Etterretningstjenesten slapp nylig rapporten Fokus 2020, med deres vurdering av aktuelle sikkerhetsutfordringer. På det digitale området er de i år som tidligere år tydelige på hvilke nasjoner som er de mest aktive når det gjelder etterretningsvirksomhet mot norske interesser i kapittelet «Etterretning, påvirkning og trusler i det digitale domenet» (sidene 62-79). PST omtaler også problemet i årets Nasjonal Trusselvurdering 2020 i kapittelet «Statlig etterretningsvirksomhet» (sidene 4-13). Det er tre-fire land som peker seg ut. Jeg pleier å kalle dem «Ondskapens Akse».
Reisevirksomhet i utlandet er nok ikke det som står øverst på agendaen nå, men i sikkerhetsmåneden kan nok mange se gjennom rutinene for reiser til de landene som E-tjenesten og PST omtaler spesielt i sine rapporter. Man skal selvfølgelig være forsiktig overalt hvor man reiser, men noen typer personer må passe bedre på enn andre. Spesielt attraktive mål i utlandet er statsråder og stortingsrepresentanter, ansatte i de hemmelige tjenestene samt kontrollorganene rundt disse. Ledere i Forsvaret, i direktorater og departementer og andre som har tilgang til høyt sikkerhetsgradert informasjon likeså. Næringslivsledere, ledende forskere ved universiteter eller forskningsinstitusjoner/-institutter, er en egen målgruppe. I tillegg er alle disses ektefeller, familier og nære bekjente interessante for fremmed etterretning. Disse kan utnyttes for å nå frem til de egentlige målene.
Sensitiv informasjon er mer enn du tror
En vanlig oppfatning er at så lenge man ikke har lagret sensitiv informasjon på de elektroniske enhetene (mobil, nettbrett, laptop, smartklokker etc.) man har med seg på reise så er man trygg. Så enkelt er det ikke. Sensitiv informasjon er dessuten mer enn det de fleste tenker over. På en slik elektronisk enhet kan man finne både sendte og mottatte mail og meldinger, kontaktlister, telefonlogger, nettleserhistorikk, posisjonshistorikk, bilder og videoer. Dette finnes på så godt som alle telefoner selv om de ikke har vært i bruk på jobb. Tilgangen til nettleseren vil alene avsløre hvilke nettsteder brukeren har opprettet innlogging på, og siden passord gjerne gjenbrukes er dette potensielt veldig nyttig informasjon for angriperen. Data som er slettet fra en elektronisk enhet kan også ofte rekonstrueres. Skulle enheten bli angrepet og kompromittert vil angriperen kunne få tak i svært verdifull informasjon om eieren som kan jobbes videre med.
Men minst like viktig som å ha kontroll på innholdet på utstyret man tar med seg på reise er hva man gjør når man kommer hjem. For her ligger den virkelige fellen. Fortsetter man å bruke en kompromittert enhet etter at man kommer tilbake, risikerer man at den fortsetter å samle inn og lekke informasjon. Ikke bare informasjonen som lagres på selve enheten, den vil også kunne være en vei inn i organisasjonens nettverk, sentrale systemer og forretningsapplikasjoner. Fra kontorplassen, fra hjemmekontoret og overalt ellers der man har en VPN-forbindelse inn. Timeføring og reiseregninger gir et bilde av arbeids- og reisemønstre og kan være nyttig fremover i tid. En kompromittert enhet vil også kunne lekke posisjonsinformasjon gjennom GPS, mobilnettverk, wi-fi og Bluetooth, og spore eieren ned på centimeteren. Dette kan kobles sammen med andres personers posisjonsinformasjon og avsløre hvem som møtes og omgås. Har man kontroll over enheten kan man dessuten slette eller endre informasjon, eller sende ut mail og meldinger og poste på sosiale medier i eierens navn.
Og siden så godt som alt slikt utstyr har både mikrofoner og kameraer som kan fjernstyres av angriperen, vil disse kunne fange opp alt som skjer rundt enheten. Samtaler på kontoret, i telefonen og i møter, med sjefer, kolleger, stortingspolitikere og regjeringsmedlemmer og kanskje statsministeren. Eller i kantinen og rundt kaffemaskiner der informasjon utveksles. Men også private samtaler, som på fest, i baren eller på hotellrommet. I fortrolige situasjoner som f.eks. hos lege, psykolog, advokat eller prest. Rundt stue- eller kjøkkenbordet, på badet/toalettet eller i soverommet. Mange bruker mobilen som vekkerklokke. Både nettbrett og smarttelefoner har vanligvis kameraer som kan ta både stillbilder og høyoppløst video på begge sider av enheten. Fremmede etterretningstjenester vil garantert være interessert i opptak fra soverommet til en statsråd.
Ubalanse i styrkeforholdet
Problemet når man er ute og reiser i disse spesielle landene er ubalansen i styrkeforholdet. Man reiser ofte enten alene, eller i en liten gruppe. De vanlige støttefunksjonene og sikringstiltakene man har hjemme er ikke lenger der. Man har begrensede kommunikasjonsmuligheter, og de kan plutselig være utilgjengelige når man mest trenger dem. Man er også helt på bortebane mhp. kultur, lovgivning og spilleregler generelt. Man kan vanligvis ikke språket - iallfall ikke nyansene. Man har få muligheter for å vurdere om situasjoner man befinner seg i er avvikende oppførsel eller helt vanlige. Man vil synes alle oppfører seg rart uansett hvis man ikke er kjent med omgivelsene. Angriperne man står ovenfor er derimot på hjemmebane. De ikke bare beskyttes av lokal lovgivning, dette er selve oppgaven deres. Statlige eller semi-statlige aktører i slike land er svært avanserte, og de har store ressurser. De har høyt aktivitetsnivå, de tenker langsiktig og de har god tid. De har kanskje holdt øye med målet lenge, og kjenner det godt. Fra sosiale medier og annen innsamling kjenner de målets interesser og omgangskrets. Et bilde av en seilbåt eller fra en skiferie gjør at de kan vinkle angrepet sitt om et interessant tema. Gjerne med andre personer på så de kan referere til dem ved kontakt. Man vil ikke legge merke hva som skjer. Man vet ikke om de har kommet seg inn på en mobil eller en laptop, eller om de fremdeles er der.
Dersom man er i målgruppen, og må reise til disse landene, kan man forsøke å målet mindre. Arbeidsgiver har sannsynligvis et opplegg for slike reiser, og det er der man sier ifra - ikke i sosiale medier. Enhetene man tar med seg bør være nyinstallert og ikke være satt opp mot jobbens tjenester. En nyopprettet, anonym mailkonto med videresending av mail vil også hjelpe mye. Alle passord og PIN-koder bør være nye. Det bør ikke ha vært brukt tidligere, og de bør heller aldri brukes igjen. En «dum» mobiltelefon til 199,- med kontantkort er mindre sårbar enn en smarttelefon med apper. Gjerne kjøpt anonymt av en annen person enn den som skal ha den med seg. Den kastes ved hjemkomst.
Den enkleste måten for en angriper å kompromittere en enhet på er å ha fysisk tilgang til den. På reisen må utstyret aldri mistes av syne, forlates, eller overlates til noen man ikke stoler på. Dette gjelder også alt som kan fysisk kobles til utstyret, som lader, strømforsyning, mus, og kabler. Hotellrommet og hotellsafen er ikke trygge. Lokale wi-fi-nettverk er absolutt ikke trygge, og apper/programvare bør ikke installeres under oppholdet. Enheter bør ikke lades i USB-kontakter på hotell, flyplasser og andre offentlige steder. Man vet ikke hva som finnes bak kontakten. Kun medbragt lader bør brukes, og passes godt på.
Vær uforutsigbar
Klarer man å overholde dette, har man redusert angrepsflatene betraktelig. For selv om angriperne er avanserte og ressurssterke så er de allikevel avhengige av at de har riktig kunnskap, riktig verktøy og riktig timing for å kompromittere akkurat det utstyret som skal angripes. Noe av dette er flaks, og ikke bare dyktighet. Derfor bør man være så uforutsigbar som mulig. Reiser varer ofte ikke lenge, og dersom man klarer å begrense både fysisk og digital tilgang til utstyret så kan man klare å unngå kompromittering. Og når man kommer hjem fra reisen bør organisasjonen ha et opplegg for å overta og gjenopprette utstyret. Har det vært brukt fornuftig, kan det gjenbrukes som reisemaskin, men aldri settes inn i organisasjonens nettverk. Det må ikke engang bli liggende på kontorer eller i fellesarealer der det kan fortsette å lekke informasjon.
For mange høres dette nok veldig paranoid ut, men for høyrisikomål på reise i enkelte land er risikoen helt reell. Teknologien og metodene som finnes for å samle inn informasjon vil overgå de flestes fantasi. Man er ikke flinkere eller smartere enn de avanserte aktørene, og en angriper trenger bare ett vellykket angrep. Som mål må man motstå alle. All informasjon om en person kan være interessant i kombinasjon og over tid, og oppfinnsomheten, tålmodigheten og kunnskapen hos en angriper kan ikke overvurderes. Informasjon er ikke som en stjålet bil som kan finnes igjen dersom man er heldig. Dersom informasjon kommer på avveie kan man ikke «få den tilbake igjen». Den må da antas kopiert verden rundt i mange eksemplarer som ikke forsvinner. Og den kan lekke ut når som helst og forårsake stor skade.
NSM ba norske virksomheter skrote Ivanti Connect Secure
