Forsvaret har møysommelig bygget opp en døgnkontinuerlig overvåkning av eget datanettverk siden tidlig på 2000-tallet.
Likevel fanget ingen av sikkerhetsmekanismene opp den ondsinnede koden som lå vedlagt i e-postmeldinger sendt til et hundretalls av Forsvarets e-postadresser.
En ansatt fattet mistanke
Det utspekulerte målrettede forsøket på kyberspionasje mot Forsvaret ble oppdaget av en tilfeldig ansatt.
Først da vedkommende åpnet vedlegget ble mistanken vekket. Brukeren meldte fra om dette til sikkerhetspersonell som behandlet saken videre.
- Det kan vi bekrefte. Det viser at teknologien aldri kan erstatte den menneskelige faktor og at vi er avhengige av at ansatte er oppmerksomme. Så snart vi ble varslet om forsøket på inntrenging iverksatte vi tiltak for å identifisere spredning og stoppe infeksjonen, sier kommunikasjonsrådgiver Hilde Lindboe ved Forsvarets informasjonsinfrastruktur (INI) til digi.no.
Ukjent skadevare
Det aktuelle phishing-angrepet inneholdt ondsinnet kode som verken Forsvaret selv, eller deres antivirus-løsninger maktet å kjenne igjen.
På spørsmål om hvorfor trusselen ikke ble fanget opp av automatiske systemer svarer Lindboe at deres antivirus-systemer baserer seg på signaturfiler som fanger opp ondsinnet kode som allerede er kjent.
- Den ondsinnede koden er ikke tidligere kjent for Forsvaret. Selskapene som står bak antivirus-programmene oppdaterer og distribuerer nye signaturer jevnlig. Det vil allikevel være en forsinkelse fra ny ondsinet kode blir oppdaget til signaturen i antivirusprogrammet er oppdatert. Ondsinnet kode som ikke er kjent fra før vil derfor ikke bli fanget opp av antivirusprogrammet, sier hun.
Forsvaret innrømmer at inntrengere lyktes med å tappe innhold fra en datamaskin, men denne skal ikke ha inneholdt gradert informasjon.
- Forsvarets høygraderte systemer er ikke lenket opp mot de ugraderte. Dette var infeksjon på en ugradert maskin, svarer kommunikasjonsrådgiveren.
Kan ikke utelukke mer alvorlige innbrudd
Hva som ble stjålet fra den ugraderte pc-en ønsker de ikke å gå nærmere inn på, noe de begrunner med at saken fortsatt er under etterforskning.
- Er det i det hele tatt mulig å stjele informasjon fra Forsvarets graderte systemer gjennom å sikre seg kontroll over PC-en til ansatte?
- Vi gjør naturligvis alt vi kan for å forhindre at det skjer, men vi kan ikke utelukke det.
Dette er noe av det som karakteriserer de nye truslene de møter i kyberdomenet, hvor de ikke nødvendigvis vet hvem som angriper, hvor angrepet kommer fra eller hva som er hensikten, fortsetter Lindboe.
- Slike forsøk kan også utvikle seg i faser hvor man starter med kartlegging for senere å forsøke å finne ut hvordan man skal kunne trenge dypere inn i systemene.
Den hurtige teknologiske utviklingen og de stadig mer målrettede truslene i kyberdomenet gjør at Forsvaret sier de ikke lenger kan basere seg på å utvikle hundre prosent sikre IT-systemer.
- Vi må i stedet sørge for god sikring og kontroll hvor vi fanger opp slike inntrengingsforsøk i en tidlig fase og får stoppet dem slik vi gjorde her. I dette tilfellet spiller den menneskelige faktor også en sentral rolle og vi jobber kontinuerlig med å lære opp våre ansatte til hva de må være oppmerksomme på og melde fra om.
Vet ikke hvem som står bak
Hendelsen med det målrettede dataangrepet rammet Forsvaret den 25. mars, dagen etter norske jagerfly innledet sine bombetokt mot libyske mål.
Det spekuleres derfor i om det finnes en sammenheng, men etter det digi.no erfarer er det ikke avdekket spor som peker i en slik retning. Politiets sikkerhetstjeneste (PST) har fått i oppgave å etterforske angrepet.
- I hvilken grad får denne hendelsen konsekvenser for hvordan dere opptrer med hensyn til datasikkerhet?
- Vi mener denne saken viser at Forsvaret er i stand til å håndtere slike angrep. Det viser også viktigheten av at brukerne av datasystemene er observante og kritiske i forhold til det de mottar av epost mv. Forsvaret arbeider målbevisst for å bedre sikkerhet og rutiner i våre informasjonssystemer, avslutter Lindboe.
Les også:
- [07.03.2013] Lurer egne ansatte
- [19.05.2011] Forsvaret rammet av dataangrep
- [24.03.2011] Massivt kyberangrep mot EU
- [07.03.2011] Frankrike rammet av hackere
- [01.12.2010] - Norges kyberforsvar kraftig svekket
- [26.11.2010] Alvorlig dataangrep mot regjeringen
- [05.11.2010] – Norge berget gjennom skrekkscenario
- [05.11.2010] Burma slått ut av kyberangrep
- [25.10.2010] Aner ikke hva hackerne gjorde
- [21.10.2010] Holdt tett om dataangrep mot regjeringen
- [24.09.2010] Her overvåker de dataangrep mot Norge
- [19.01.2010] Vil forsvare Norge mot dataangrep
- [30.03.2009] - Dataspionasje også i Norge
- [12.03.2009] - Må ha rutiner som takler virus