Nasjonal sikkerhetsmyndighets (NSM) årlige risiko- og trusselvurdering advarer om stadig økende risiko for å bli rammet av digitale sikkerhetstruende angrep. Rapporten, som ble publisert tirsdag, forteller om gjentatte forsøk på å hacke virksomheter som forvalter kritiske samfunnsfunksjoner.
«Vår vurdering er at slik aktivitet kan få alvorlige og til dels uoverskuelige konsekvenser for stats- og samfunnssikkerhet. NSM har i løpet av det siste året koordinert håndtering av større og mer alvorlige digitale hendelser enn i tidligere år. I lys av disse hendelsene fremstår norske virksomheter som lite motstandsdyktige overfor denne typen nettverksoperasjoner.»
– Det er en økning som er meget bekymringsfull. Mørketallsundersøkelsen viser at få velger å anmelde slike angrep, og det innebærer at dette er en form for kriminalitet som øker der risikoen for å bli tatt er lav. Vi oppfordrer alle til å anmelde, slik at politiet får informasjon til å danne seg et helhetlig bilde og kunne allokere nødvendige ressurser til etterforsking, sier Christine Korme, Direktør for digitalisering og fornying i Abelia.
Gjemte seg på toalettet
I NSMs tester av norske offentlige virksomheter har det det siste året blitt avdekket alvorlige sårbarheter. Ved hjelp av en e-post med simulert skadevare og en lenke som ba om påloggingsdetaljer, fikk for eksempel testerne ni av ti ansatte i en offentlig virksomhet til å klikke på lenken, og fem av ti til å aktivere skadevaren. Tre av ti oppga påloggingsinformasjonen sin.
Også fysiske sårbarheter hos virksomhetene kan gi tilgang videre inn i nettverket. NSMs inntrengningstestere har kommet seg inn på offentlige virksomheters datasystemer gjennom blant annet åpne bakdører brukt av kantinemedarbeidere, fysiske tilkoblingsmuligheter på usikrede møterom – og ved ett tilfelle, inngang til hele nettverket via en IoT-enhet som drev kjølesystemet på kjøkkenet.
«NSM fikk fysisk tilgang til lokalene til en offentlig virksomhet ved diskret å ta seg inn en dør som på grunn av treghet i dørpumpen sto åpen forholdsvis lenge etter at en person med legitim tilgang hadde gått inn. Testpersonellet gjemte seg på virksomhetens toalett inntil alle ansatte hadde gått hjem for dagen, og sto dermed fritt til å koble fordekte digitale enheter til virksomhetens nettverk.»
– Bevisstheten rundt datakriminalitet i norske virksomheter er for lav, det gjelder særlig i ledergrupper og styrerom. Angrep som det mot Helse Sør-Øst bør være en kraftig vekker. Det er viktig å huske at mange angrep kan forhindres med relativt sett enkle grep, mener Korme.
– Vi må heve kompetansen
Rapporten peker også på mangel på tilstrekkelig kompetanse i mange virksomheter, og problematikken rundt at IKT-tjenester dermed blir tjenesteutsatt, ofte til andre land.
«Norske virksomheter må i mange tilfeller se utenlands for å få tak i nøkkelkompetanse, noe som kan gi sikkerhetsmessige utfordringer. Kompetanseunderskuddet utgjør i økende grad en sårbarhet.»
Abelia-direktøren er enig i at kompetansenivået i Norge må økes.
– Det er for få som har IT-sikkerhet som spesialområde i Norge, både hos bedrifter og hos myndigheter. Det er en stor etterspørsel etter denne kompetansen. Vi må utdanne flere, heve kompetansen hos de som allerede er ansatt, og vi må heve kompetansen i befolkningen slik at alle kan være med å beskytte fellesskapet. Abelia ber om 5000 nye IT-studieplasser de neste fem årene, der noen bør være øremerket IT-sikkerhet, forteller hun.
Du kan lese hele rapporten fra NSM her.