Leif Sundsbø begynte tidlig å jobbe med IT, da internett 'bare' var en ting som alle ville ha. De færreste klarte den gang å spå hvor stor innvirkning dette skulle ha på livene våre, men det som var sikkert var at flest mulig skulle få, og ingenting skulle sperres.
I dag jobber han fortsatt med IT, men bortsett fra dét har stort sett alt annet endret seg. Med lang fartstid i bransjen, drevet av en genuin interesse for faget, har han god oversikt over IT-verdens utvikling, og spesielt sikkerhet. Når vi tar en prat med leder for sikkerhet hos Cisco på Lysaker er det tydelig hva som er fokuset om dagen.
– Med den erfaringen jeg etter hvert har opparbeidet meg ser jeg at konsekvensene rundt sikkerhetshendelser kan være enorme. Synlighet i systemene ser jeg som en av de viktigste faktorene for en sikker infrastruktur. Derfor har jeg jobbet mye med hvordan eksisterende infrastruktur kan gi mer synlighet. Dette være seg rutere, svitsjer, og alt annet som er fysisk tilkoblet nettverket, sier han.
– Internett og teknologien rundt har åpnet for mange nye muligheter; digitaliseringsbølgen vi står midt i nå er et godt eksempel på dét. Samtidig ser vi at ting som kommer inn i markedet med den beste intensjon ofte kan misbrukes, sier Sundsbø.
Etter hvert som internett blir en stadig større del av våre liv, blir det vanskeligere å forestille seg en hverdag uten. Det kan få store konsekvenser for hvordan vi må tenke sikkerhet.
– De som har onde hensikter har blitt flinkere til å finne hull eller misbruke teknologien til sin fordel. Vi ser også en klar tendens til at dette skjer raskere enn før og at de rammer hardere enn vi har sett tidligere. I juni 2017 fikk vi se et eksempel på dette med NotPetya, en av de verste malware-kampanjene verden så langt har sett.
En morgen på hovedkontoret til A.P Møller-Maersk: Firmaet med ansvaret for transport av en femtedel av alt havgående godt. På noen av skjermene står det 'repairing file systems on C:', med sterk advarsel om å ikke skru av datamaskinen. Litt senere står det: 'Oops, your important files are encrypted', med et krav om betalin på 300$ i bitcoin for å dekryptere dataene igjen.
Hva gjør man da? Hva kan man gjøre for at det ikke skal skje igjen?
–Jeg synes NotPetya gjenspeiler godt akkurat det som er utfordringen for sikkerhet i dag. Det Cisco har vært bekymret for en lang stund er akkurat den måten å angripe på. Det at man utnytter sårbarheter på nettverksnivå i upatchede applikasjoner og servere er tilknyttet nettverket, slik tilfellet var med NotPetya, sier Sundsbø.
For NotPetya var det to typer svakheter som ble benyttet. Dette er de to vanligste i alle angrep; upatchede systemer og brukerne av systemene.
– Malwaren var bygget opp på en måte at som så ut til å være rent destruktiv, med kun en frontend som tilsynelatende var ransomware. Dette klarte å lure brukere og administratorer og var godt egnet for å skape forvirring.
I de fleste cyberangrep rammes ofte brukerne hardt, og NotPetya var intet unntak.
– I starten trodde alle at det bare var et klassisk ransomware-virus, på skjermen stod en BitCoin-hash for innbetaling og en epostadresse man angivelig kunne bruke for å låse opp dataene. Naturligvis begynte noen å betale løsepenger for å få tilbake dataene sine, men det fungerte ikke. Ingenting skjedde, alt var like kryptert. Dette førte til brutte verdikjeder og inntektsstrømmer som stopper opp. Enkelte steder i A.P Maersk valgte man å sende ansatte hjem inntil videre, sier Sundsbø.
I NotPetya gikk det flere dager før man fant ut hva man i det hele tatt kunne gjøre – en total lammelse man ikke var forberedt på. I følge Sundsbø er det bare et spørsmål om tid før et slikt type angrep også bedrifter utenfor it-sektoren.
Privatpersoner har alltid blitt angrepet av hackere, men dette har tidligere dreid seg mye om mangel på kompetanse og dårlig utvalg av sikkerhetsløsninger. Nå er skillet mellom privatperson og arbeidstager i et it-perspektiv relativt utvisket. Dermed vil privatpersoner i større grad merke konsekvensen av cyberangrep mot sin arbeidsplass, dersom de skulle bli kompromittert.
– Sammenlignet med virus- og spamkampanjene vi så på 90-tallet og langt inn på 2000-tallet har angrepene forandret seg. Nå finnes det skadevare som er designet for å infisere rutere og visse typer nettverksdisker i mye større skala.
VPNfilter er et godt eksempel på et slikt virus. Dette er skadevare som foreløpig har infisert over 500 000 rutere over hele verden. Talos, Cisco sitt sikkerhetsteam, har en teori om at skadevaren utnytter kjente sikkerhetssårbarheter i rutere, for å infisere enheter.
– Bedrifter kan få en uønsket rolle i et cyberangrep, som var tilfellet med NotPetya. Dette viruset startet hos selskapet MeDoc, som er en software-leverandør, som gjennom å bli kompromittert sendte ut oppdateringer på skatterapporterings-applikasjon, som ble brohodet for angrepet. Et annet eksempel er CCleaner, eid av Avast. Oppdateringen deres forrige sommer var kompromittert og lagede bakdør hos potensielt en milliard brukere, forteller Leif.
Ved å få tilgang til maskinen din kan hackere også opprette botnets; et nettverk av private datamaskiner infisert med ondsinnet programvare, kontrollert som en gruppe uten at datamaskinens eier er klar over det.
– Dersom en storhacker hadde fått fotfeste og for eksempel slått av strømmen i Norge så hadde det vært veldig kritisk. Spesielt hvis det hadde blitt gjort på vinteren, når folk er helt avhengige av strømforsyningen for å blant annet varme opp huset, sier Sundsbø.
Slike scenarioer høres ut som de kommer fra en hackerfilm, men er er noe både Sundsbø og andre sikkerhetsaktører har i hodet hele tiden.
– Jeg tror vi kunne hatt godt av flere rutiner og en beredskapsplan for hva man skal gjøre når de store cyberangrepene skjer. NotPetya er et eksempel på dette: Innen vi klarte å finne ut av hvordan og hvorfor angrepet skjedde, var det allerede for sent. Det hadde allerede spredt seg så raskt og gjort stor skade, sier Sundsbø.
Det er et brennhett marked for personer med kompetanse på it-sikkerhet om dagen, og enda hetere skal det bli etterhvert som sikkerhetsutfordringene fortsetter.
Ikke klikk på alt mulig bare fordi det er fristende, ikke stol på alt og alle. Det er deg det kan gå utover; dine penger, din identitet, ditt problem.
– Leif Sundsbø, Løsningsarkitekt i Cisco.
– Samfunnet utdanner ikke nok folk med ekspertise, og uansett om det hadde vært tilstrekkelig med mennesker som bestemte seg for å øke kompetansen innen dette feltet nå, vil det fortsatt ta ganske lang tid før de faktisk kan klare å gjøre en god jobb, sier Sundsbø.
Derfor er folkeopplysning bortimot like viktig som den innsatsen sikkerhetsselskapene selv gjør.
– Hvorfor er det ikke mer fokus på det, spør Sundsbø hypotetisk.
– Det burde jo stått i avisene hele tiden, hver dag.
Dermed stilles spørsmålet, hvorfor er ikke dette uhyre viktige temaet en del av folkeopplysningen? Vi har taklet store oppgaver gjennom folkeopplysning tidligere, og vi kan gjøre det igjen. Sundsbø har også noen oppfordringer til folket:
– Forstå at du utsetter deg for risiko ved å bruke ulisenserte programmer eller ikke oppdaterte programmer. Ikke klikk på alt mulig bare fordi det er fristende, ikke stol på alt og alle. Det er deg det kan gå utover; dine penger, din identitet, ditt problem. Det er mange der ute med ulike hensikter og de påvirker alt fra den personlige lommebok til presidentvalg, til store bedrifters evne til å gjøre den jobben de har lovet sine kunder, sier han.
Akkurat det med å oppdage så raskt som mulig er viktig. Hos Cisco har sikkerhetssystemet Talos redusert tiden det tar for å oppdage angrep. Det har mye å si når angrepet er et faktum.
– Hvis man oppdager at noen har installert en keylogger på din PC seks uker etter at faktisk har skjedd, får man en vanskelig oppgave med å finne ut hva som kan være på avveie av passord, bilder og e-post.
– Det viktigste er å bruke sunn fornuft og være kritisk fremfor blåøyd. Internett gir oss uendelige muligheter, men med de mulighetene følger også et stort ansvar. Og det er det på tide at vi innser en gang for alle, avslutter Sundsbø.