene imellom.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenDet var først og fremst informasjonsdelingen som sviktet i øvelsen, som inkluderte både kommersielle aktører og myndighetene. Dermed visste ikke den ene hånden hva den andre gjorde – og man hadde ikke et såkalt omforent situasjonsbilde.
Men også mangel på kunnskap hos myndighetene om hjemler i lov og forskrifter om å prioritere under kriser karakteriseres som en svakhet i beredskapen.
– Både prioritering med å få ressurser frem, og hva som skal prioriteres, oppfattes som uklart, slås det fast i en fersk evalueringsrapport av den nasjonale cyberøvelsen som ABC Nyheter har fått tilgang til.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenREAKSJON: Justisdepartementet får kritikk: – De som har nøkkelroller under en krise må delta i øvelser
For dårlig informasjonsflyt
– Det var tydelig at informasjonsflyten ovenfra og ned ikke var godt etablert for cyberhendelser, oppsummerer avdelingsdirektør Einar Lunde i Nasjonal kommunikasjonsmyndighet (Nkom) til ABC Nyheter, og utdyper:
Artikkelen fortsetter under annonsen– Private aktører er ikke underlagt sikkerhetsloven. Dette ikke særnorsk, men mer og mer kritisk infrastruktur er på private hender. Først nå er det begynt å sige inn hos myndigheter. Vi må forholde oss til private aktører. I cyberdomenet går alt veldig fort. Du må håndtere situasjonen der og da.
Eller sagt med andre ord: Øve på å håndtere fiendtlige angrep som lammer strømforsyningen, telenettet og internett - og dermed både vanlige og sosiale medier, som skal oppdatere folk i kriser.
– Da er man blind!
Men hva skjer når man er uten nett?
– Da er man blind! Det gjør skikkelig vondt, det skal jeg si. Selv hang jeg på
taket i en satelittelefon. Andre bruker andre kanaler. Vi kan ikke ha det sånn at vi er avhengig av internett for å ha nasjonal kriseledelse. Vi må ha velfungerende nødløsninger, sier avdelingsdirektør Lunde.
Artikkelen fortsetter under annonsenEt slikt scenario anses som høyst reelt:
I sin åpne trusselvurdering Fokus 2016, skriver Etterretningstjenesten at denne typen angrep mot Norge øker. ABC Nyheter er kjent med at både E-tjenesten og Nasjonal Sikkerhetsmyndighet har registrert flere testangrep mot sentral norsk infrastruktur. Hensikten er å kartlegge sårbarheten før de eventuelt slår til i et koordinert angrep som lammer Norge.
Artikkelen fortsetter under annonsenAntall angrep øker
Totalt ble det behandlet snaue 21 000 saker i NSM NorCERT i fjor, 22 av dem karakteriseres som alvorlige dataangrep. Det er en markant nedgang fra året før, og skyldes ifølge NSM at hendelsene øker i kompleksitet og omfang, og at det krever mer arbeidsinnsats for å håndtere hver enkelt hendelse.
E-tjenesten viser til konkrete hendelser fra USA, Ukraina og Frankrike, som Kina og Russland mistenkes for å stå bak:
Artikkelen fortsetter under annonsen– Etterretningsoperasjoner i det digitale rom, sosial manipulering og bruk av skadelig programvare øker i omfang, og ble i 2015 benyttet til å slå ut strømforsyning, stanse TV-sendinger og stjele store mengder personopplysninger, skriver E-tjenesten i trusselvurderingen for 2016.
Les også: Frykter lammende IKT-angrep fra Russland og Kina
Verdens mest digitaliserte
I Norge har man på nasjonalt nivå ikke øvd på å håndtere større cyberangrep siden 2008.
Siden det er vi blitt det landet i verden som er mest digitalisert. I 2012 lå vi på en suveren førsteplass med 63,7 poeng – langt foran Island på 2. plass. I november i fjor leverte det såkalte Lysneutvalget sin sårbarhetsrapport til Justis- og beredskapsdepartementet (JD).
Der slår de fast at svikter Telenors kjernenett, får det alvorlige konsekvenser for de aller fleste samfunnsområder i Norge.
Artikkelen fortsetter under annonsenDet er nettopp noe av det de øvde på nå. Men det var ett av områdene der det glapp under øvelsen, der en rekke virskomheter deltok (se oversikt over deltagere nederst i saken).
Artikkelen fortsetter under annonsen(saken fortsetter under grafikken)
Alt gikk i svart
Scenariet for øvelsen var følgende:
* Den fiktive staten Slavistad gjennomførte et større cyberangrep mot norske infrastruktureiere innen ekom og kraft – det vil si både offentlige og private aktører. Formålet var å ramme Norge økonomisk. Øvelsen skulle ha en alvorlighetsgrad som krevde høy aktivitet hos de involverte og samhandling på tvers av sektorer helt opp på myndighetsnivå.
* I forkant av øvelsen ble det publisert avisartikler på øvelsesportalen om den politiske situasjonen i Slavistad av øvelsesledelsen Nkom, NVE og Safetec.
* Det ble rapportert om ulike angrep på kraft- og ekomvirksomheter, og NSM sendte ut en gradert trusselvurdering til Olje- og energidepartementet (OED) og SD om den uønskede aktiviteten, og kalte inn til møte i myndighetsforumet.
Artikkelen fortsetter under annonsen* Det ble sendt ut infiserte e-poster fra myndigheter, det var fiberbrudd, hacking av systemer, svikt i nettdomenet .no, urovekkende avisartikler og radiosendinger og til slutt et massivt logisk angrep mot Telenors kjernenett. Senere forsvant all ekom, og mobilnettet ble slått ut som følge av angrep.
Les også: Frykter russisk hybridkrig mot Norge
– Dønn avhengige av ekom
– Det er et veldig stort scenario. Det er nasjonalt. Et totalt bortfall av ekom-tjenester i en uke vil stresse samfunnet i stor grad. Hvordan samfunnet vil håndtere det spesifikke scenariet vet vi ikke, sier Einar Lunde.
Artikkelen fortsetter under annonsenHan sier det aldri vil skje på akkurat den måten.
– Men vi må være forberedt både teknologisk og teknisk, altså at vi får et bortfall av store deler av store ekom-tjenester, i nasjonen. Det setter oss på mange prøver. Vi er så dønn avhengig av ekom-tjenester. Vi gjør gamle ting på nye måter, sier Lunde.
Artikkelen fortsetter under annonsenIfølge ham er strøm og elektroniske kommunikasjonstjenester spesielt sårbare, og utsatte for fiendtlige angrep:
– Det er premiss for alle andre samfunnstjenester, og det er en gjensidig avhengighet mellom dem. Vi har en egen løsning for reservestrøm på ekom, men den varer bare en viss tid, sier Lunde.
Les også : E-tjenesten ser for seg et mer ustabilt Russland
Evner ikke å prioritere
Øvelsen avdekket at myndighetene manglet evne til å prioritere. Under øvelsen rammet det Telenors kjernenett:
«Et øvelsesmoment var å frakte reservedeler til Telenor fra USA for å reetablere Telenors landsnett etter utfall. I den forbindelse ba Nkom SD om å sørge for prioritet på flytransport, uten at henvendelsen ble besvart. Denne problemstillingen, samt tidligere reelle enkelthendelser, har belyst mangel på kunnskap om hjemmel i lov og forskrift til å prioritere under kriser, herunder prioritering av transport av kritisk personell og utstyr ved reetablering av kritisk infrastruktur», står det i evalueringsrapporten.
Artikkelen fortsetter under annonsenLunde sier det er alvorlig:
– Det er ett av funnene vi har flagget på topp i rapporten, understreker han, og viser til at de har opplevd manglende prioritering under andre virkelige kriser:
Artikkelen fortsetter under annonsen– Vi har sett under ekstremhendelser at montøren som skal over å reparere en mast på andre siden av fjorden må stå i ferjekø som alle andre, men han må ha politiets hjelp for å komme over. Vi har hatt flere reelle hendelser.
Avdelingsdirektøren illustrerer en mulig svikt som en pyramide:
– Vi er i godt sikrede i den spisse enden. Men vi får et problem når grunnmuren svikter. Det holder ikke at det fungerer på toppen dersom grunnmuren ikke holder, da raser alt. Vi ser at mye militært er avhengig av sivile kommersielle tjenester, sier Lunde.
Les også: Russisk hackernettverk forsøkte å rane norsk bank
Saboterte strøm og TV
E-tjenesten viser til angrep russiske myndigheter mistenkes for å stå bak i sin trusselvurdering.
Artikkelen fortsetter under annonsen* Ved siste årsskifte forårsaket hackere strømbrudd i Ukraina da to nasjonale kraftselskaper ble rammet. Angriperen har trolig skaffet seg en bakdør til selskapenes datanettverk, og brukt denne til å slå ut transformatorstasjoner. Sletting av filer på nettverket medførte at styringssystemene ble gjort utilgjengelige, og gjenopprettingen av strømforsyningen måtte skje manuelt.
* I april i fjor slo hackere ut 12 franske TV-kanaler. Franske myndigheter mener en avansert hackergruppe kalt AOPT28 står bak. De har link til Kreml, og har tidligere forsøkt å ta seg inn i systemene til både Det hvite hus og NATO, og har også angrepet russiske dissidenter og pro-ukrainske aktivister.
Man kan ikke utelukke at det vil skje i Norge, ifølge Einar Lunde.
– Scenariet er realistisk! Det er derfor vi øver på det. Vi må være forberedt på bortfall av totalt kraft og ekom. Hensikten med øvelsen er å kunne beskytte egen infrastruktur, og det som transporteres gjennom nettet i samspill med sikkerhetstjenestene og de andre sektorenhetene.