<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=498504343650697&amp;ev=PageView&amp;noscript=1">

Abonner på nyhetsbrev

Antall alvorlige cyberhendelser er tredoblet siden 2019. Dette dreier seg om hendelser som treffer bredt, på tvers av sektorer, og rammer både private og offentlige virksomheter. Norske myndigheter vurderer at det er en svært høy risiko for at flere norske virksomheter blir rammet av løsepengevirus i løpet av 2022.

Det er sannsynlig at avanserte aktører ønsker å oppnå et varig fotfeste i norske virksomheter med formål om å hente ut informasjon som vil være av etterretningsverdi på kort og lang sikt. Her brukes avanserte metoder, verktøy og angrepsvektorer for å lykkes. Slike aktører er det siste året observert aktive mot mål i blant annet forskning- og utdanningssektoren, sentralforvaltningen, innenfor høyteknologi og mot forsvarssektoren.

 

Cyberhendelser får i økende grad forretningsmessige konsekvenser

Dette gjelder særlig operasjoner som er knyttet til løsepengevirus og økonomisk motivert kriminalitet. Slike hendelser blir mer avanserte og aktørene bruker flere metoder som pressmiddel for å få betalt løsepenger eksempelvis trusler om publisering av sensitive data. Bruken av løsepengevirus fortsetter å øke både i omfang og antall, og gjennom det siste året har mange virksomheter i flere sektorer blitt utsatt for dette. Potensialet i et løsepengevirus er enormt, og kan i ytterste konsekvens sette kritiske samfunnsfunksjoner ut av spill.

Løsepengeangrepet mot Østre Toten kommune er et offentlig kjent eksempel, der hele kommunens digitale systemer ble kryptert og data og backup var utilgjengelig. Dette ledet blant annet til at sensitiv informasjon kom på avveie, at låsesystemene på bygningene ikke fungerte og at alle oppgaver måtte utføres manuelt.

Det siste året er også flere tjenesteleverandører blitt angrepet, noe som har resultert i at hele kundesegment hos virksomheten har blitt rammet. Det er altså slik at din bedrift ikke behøver å være på aktørens målliste for at du skal bli rammet. Angrepet skjer gjennom en leverandørkjede.

Det er altså slik at din bedrift ikke behøver å være på aktørens målliste for at du skal bli rammet. Angrepet skjer gjennom en leverandørkjede.

Cyberoperasjonene mot Stortinget viser alvorlighetsgraden i det digitale risikobildet vi nå står overfor

Sent i august 2020 ble det kjent at Stortinget var rammet av et alvorlig datainnbrudd. Dette var en del av en omfattende nettverkskampanje som rammet virksomheter i flere land. PST’s etterforskning konkluderte med at det var sannsynlig at den russiske, militære etterretningstjenesten GRU stod bak. Dette er første gang norske myndigheter offentlig har attribuert en slik cyberoperasjon til et annet land.

Våren 2021 ble det kjent at Stortinget hadde vært utsatt for nok en cyberoperasjon. Sårbarheter i Stortingets mail-servere ble utnyttet for å få tilgang til systemene. Senere gikk den norske regjeringen offentlig ut og pekte på at operasjonen ble gjennomført fra Kina.
Phishing brukes også fortsatt som inngangsvektor i cyberoperasjoner.

Fare for cyberinnbrudd med digital påloggingsinformasjon

En annen inngangsvektor er automatiserte påloggingsforsøk, såkalt «brute-force», hvor det testes brukernavn- og passordkombinasjoner i et høyt tempo. Dette er en effektiv metode for å få tilgang til et mål, men samtidig er det lett å oppdage. Enkle tiltak vil kunne stoppe «brute-force» angrep.

Når en aktør har fått tilgang til et mål kan det etableres et fotfeste i målets systemer og installeres skadevare for videre handlinger. Flere typer verktøy og skadevare er åpent tilgjengelig på internett. Trusselaktører benytter også legitime verktøy for å utføre handlinger på målet. Dette bidrar til å maskere aktiviteten, og gjør deteksjon vanskeligere.

Trusselaktører etablerer et nettverk av infrastruktur for å utføre operasjoner. Denne infrastrukturen er ofte bygget opp i flere lag og reduserer risikoen for å bli oppdaget. Infrastrukturer kan for eksempel være et nettverk av servere tilhørende intetanende norske virksomheter som ikke selv vet at nettverket deres er kompromittert. Din virksomhet kan altså bli brukt som et virkemiddel i en aktørs cyberoperasjoner mot et annet sluttmål.

Digital sikkerhet har vokst fra å ha et teknisk rettet perspektiv til å bli et strategisk viktig tema som adresseres globalt

Et eksempel er utnyttelse av sårbarheter i Microsoft Exchange – dette var nulldagssårbarheter, det vil si sårbarheter som ikke er kjent for leverandøren av programvaren, og som kan utnyttes av en angriper. Virksomheter verden over meldte om vilkårlig utnyttelse av sårbarhetene, i tillegg til målrettede angrep. Utnyttelse av sårbarhetene kunne gi en aktør tilgang til virksomheters infrastruktur og kontroll over nettverket. Også virksomheter i Norge ble rammet av dette, slik som Stortinget.

Det er viktig å være i forkant med risikoreduserende tiltak. Med bakgrunn i det utfordrende risikobildet vi nå står overfor, hvor konsekvensene av cyberhendelser blir mer alvorlige, haster det mer enn tidligere å implementere tiltak.

Mer bruk av hjemmekontor = digital sårbårhet

Covid-19 har ført til en eskalering i bruk av digitale løsninger noe som samtidig skapte nye sårbarheter. Hjemmekontorløsninger er et eksempel på dette. Ulike trusselaktører har tilpasset seg den endrede situasjonen, for eksempel ved å benytte COVID-19 tematikk i svindelforsøk og målrettet phishing.

Sårbarhetsflaten har økt som følge av at løsninger som var ment å være midlertidige nå har blitt permanente. En rekke ulike enheter kobles til internett gjennom wifi, 4G eller 5G-nettet. Utstrakt bruk av IoT (Internet of Things)-sensorer vil gi muligheter, men også risiko i form av komplekse digitale verdikjeder og sårbarhetsflater: IoT-komponenter kan påvirkes og manipuleres, med store konsekvenser.

Med bakgrunn i det utfordrende risikobildet haster det mer enn før å iverksette gode og risikoreduserende tiltak som del av det forebyggende sikkerhetsarbeidet. Dette arbeidet må ikke stoppe opp, men fortsatt styrkes og sees i sammenheng med virksomhetens øvrige leveranser og tjenester.

Mange cyberhendelser og konsekvensene av disse kan du unngå ved å ha et bevisst forhold til den risikoen du tar på vegne av din virksomhet.

Habberstad kan sammen med samarbeidspartnere og din organisasjon, bidra til en systematisk gjennomgang av dine systemer og prosjekter, gjennomføre ROS-analyse, og sammen med deg implementere risikoreduserende tiltak slik at risikonivået er i samsvar med det du finner er akseptabelt.

Kontakt oss

 

Leiv Jostein Hovda Skaug

Leiv Skaug har over 20 års bred erfaring innen informasjonssikkerhet, informasjonshåndtering og GDPR. Han har ledet flere enheter og har mange års internasjonal erfaring som stabssjef og seksjonssjef hvor han har hatt lederansvaret for noen av de tyngste sikkerhetstekniske miljøene. Han har også lang erfaring med planlegging og gjennomføring av øvelser innen sikkerhet og beredskap generelt, og cyberdomenet. I tillegg er han godt kjent med virksomhetsstyring og rapportering i det offentlige etter mange år med ansvar for dette på avdelingsnivå i Nasjonal sikkerhetsmyndighet (NSM).

}