Etter angrepet på Stortingets IT-systemer har det vært et ordskifte i mediene om hvor godt sikret disse systemene var, og hvorvidt det generelt er mulig å sikre seg helt mot angrep mot et IT-system. Ikke uventet har leverandører og konsulenter ulikt syn, med utgangspunkt i sin egen virksomhets forretningsmodell. Det lukter business. Men er det virkelig mulig å sikre seg helt mot alle typer angrep?
Jeg vil her fokusere på trusselaktøren. Med utgangspunkt i en modell de fleste som driver med informasjonssikkerhet kjenner en variant av, deler jeg aktørene grovt i fire kategorier, med stigende kapasitet.
Tilfeldige angripere og «gutteromshackere» benytter grunnleggende teknikker og lett tilgjengelige verktøy med ingen eller lite spesialtilpasning. Denne gruppen retter seg oftest mot individer, og da gjerne tilfeldig utvalgte slike. Motivene kan være økonomiske, personlige eller destruktive, eller det kan være rene guttestreker. Siden slike angrep ikke er veldig sofistikerte, er det i utgangspunktet ikke en stor teknisk utfordring å verge seg mot dem. Ved å følge råd og anbefalinger fra f.eks. Nasjonal sikkerhetsmyndighet (NSM) er det mulig å lukke de fleste tekniske sårbarhetene som ellers ville sluppet inn slike angrep.
Vinningsforbrytere/organisert kriminalitet og «hacktivister»/misfornøyde (tidligere) ansatte benytter øvede teknikker med noe spesialtilpasning, og utnytter kjente sårbarheter. Her går de førstnevnte aktørene etter pengene, mens de sistnevnte etter privatpersoner, næringsliv eller organisasjoner. Motivene er da gjerne, ideelle eller personlige. Heller ikke her er angrepene veldig avanserte, og igjen vil man kunne stoppe disse ved å lukke kjente tekniske sårbarheter.
Industrispioner og statlig etterretning
Industrispioner og terrororganisasjoner benytter avanserte teknikker og metoder. De har høy grad av spesialisering og evne til å utvikle tilpassede verktøy og kampanjer. Denne gruppen benytter i hovedsak kjente sårbarheter, men har i tillegg tilgang til enkelte nulldags-sårbarheter (sårbarheter som eksisterer i IT-systemer, men som ikke leverandøren har oppdaget, og derfor ikke rettet opp). Målgruppen er oftest næringsliv eller samfunn. Motivene kan være tyveri av informasjon eller sabotasje, som endring av informasjon eller blokkering av tilgang til systemene. På dette nivået kan aktøren ønske å opptre så diskret som mulig, enten for å skjule at det har vært et angrep, eller også for å forlenge angrepet så lenge som mulig.
Statlig etterretning, spesialstyrker og andre statlige sponsede aktører er de mest avanserte aktørene. Disse har betydelige ressurser tilgjengelig. De har god tilgang på nulldags-sårbarheter og har i tillegg evne til å oppdage og utnytte nye slike. Målet er som regel statlige organisasjoner, samfunn og samfunnskritiske installasjoner. Det skal mye til å stå imot et målrettet angrep fra slike aktører. Gitt nok tid og tålmodighet vil angriperen finne en vei inn, ved hjelp av sosial manipulering, innsidere eller andre avanserte teknikker i kombinasjon. Du vil som mål ofte ikke vite at det har vært noen på besøk, eller om de fremdeles er hos deg.
Operativsystemer og programvare som støtter sentrale tjenester er blitt sikrere og mer robuste med årene, selv i standardkonfigurasjon. Står man overfor oppdaterte versjoner med testede sikkerhetsprofiler og overvåkningsmekanismer er det ikke lenger trivielt å usett bryte seg inn i et moderne IT-system. Oppmerksomheten er derfor nå i større grad rettet mot klientutstyr og selve brukeren. Sosial manipulering, «phishing» og andre ikke-tekniske metoder gir muligheter for å komme seg på innsiden av også godt konfigurerte systemer. Så at et angrep lykkes betyr ikke nødvendigvis at offeret har «dårlig IT-sikkerhet».
Én type er farligere enn alle andre
Men det kan være en utfordring å nå ut med gode råd og effektive tiltak for personlig IT-sikkerhet. En vanlig privatperson med en laptop, et nettbrett eller en smarttelefon er som regel hverken teknisk kyndig eller interessert nok til å finne og følge slike råd. Rådene blir heller ikke alltid forstått, eller de kan hindre eller komplisere ønsket funksjonalitet. Privatpersoners utstyr kan derfor være interessante mål fordi de er inngangsporter til angrep på informasjonssystemer på arbeidsplasser. Det er bl.a. dette som gjør BYOD («Bring Your Own Device»), der arbeidstageren bruker sitt eget utstyr på jobben til en potensielt risikabel ting.
Og bare de mest ressurssterke organisasjoner kan klare å forsvare seg mot den vanskeligste og farligste angriperen av alle: Innsideren. Angriperen som sitter på baksiden av perimeter- og nettverksbarrierer, og som har direkte tilgang til informasjonen som skal beskyttes. Den som kjenner – og kanskje var den som implementerte – sikkerhetsmekanismer og rutiner og vet hvordan de kan omgås. På steder der sikkerhet er kjernevirksomhet og det står om nasjonal og internasjonal sikkerhet har man mekanismer for å forhindre innsidere, som personklarering, systemskiller, tilgangskontroller og andre rutiner. Allikevel har vi hatt Snowden, Manning og andre tilfeller med mindre kjente navn.
Det er umulig å beskytte seg helt. Men det er ikke en veldig interessant diskusjon. Avanserte og ressurssterke angripere med god tid og tilgang til teknikkene som er beskrevet her vil alltid ha muligheten for å komme seg rundt beskyttelsesmekanismene dine. Det betyr imidlertid ikke nødvendigvis at noen kommer til å klare å bryte seg inn hos deg. For du kan ha flaks. Det kan hende at akkurat du ikke havner i søkelyset for en angriper. Eller det kan være at angriperen aldri får den siste biten av puslespillet på plass for å nå helt frem. Den flaksen hadde dessverre ikke Stortinget denne gangen.
Google avslører nulldagssårbarhet i Windows – blir utnyttet av hackere
