JØRSTADMOEN (digi.no): Vi har tidligere skrevet at Forsvaret ble hacket i Afghanistan tilbake i 2008. Senere har generalmajor Roar Sundseth, sjefen for Cyberforsvaret, røpet hvordan dette skjedde.
Infisert av minnepinne
– Noen hadde flyttet en minnepinne fra en internettmaskin og puttet den inn i en av våre graderte maskiner. Der lå det en ondsinnet kode, sa generalen til Aftenposten.
Under vårt besøk hos Cyberforsvaret spør digi.no oberstløytnant Roger Johnsen om nettopp denne hendelsen, som han offentlig har erkjent er det mest alvorlige datainnbruddet de har vært utsatt for.
– Er det ikke bekymringsfullt at Forsvarets graderte og hemmelige datasystemer kjører Windows, som tilsynelatende automatisk åpner ondsinnet kode på en minnepinne?
– Hvis det hadde stemt fullt og helt så hadde jeg også vært bekymret. Men når man står overfor en fremmed etterretningstjeneste så er det ikke sikkert de bruker helt trivielle metoder. Det er ikke sikkert at helt banale forsvarsmetoder som å disable noe i et BIOS-oppsett vil være tilstrekkelig.
Det var da Johnsen selv var stasjonert i Ghormach nordvest i Afghanistan, der norske styrker hadde sikkerhetsansvaret, at fremmede makters e-tjeneste klarte å skaffe kontroll med Forsvarets hemmelige datasystemer.
– Noen ganger kan de nyttiggjøre seg av teknikker… som man blir litt imponert av når man dechiffrerer dem, sier oberstløytnanten.
Nulldagssårbarheter
Det er ikke sikkert at det å slå av noen funksjoner ville gitt de ønskede effektene, fortsetter Johnsen, som fastslår at alle datasystemer har sårbarheter.
– Det er sårbarheter til stede i datasystemer i et så stort omfang at det er umulig å avsløre dem alle.
Oberstløytnanten er en av landets fremste kyberoffiserer og har tjenestegjort i frontlinje blant annet i Afghanistan. Samtidig leder han Forsvarets ingeniørhøgskole og utdanningen av militærets ingeniører.
Angrepsvektoren han sikter til er såkalte «nulldagssårbarheter», som er tidligere ukjente eller ikke offentliggjorte hull som ligger latent i programvare.
– Det er det vi står overfor og må håndtere hele tiden, bekrefter Johnsen.
Allerede kjente hull har de signaturfiler til å fange opp. Slik Johnsen beskriver håndteringen av denne mindre alvorlige kategorien av skadevare, fungerer mottiltakene nærmest som en «plog med antivirus» der truslene kastes til høyre og venstre.
– Selv blant disse er det noe som kan komme forbi, men inniblant finnes det en liten andel med angrep som bruker metoder du ikke detekterer på denne måten.
Kunnskap om sårbarheter blir delt innenfor de ulike informasjonskanalene som Forsvaret samarbeider med, inkludert operasjonssentralen NorCert og andre.
– Besitter Forsvaret kunnskap om nulldagssårbarheter som det sivile samfunnet ikke er kjent med?
– Det kan jeg ikke kommentere, sier Johnsen.
Maskiner ikke nok
«Antivirus og inntrengningsdeteksjonssystemer må virke. Men er det virkelig kritisk så må du ha godt utdannet personell. Kyberingeniørene vi utdanner er i stand til å håndtere denne trusselen. Vi kan ikke løse det med maskiner alene» sier han.
For her snakker vi om militære operasjoner med verdier hinsides om en datamaskin blir ødelagt eller et dokument blir stjålet.
– Konsekvensen av at et sjømålsmissil ikke virker – det er ikke bare at det ikke rammer fienden, men at det øker trusselen for våre egne styrker, sier Johnsen.
Norges nye kryssermissil er av Forsvarets ledelse blitt beskrevet som et formidabelt våpen. Det er også helt avhengig av styringssystemer. Den kraftige nettverksbaseringen av Forsvaret som nå foregår medfører både taktiske fordeler og ny risiko, en risiko Cyberforsvaret må redusere til et minimum.
La oss spole tilbake til 2007. Syrias russiskproduserte radarer og luftvernsystemer blir hacket. De er helt forsvarsløse da Israel sender inn jagerfly som bomber en våpenfabrikk. Tilfellet er kjent som et vellykket kyberangrep, nøye koordinert med konvensjonell våpenmakt.
Det norske forsvaret har egne norskutviklede systemer, laget av Kongsberggruppen. Men også disse er ifølge Johnsen basert på industrikontrollsystemer.
Det er en skremmende tanke, men også vårt militære utstyr kan bli utsatt for fremmede makters kyberoperasjoner.
– Konseptuelt er dette akkurat det samme. Vi har sett tilfeller hvor noen har slått av luftvernsystemer. Vi har sett sentrifuger rammet i atomkraftverk. Historien kan gjenta seg, vedgår Johnsen.
De norske forsvarssystemene skal ikke være basert på Siemens SCADA, slik Irans uransentrifuger som ble rammet av dataormen Stuxnet, men konseptuelt er dette likt bygget opp.
– De fungerer etter akkurat de samme prinsippene.
«Det var en dristig påstand»
Underveis i intervjuet går det opp for digi.no at oberstløytnanten sikter til at iallfall noen norske forsvarssystemer, våpensystemer, og graderte maskiner kjører på toppen av Windows.
– Hva annet skulle vi bruke?
Ifølge Johnsen er det uansett overkommelig å finne sårbarheter som kan utnyttes, samme hva slags operativsystem som ligger i bunn.
– Men er ikke noen operativsystemer tryggere enn andre?
– Det var en dristig påstand, svarer oberstløytnant Johnsen.
– For å gjenta noe generalmajor Roar Sundseth har sagt tidligere: Når man snakker om at motstanderen din har noen tusen av de mest intelligente menneskene i verden – hvis de ønsker å trenge seg inn, så er det ikke operativsystemet som er stopperen, sier kommunikasjonssjef Knut Helge Grandhagen i Cyberforsvaret.
Dersom Norge hadde satt 10 000 utviklere til å lage sitt eget operativsystem over en periode på ti år, så ville sluttproduktet fortsatt hatt sårbarheter og hull, poengterer han.
Vel kunne man støpt en datamaskin inn i sement og senket den på havets dyp, isolert fra alt og alle. Da er den trygg, men uten noen strategisk eller annen verdi.
– Avanserte datasystemer lik dem Forsvaret har, der datateknologi er vevd tett sammen med virksomhetsprosessene, der er det en umulig problemstilling å avdekke alle sårbarheter. Det er ikke matematisk løselig. Når man innser det må man også tilpasse sikkerhetsteknikkene deretter, sier Roger Johnsen.
Dette er del 4 og den siste i en serie artikler fra digi.nos besøk hos Cyberforsvaret på Jørstadmoen militærleir.
Les også:
- [14.11.2014] Han får ansvaret for informasjonssikkerheten
- [27.03.2013] Vil ha debatt om kybervåpen
- [26.03.2013] – Du trenger et «sverd»
- [25.03.2013] – Internett er et militært våpen