Flere sentrale norske samfunnsinstitusjoner ble natt til onsdag utsatt for flere tjenestenektangrep (DDoS-angrep), herunder Arbeidstilsynet, Altinn, BankID og Politiet. Et tjenestenektangrep er en overflod av datatrafikk mot en internett-eksponert tjeneste som kan føre til at tjenesten blir utilgjengelig. Dette er hensikten med et tjenestenektangrep. Den russisk-tilknyttede grupperingen Killnet står tilsynelatende bak DDoS-angrepene.
Et tjenestenektangrep er en enkel form for angrepsvektor og trenger ikke i seg selv være spesielt alvorlig. Det finnes flere tekniske tiltak som bidrar til å beskytte mot tjenestenekt.
Tjenestenektangrep og bruk av cyberoperasjoner mer generelt blir imidlertid ofte vurdert ut fra en ren IT-teknisk forståelsesramme. Dette er etter mitt syn en litt for snever ramme for å forstå dybden i dagens bruk av cyberoperasjoner mellom stater. Man må se langt ut over det IT-tekniske for å forstå hvorfor norske virksomheter i dag blir utsatt for tjenestenektangrep.
Cyberoperasjoner benyttes nemlig ofte av stater til å utføre påvirkning av stat, samfunn og befolkning. Dette er en del av deres pågående informasjonskrigføring, som naturligvis også må knyttes opp mot krigen i Ukraina og den pågående konflikten mellom Russland på den ene siden og EU, NATO og dermed også Norge på den andre. Det som kan være spesielt interessant å legge merke til i denne sammenhengen, er hvilke norske institusjoner som ser ut til å være mål for tjenestenektangrepene, hvilken trusselaktør som tilsynelatende står bak og hvilket budskap de forsøker å formidle til offentligheten med alle mediehusene som talerør.
Handler om å signalisere et budskap
Tjenestenektangrep skaper støy og noen mindre utfordringer sett i det store bildet, men operasjonene handler ikke nødvendigvis bare om skape støy. Bruk av cyberoperasjoner er nyttige til bruk på det som på fagspråket omtaler som signalisering (signalling) og påvirkning (shaping) mellom stater. Altså at motstanderen ønsker å signalisere et budskap til Norge, gjennom fremsettelsen av en form for trussel.
Signalisering ved bruk av cyberkapabiliteter er et virkemiddel som befinner seg lavt på skalaen mellom diplomati og væpnet konflikt, men likevel over terskelen for tradisjonelle diplomatiske kanaler. Det kan med andre ord anses som en litt aggressiv måte å kommunisere på overfor en annen stat. Hensikten kan være å påvirke staten, i dette tilfellet Norge, i en bestemt politisk eller diplomatisk retning.
Med bruk av tjenestenektangrep gjøres signaliseringen offentlig, slik at ikke bare myndighetene, men også resten av befolkningen får med seg budskapet. Det kan dermed skapes et lite, politisk press. Et press som i lys av dagens konfliktbilde kan benyttes til å gjøre befolkningen beslutningstakere mer tilbøyelige overfor kravene til motparten i en forhandlingssituasjon.
Norsk nei til transport over Storskog er mulig motiv for storstilt DDoS-angrep
Langsiktige intensjoner
Det er godt dokumentert at relasjonen mellom kriminelle, statlige og statssponsede aktører ved bruk av cyberoperasjoner er løs i enkelte stater. Det er derfor grunn til å anta at grupperingen Killnet enten sympatiserer med eller opererer på vegne av aktører som har mer langsiktige intensjoner.
En kriminell gruppering vil som oftest prioritere cyberaktivitet som gir økonomisk profitt, mens grupperinger som er tilknyttet en stat, vil bruke cyberkapabiliteter for påvirkning knyttet til mer langsiktige mål. For eksempel i et forsøk på å få Norge til forhandlingsbordet. Tjenestenektangrepet kan derfor antas å tilhøre den siste kategorien.
Samtidig er det viktig å være klar over at rent IT-teknisk er ikke tjenestenektangrep en spesielt alvorlig form for angrep. Det er i den laveste enden av operasjonsskalaen. Likevel er signaleffekten betydelig gjennom førstesideoppslag i alle landets aviser og på beste sendetid i Dagsrevyen. Alle nordmenn har fått med seg at nettsidene til flere sentrale norske samfunnsinstitusjoner har vært nede. Det i seg selv kan være problematisk, og spesielt dersom større deler av vår norske IT-infrastruktur benytter de samme byggeklossene.
Brukt som kamuflasje
Tjenestenektangrep kan imidlertid også benyttes for å kamuflere mer skadelige operasjoner. I januar, i forkant av Russlands invasjon av Ukraina, ble tjenestenektangrep og urettmessig endring av innholdet på nettsider (de-facement) benyttet for å kamuflere mer skadelige cyberoperasjoner. Det ble benyttet såkalt wiper-skadevare i den hensikt å slette store mengder data hos sentrale ukrainske samfunnsinstitusjoner og myndighetsorganer. Operasjonene var i mindre grad vellykket, takket være godt cybersikkerhetsarbeid av Ukraina med alle landets støttespillere, herunder stater som USA og private selskaper som Microsoft.
Nedetid på nettsidene til sentrale norske samfunnsinstitusjoner kan derfor ikke kun betraktes som en ren IT-teknisk hendelse. De bør betraktes som et pågående stormaktsspill mellom stater med bistand fra enkeltpersoner og grupperinger. Samtidig bør man ikke overdrive effekten av tjenestenektangrep i seg selv, da mer oppmerksomhet rundt hendelsene trolig er ønskelig fra trusselaktørens side.
Dette er en del av det nye konflikt- og trusselbildet som vi må forholde oss til fremover. Det kan derfor være på sin plass å minne om britenes slagord under andre verdenskrig: «Keep calm and carry on». Det forhindrer oss imidlertid ikke fra å benytte tiden godt til å forberede oss på nye og mer avanserte cyberoperasjoner.
Dette vet vi om angrepet mot Norge