Cybertrusselen fra Russland og Kina bekymrer: Disse ni tingene gjør «alle» feil

Fra 2019 til 2021 var det en tredobling i alvorlige cyberoperasjoner mot norske myndigheter og virksomheter, og Nasjonal sikkerhetsmyndighet (NSM) ser ingen grunn til å hvile på laurbærene med tanke på fremtidige angrep.

Seksjonssjef og «sjefshacker» Jørgen Botnan i NSM er ansvarlig for å utvikle Norges nasjonale kapasitet innen inntrengingstesting, og forteller at det han snakker om egentlig er «ganske kjedelige greier», fordi ingenting er nytt. Norske bedrifter og organisasjoner sliter fortsatt med de samme sikkerhetshullene som vi har gjort i mange år.

Det er det som er problemet.

Botnans jobb går blant annet ut på å teste norske bedrifters systemer for risikohåndtering. Fysiske, digitale, administrative og menneskelige sårbarheter skal opp og frem i lyset.

– Sårbarhetene handler alltid om mennesker og hvordan vi forholder oss til sikkerhet. Når vi gjør de fysiske tingene, er det mye lettere å forstå. Det er lett å skjønne at vi klatret over et gjerde, eller at kloakkummen ikke er sveisa igjen, men når det handler om IKT er det mye vanskeligere for den menneskelige hjerne, sier Botnan.

Sårbarheter

I juni i fjor gikk den russiske hackergruppen Killnet til angrep på flere norske virksomheter. Forsvarssektoren ble også forsøkt angrepet.

Killnet meldte selv på Telegram at angrepet var en reaksjon på at norske myndigheter avslo Russlands søknad om passasje av varer til russiske bosettinger på Svalbard, gjennom grenseovergangen på den russisk-norske grensen ved Storskog i Finnmark.

NSM skriver i sin risikovurdering at kartlegging kan peke fram mot flere cybertrusler i framtida. Der er det flere ting som «brenner».

– Gammel programvare og arv. Det er et stort problem i mange sektorer. Når man implementerer en kryptoløsning i dag, så kan du ikke tenke et halvt år fram i tid. Om fienden tar opp det du sender nå, må du tenke på hva de kan dekryptere om 20 eller 30 år. Det betyr at utstyret må leve veldig lenge, sier Botnan.

Han nevner særlig helsesektoren, Forsvaret og våpensystemer og prosessindustri som eksempler på sektorer som treffes av dette.

– Det er dyrt utstyr, og man kan ikke bytte det ut ofte. Vi snakker kanskje at du må ha det samme utstyret i 50 år, i ytterste konsekvens. Det må du ta høyde for.

Flere sitter på gamle operativsystemer, som ikke lenger oppdateres og heller ikke kan kjøpes. Såkalt «end-of-life».

– Da vet du med 100 prosent sikkerhet at de er sårbare. Får fienden tilgang til en Windows XP-maskin, for eksempel, klarer de å ta seg inn i den. Det er helt sikkert. Da må systemet innkapsles i noe robust. Se på det som en skjør liten blomst, for det er ikke i stand til å forsvare seg selv.

!JegH4t3rSjef3n

På det menneskelige og feilbarlige planet er det ganske enkelt: Mennesker klarer ikke å lage passord. For eksempel, når det nå nærmer seg sommer, finner Botnan og gjengen omtrent uten unntak en variant av Sommerferie2023, når de går gjennom passordene til bedriftsmedarbeidere.

NSM-sjefens advarsel:

– Trusselaktørene jobber systematisk for å få ut mest mulig informasjon om Forsvaret

– En annen ting er at det er mye stygge ord. Alt fra at du hater sjefen og den og den er en drittsekk til «på fredag blir det kokain», sier Botnan.

De finner alt fra sprit, narko og passiv-aggressive tendenser, til fotballag og nabofirmaet som du kan se ut av vinduet i passordene de sjekker.

– Det kan være litt, i mangel av et bedre ord... kleint å se hva folk bruker. Det er mye barnslig. Jeg er veldig nøye med å skjerme det, om det er mulig å identifisere hvem som har laget passordet, legger Botnan til.

Implementering av totrinnsløsninger må gjøres, i tillegg å lage passord med flere ord eller forbokstavene i en lang setning kan være med på å gi bedriften tryggere grunn å stå på, sier han.