SIKKERHET

Norge er dårlig forberedt

– Økte sikkerhetspolitiske spenninger kombinert med høyt digitaliseringstempo gjør Norge sårbart for data-angrep, og vi er dårlig forberedt. Cybersikkerhet må løftes på den politiske prioriteringslisten, skriver kronikkforfatterne.

Fra venstre: Sikkerhetsekspert Markus Andersen i Webstep, daglig leder Hedda Bryn Langemyr i Utsyn — Forum for utenriks og sikkerhet, og Simen Bakke, senior informasjonssikkerhetsrådgiver i Politiets IKT-tjenester og tilknyttet Utsyn.
Fra venstre: Sikkerhetsekspert Markus Andersen i Webstep, daglig leder Hedda Bryn Langemyr i Utsyn — Forum for utenriks og sikkerhet, og Simen Bakke, senior informasjonssikkerhetsrådgiver i Politiets IKT-tjenester og tilknyttet Utsyn. Foto: Pressebilde
Markus Andersen i Webstep, Hedda Bryn Langemyr i Utsyn og Simen Bakke, Politiets IKT-tjenester og Utsyn
16. mars 2021 - 19:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

Nylig ble det offentlig kjent at Stortinget, vår fremste demokratiske institusjon, igjen er utsatt for et alvorlig dataangrep. Det ser også denne gangen ut til at trusselaktørene har hentet ut data fra Stortingets e-postkontoer, i likhet med datainnbruddet for nøyaktig et halvt år siden. Hva som blir de endelige konsekvensene av angrepet er for tidlig å si på nåværende tidspunkt. Det er imidlertid hevet over enhver tvil at Stortinget er et attraktivt mål for fremmede staters etterretningstjenester og trusselaktører som ønsker å påvirke Norge og norske interesser. Det bør derfor stilles spørsmål ved om vi, som samfunn, er godt nok rustet for å møte dagens krevende digitale trusselbilde.

Etter vårt syn er ikke det tilfellet i dag. IKT-sikkerhet må nå i langt større grad prioriteres politisk. 

Enormt omfang

Dataangrepet mot Stortinget ser ut til å ha blitt gjennomført ved bruk av såkalte «nulldagssårbarheter». Dette betyr at sårbarhetene ikke engang var kjent for produsenten Microsoft, før de ble utnyttet. Sårbarhetene eksisterte hos alle som benyttet e-postservere basert på Microsoft Exchange, frem til Microsoft lanserte sin sikkerhetsoppdatering 2. mars. Allerede 6. januar ble imidlertid Microsoft varslet om sårbarheten – altså to måneder før Microsoft lanserte sin oppdatering forrige uke. Fra midten av februar til begynnelsen av mars har det verden over pågått omfattende massescanning etter sårbare Exchange-servere, med forsøk på utnyttelse fra avanserte trusselaktører.

Det spesielle med nulldagssårbarhetene som ser ut til å ha blitt brukt som angrepsflate mot Stortinget, er at svært mange offentlige og private virksomheter benytter Microsoft Exchange som sin e-postserver. Dette betyr at omfanget av ofre potensielt er enormt mange, også i Norge. Bare i USA er det snakk om flere titalls tusen servere.

Tekna-president Elisabet Haugsbø er lite fornøyd med regjeringens manglende realfagsatsing i forslaget til statsbudsjett.
Les også

Tekna og Nito kritiserer manglende satsing på teknologi

I fagmiljøene går allerede diskusjoner om det var mulig å forhindre utnyttelse av sårbarhetene, før Microsoft slapp sin sikkerhetsoppdatering. Som oftest eksisterer det både forebyggende og skadebegrensende tiltak som kan implementeres for å redusere risiko. De som allerede har flyttet sine e-postservere ut i skyen, ved å ta i bruk Exchange Online, er interessant nok ikke rammet.

Sårbar utvikling

Det å sikre seg mot digitale trusler er krevende. Ulikt det analoge samfunnet, forholder internett seg i liten grad til geografiske begrensninger. Tiden det tar å sende digitale signaler på tvers av kontinenter via fiber, måles i millisekunder. Trusselaktører som befinner seg på et hvilket som helst sted i verden, kan dermed utføre angrep mot IKT-systemer i Norge på svært kort tid. Dette kan utføres på måter som skjuler at angriperen befinner seg i eksempelvis Russland, Kina, Nord-Korea eller Iran. 

Digitaliseringen av Norge bidrar med mange goder for samfunnet, befolkningen og staten. Vi blir mer effektive, produktive og får tilgang på nye tjenester. Utfordringen er at den samme digitaliseringen skaper flere sårbarheter som kan utnyttes av de digitale trusselaktørene. IKT-systemer er i sin kjerne sårbare, og det introduseres kontinuerlig nye sårbarheter. Derfor er det utfordrende å holde systemene tilstrekkelig sikret, oppdatert og overvåket til enhver tid, slik at man befinner seg på et akseptabelt risikonivå.

Microsoft-appene på Mac OS-plattformen har problematiske sikkerhetshull, sier Cisco Talos.
Les også

Sikkerhetsselskap: Microsoft-apper til Mac har sårbarheter som lar hackere spionere på brukerne

Det er denne utviklingen som nå begynner å treffe vårt samfunn, i kombinasjon med en sikkerhetspolitisk spenning som har gjort trusselbildet vesentlig mer krevende enn tidligere.

Trenger ny lov for IKT-sikkerhet

Alle har nå sitt fokus rettet mot sårbarhetene i Microsoft Exchange. Etter at Stortinget bekreftet at de har blitt angrepet, får temaet massiv oppmerksomhet også her i Norge. Det er imidlertid en rekke datainnbrudd og -angrep som går under radaren, og mange blir ikke engang oppdaget. Dataselskapet IBM har tidligere uttalt at det i gjennomsnitt tar 234 dager før man oppdager et datainnbrudd i Skandinavia, og i snitt 79 dager å håndtere det. Normalen er med andre ord at de fleste ofte er på etterskudd. Dette viser at vi må bli flinkere til å oppdage og håndtere uforutsette hendelser.

Skal vi sammen sikre vårt digitale samfunn bedre i møte med et mer krevende trusselbilde, er temaet nødt til å få mer politisk oppmerksomhet. Selv om vi fikk en ny sikkerhetslov i 2019 er det svært mye digital informasjon som ikke er underlagt begrensningene i sikkerhetsloven. Stortinget bør derfor ta initiativ til en ny lov for IKT-sikkerhet som har til hensikt å øke vår felles motstandsdyktighet. Denne loven må følges opp med helt konkrete tiltak og tilstrekkelig med økonomiske ressurser.

Alternativet er at vi vil se mer og flere alvorlige hendelser enn e-poster på avveie.

Roger Ølstad i Melius Consulting skriver i kronikken om hvor viktig det er at ledelsen i en virksomhet forstår hva IT-avdelingen gjør og at IT-avdelingen forstår ledelsens behov.
Les også

IT og forretning styrker konkurranseevnen

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.