Norge er dårlig forberedt

Økte sikkerhetspolitiske spenninger kombinert med høyt digitaliseringstempo gjør Norge sårbart for data-angrep. Og vi er dårlig forberedt mot angrep. Cybersikkerhet må løftes på den politiske prioriteringslisten.

Av Markus Andersen, senior sikkerhetskonsulent i Webstep, Hedda Bryn Langemyr, daglig leder i UTSYN og Simen Bakke, senior informasjonssikkerhetsrådgiver og fagprofil tilknyttet UTSYN

Nylig ble det offentlig kjent at Stortinget, vår fremste demokratiske institusjon, igjen er utsatt for et alvorlig dataangrep. Det ser også denne gangen ut til at trusselaktørene har hentet ut data fra Stortingets e-postkontoer, i likhet med datainnbruddet for nøyaktig et halvt år siden. Hva som blir de endelige konsekvensene av angrepet er for tidlig å si på nåværende tidspunkt. Det er imidlertid hevet over enhver tvil at Stortinget er et attraktivt mål for fremmede staters etterretningstjenester og trusselaktører som ønsker å påvirke Norge og norske interesser. Det bør derfor stilles spørsmål ved om vi, som samfunn, er godt nok rustet for å møte dagens krevende digitale trusselbilde. Etter vårt syn er ikke det tilfellet i dag. IKT-sikkerhet må nå i langt større grad prioriteres politisk.

Dataangrepet mot Stortinget ser ut til å ha blitt gjennomført ved bruk av såkalte «nulldagssårbarheter». Dette betyr at sårbarhetene ikke engang var kjent for produsenten Microsoft, før de ble utnyttet. Sårbarhetene eksisterte hos alle som benyttet e-postservere basert på Microsoft Exchange, frem til Microsoft lanserte sin sikkerhetsoppdatering 2. mars. Allerede 6. januar ble imidlertid Microsoft varslet om sårbarheten – altså to måneder før Microsoft lanserte sin oppdatering forrige uke. Fra midten av februar til begynnelsen av mars har det verden over pågått omfattende massescanning etter sårbare Exchange-servere, med forsøk på utnyttelse fra avanserte trusselaktører.

Det spesielle med nulldagssårbarhetene som ser ut til å ha blitt brukt som angrepsflate mot Stortinget, er at svært mange offentlige og private virksomheter benytter Microsoft Exchange som sin e-postserver. Dette betyr at omfanget av ofre potensielt er enormt mange, også i Norge. Bare i USA er det snakk om flere titalls tusen servere. I fagmiljøene går allerede diskusjoner om det var mulig å forhindre utnyttelse av sårbarhetene, før Microsoft slapp sin sikkerhetsoppdatering. Som oftest eksisterer det både forebyggende og skadebegrensende tiltak som kan implementeres for å redusere risiko. De som allerede har flyttet sine e-postservere ut i skyen, ved å ta i bruk Exchange Online, er interessant nok ikke rammet.

Det å sikre seg mot digitale trusler er krevende. Ulikt det analoge samfunnet, forholder internett seg i liten grad til geografiske begrensninger. Tiden det tar å sende digitale signaler på tvers av kontinenter via fiber, måles i millisekunder. Trusselaktører som befinner seg på et hvilket som helst sted i verden, kan dermed utføre angrep mot IKT-systemer i Norge på svært kort tid. Dette kan utføres på måter som skjuler at angriperen befinner seg i eksempelvis Russland, Kina, Nord-Korea eller Iran.

Digitaliseringen av Norge bidrar med mange goder for samfunnet, befolkningen og staten. Vi blir mer effektive, produktive og får tilgang på nye tjenester. Utfordringen er at den samme digitaliseringen skaper flere sårbarheter som kan utnyttes av de digitale trusselaktørene. IKT-systemer er i sin kjerne sårbare, og det introduseres kontinuerlig nye sårbarheter. Derfor er det utfordrende å holde systemene tilstrekkelig sikret, oppdatert og overvåket til enhver tid, slik at man befinner seg på et akseptabelt risikonivå. Det er denne utviklingen som nå begynner å treffe vårt samfunn, i kombinasjon med en sikkerhetspolitisk spenning som har gjort trusselbildet vesentlig mer krevende enn tidligere.

Alle har nå sitt fokus rettet mot sårbarhetene i Microsoft Exchange. Etter at Stortinget bekreftet at de har blitt angrepet, får temaet massiv oppmerksomhet også her i Norge. Det er imidlertid en rekke datainnbrudd og -angrep som går under radaren, og mange blir ikke engang oppdaget. Dataselskapet IBM har tidligere uttalt at det i gjennomsnitt tar 234 dager før man oppdager et datainnbrudd i Skandinavia, og i snitt 79 dager å håndtere det. Normalen er med andre ord at de fleste ofte er på etterskudd. Dette viser at vi må bli flinkere til å oppdage og håndtere uforutsette hendelser.

Skal vi sammen sikre vårt digitale samfunn bedre i møte med et mer krevende trusselbilde, er temaet nødt til å få mer politisk oppmerksomhet. Selv om vi fikk en ny sikkerhetslov i 2019 er det svært mye digital informasjon som ikke er underlagt begrensningene i sikkerhetsloven. Stortinget bør derfor ta initiativ til en ny lov for IKT-sikkerhet som har til hensikt å øke vår felles motstandsdyktighet. Denne loven må følges opp med helt konkrete tiltak og tilstrekkelig med økonomiske ressurser.

Alternativet er at vi vil se mer og flere alvorlige hendelser enn e-poster på avveie.

______

Artikkelen ble først publisert i digi.no, 16. mars 2021.