Nasjonal sikkerhetsmyndighet publiserte to rapporter i går: Årsrapport 2013 og Rapport om sikkerhetstilstanden 2014.
Her beskrives blant annet hvordan truslene mot norske datasystemer øker. I 2013 registrerte NSM 15 815 henvendelser på nett. De fleste krevde ingen eller liten manuell håndtering: Som regel holdt det med et automatisk varsel via e-post.
3 901 saker ble håndtert manuelt ved varsling, dialog og analyse. Av disse ble 50 karakterisert som «alvorlige digitale infiltrasjonsforsøk». I 2012 og 2011 ble det registrert henholdsvis 46 og 23 tilsvarende alvorlige forsøk på å infiltrere norske organisasjoner eller bedrifter.
_logo.svg.png){kind=logo}
– Dette kan være hendelser relatert til industrispionasje mot norske interesser, hendelser som kan få store konsekvenser for mange brukere eller påvirke kritiske IKT-systemer, skriver NSM.
Analysen av disse tilfellene viser at angripere kan ha vært inne i datasystemene i flere år. Mest utsatt er myndighetsorganer, forsvarsindustri og teknologibedrifter. NSM skriver om «gjentatte, målrettede nettverksoperasjoner» mot «sentrale norske virksomheter»:
– Sårbarhetene i IKT-systemer eller i virksomhetene som forvalter disse, er fremdeles store, heter det i rapporten om sikkerhetstilstanden.
Viktige utfordringer, ifølge NSM, er «mangelfull risikoforståelse og verdivurdering» i virksomhetene, og «mangelfulle rutiner for styring av sikkerhetsarbeidet».
Dette er et ledelsesproblem.
– NSM ser at toppledere i de ulike virksomhetene i svært liten grad blir målt på sikkerhet, og at bevisstheten rundt sikkerhet er tilsvarende liten, står det i den samme rapporten.
Manglene oppsummeres slik:
– Sikkerhetsmessige utfordringer er ikke dokumentert og virksomheten har ikke formulert konkrete mål for sikkerhetsarbeidet. Ofte mangler det bevissthet omkring sikkerhetsmessig risiko og erkjennelse av at virksomheten kan være utsatt. Mange virksomheter har verken innhentet eller etterspurt trusselinformasjon som grunnlag for å utarbeide risiko- og sårbarhetsvurderinger. Virksomheter synes å være villig til å akseptere en sikkerhetsmessig risiko som NSM vurderer som uakseptabel for samfunnet som helhet.
Kontrollsystemer for infrastruktur og industri er spesielt utsatt.
– De siste årene har stadig flere kontrollsystemer for blant annet infrastruktur og industri blitt koblet til internett. Kontrollsystemene kan styre alt fra lys og varme til oljeutvinning og vannkraftverk. Kontrollsystemer har tradisjonelt vært utviklet for å fungere i lukkede datamiljøer, og er ikke designet for å styres og kontrolleres over internett. Det innebærer at de blir mer utsatt for digitale trusler. Virksomhetene som bruker teknologien mangler ofte kunnskaper om hva som ligger bak systemene, og har liten mulighet til å kontrollere hva de faktisk inneholder. En mulig sikkerhetsutfordring knyttet til slike systemer er at virus verken blir oppdaget eller stoppet, skriver NSM, og viser til Dagbladers artikkelserie Null CTRL i fjor høst.
Rapportene inneholder konkrete eksempler, uten å navngi bedriften eller organisasjonen: En norsk teknologibedrift som «i praksis ikke hadde noe fungerende sikkerhetssystem», og som var utsatt for et nettverksangrep «som mest sannsynlig var forsøk på industrispionasje».
Et annet eksempel er en «større norsk industribedrift» som ble angrepet av et virus de hadde vært utsatt for før.
– Tidligere håndtering hadde ikke vært tilstrekkelig, og trusselaktøren hadde trolig hatt fotfeste i datasystemene over lengre tid, skriver NSM.
En viktig påpekning i NSMs rapporter, er at grunnleggende sikkerhetsarbeid ikke er spesielt komplisert.
Myndigheten mener at fire grep kan stanse 80 prosent av alle dataangrep:
- Hold program- og maskinvare oppgradert
- Installer sikkerhetsoppdateringer så fort som mulig
- Ikke gi sluttbrukere administratorrettigheter
- Blokker kjøring av ikke-autoriserte programmer
Avlyttingssikre møterom
En svært interessant detalj i årsrapporten er artikkelen om avlyttingsfrie møterom.
Husker du hvordan kunnskapsminister Torbjørn Røe Isaksen slepte 40 kilogram med saksdokumenter til regjeringens budsjettkonferanse? Digi.no pekte på at en digital arbeidsstil kunne spart både statsrådens rygg og en rekke andre ressurser. En av våre lesere tipset statsråden på Twitter, og Røe Isaksen kom med luddittenes tradisjonelle forsvar: Ikke lov å ta med digitale verktøy på møterommet. Av sikkerhetshensyn.
Statsråden kan trøste seg med at NSM har løsningen, i form av avlyttingsfrie møterom, og med en henvisning til den avlyttingsfrie teknologiens røtter i 1836 (!).
– Prosjektet førte fram til ei «rom i rommet»- løysing med vern mot akustisk, elektronisk og visuell avlytting. Konseptet krev ikkje spesielle bygningstekniske tiltak, utover generell fysisk sikring. [Kommandørkaptein Vidar] Kristiansen [seksjonssjef i NSM for tekniske undersøkingar] vurderer løysinga som spesielt veleigna for Forsvaret, utanriksstasjonane, departementa, andre etatar i statsforvaltninga og verksemder som treng skjerming av sensitiv informasjon, skriver NSM.
Vi ser fram til at regjeringen, til sin neste budsjettkonferanse, velger lokaler der de kan kombinere en digital arbeidsstil med enda større sikkerhet enn på et typisk norsk hotell.
Og så må det igjen minnes om overskriften i denne artikkelen, som gjenspeiler holdningen til regjeringens egen sikkerhetsmyndighet: Mål toppledere på sikkerhet!
