Hvordan navigere i et mer krevende, digitalt trusselbilde?

Stadig mer kriminalitet begås digitalt. Hvordan beskytte seg best mulig?

Hvordan navigere i et mer krevende, digitalt trusselbilde?
Simen Bakke råder bedrifter til å skaffe seg oversikt over hva som kan gjøre dem til mål for digitale trusler. Foto: Pexels/Pixabay/Privat

Daglig kan vi lese i mediene om løsepengevirus og bedragerier. Ikke fullt så ofte, men likevel oftere enn før, kan vi lese om etterretningsoperasjoner og digital spionasje. Enkelte ganger, men likevel sjeldnere enn de ovenfor nevnte, kan vi lese om sabotasjeaksjoner. Mediene er fulle av konkrete cyberrelaterte operasjoner og -angrep, og det har ikke blitt færre de to siste årene under pandemien. Snarere tvert imot. Men hvordan skal man navigere i et trussellandskap med en kontinuerlig strøm av eksempler på hendelser, og hva har dette egentlig å si for offentlige virksomheter og private bedrifter som skal beskytte seg selv, sine IT-systemer og sine verdier?

Risikotrekanten

Jeg vil dele noen refleksjoner som, forhåpentligvis, kan gjøre det litt enklere å finne svaret på det spørsmålet. Det første du må gjøre er å ha et forhold til de tre faktorene i risikotrekanten:

Verdi, altså hva du ønsker å beskytte, trusler, altså hvem du beskytter deg mot, og sårbarhet, altså hvordan trusselaktøren kan gå frem for å få tilgang til, påvirke eller skade dine verdier. Dette er veldig enkelt forklart. Min erfaring er at de fleste virksomheter bruker aller mest tid på det siste. Altså sårbarhet. De jobber med implementering av sikkerhetstiltak. Fravær av sikkerhetstiltak er per definisjon sårbarhet. To-faktor autentisering, oppdatering av programvare, kryptering av data, tilgangskontroll, backup og deteksjonskapabiliteter. Dette er eksempler på sikkerhetstiltak som bidrar til å redusere sårbarhet. I beste fall har man god kontroll og dermed et adekvat sikkerhetsnivå.

Bidrar dette til god nok sikkerhet, i lys av det digitale trusselbildet vi ser i dag? Det vet man ikke. Det kommer helt an på. Fordi dette påvirkes av de to andre elementene i tre-faktor modellen, nemlig hvilke verdier du besitter og hvilke trusselaktører som kan være ute etter dine verdier. Hvis du har et generelt høyt sikkerhetsnivå og god kontroll, vil ikke nødvendigvis de kriminelle aktørene bruke all sin tid på å forsere dine barrierer og sikkerhetstiltak for å utføre et angrep med løsepengevirus. Det finnes nok av fisker i havet, slik at de vil gå videre til neste mål som forhåpentligvis (sett fra trusselaktørens ståsted), vil være enklere å utnytte. For trusselaktøren handler dette om kost/nytte.

Kostnad

Er det enkelt å komme seg på innsiden av dine systemer, er kostnaden i utgangspunktet liten. Er det vanskelig, er kostnaden større. Nytteverdien kommer imidlertid an på hvilken forventning om fremtidig (økonomisk) gevinst trusselaktørene antar at de vil tilegne seg ved å utføre operasjonen. Er den forventede nytteverdien liten, vil de ikke bruke mye tid på å komme seg inn.

Er forventningene store, vil de kunne akseptere å bruke mer tid og dermed også kostnad, på å forsere sikkerhetstiltakene dine. For trusselaktøren går den antatte nytteverdien dermed i pluss, sett opp imot kostnadene. Dette er enkel matematikk og kriminelle aktører er ofte skrudd sammen på akkurat samme måte som folk flest, men er ofte villige til å ta noe mer risiko enn oss andre. De velger imidlertid som oftest minste motstands vei. Derfor er ditt sikkerhetsnivå, sett opp imot alle de andre potensielle målene, svært relevant.

Er du det enkleste målet og trusselaktøren forventer at du vil utbetale løsepenger for å få dataene dine dekryptert, må du anta at du kan bli et offer i fremtiden. Frem til nylig har det vært tilnærmet risikofritt å utføre cyberkriminalitet på tvers av landegrenser. Heldigvis er dette på vei til å endre seg, men risikoen for straffeforfølgelse er fremdeles liten.

Statssponsede aktører

Når det gjelder de statlige eller statssponsede trusselaktørene er situasjonen imidlertid en annen. De er sjeldnere ute etter økonomisk gevinst. De er som oftest ute etter sensitiv informasjon eller tilgang til systemer som kan gi de en fordel ved en eventuell krisesituasjon.

Tilgang til sensitiv informasjon handler om etterretningsoperasjoner og spionasje, mens tilgang til systemer som kan gi en fordel ved krisesituasjoner handler ofte om sabotasje. For virksomheter underlagt sikkerhetsloven bidrar sikkerhetsgraderingen av informasjon (begrenset til strengt hemmelig) og beskyttelse av denne informasjonen til å beskytte mot etterretningsoperasjoner og spionasje.

Det er imidlertid mye informasjon som kan være sensitiv, men som likevel ikke er beskyttet med hjemmel i sikkerhetsloven. Også denne informasjonen må beskyttes. Utpekingen av såkalte grunnleggende nasjonale funksjoner med hjemmel i sikkerhetsloven, dette er altså funksjoner som er viktige for samfunnet som helhet, bidrar til å beskytte viktige informasjonssystemer mot sabotasje. Dette kan for være systemer som understøtter strøm- og kraftforsyning, finanssystemer eller helse- og beredskapssystemer. Systemene må fungere til enhver tid, også under ekstern påvirkning, i fred, krise og krig.

De senere årenes utvikling med lange og komplekse verdikjeder (f.eks. skytjenester), hvor leverandører og underleverandører kan påvirke samfunnskritiske- eller nasjonale funksjoner, fører til at verdikjederisiko og kontroll på leverandørkjeder har blitt enda viktigere enn tidligere. Kanskje er det det vanskelig å komme inn hos deg, men enklere hos en av dine underleverandører?

Bedrifter og universiteter er potensielle mål

Utfordringen for enhver virksomhet er imidlertid ofte å identifisere hvorvidt de er et attraktivt mål for fremmede stater eller ikke. Bedrifter som befinner seg i utvalgte sektorer, slik som forsvarsindustri og høyteknologi, vil kunne være interessante for fremmede stater og dermed også attraktive etterretnings- og spionasjemål. Spesielt dersom den informasjonen de besitter er underlagt eksportkontrollregelverk. Dette er regelverk som forhindrer stater som Norge ikke har et sikkerhetspolitisk samarbeid med, å få tilgang til slik sensitiv informasjon.

Universiteter som driver med høyteknologi, slik som utviklingen av kunstig intelligens må også forholde seg til begrensninger i eksportkontrollregelverket og kan derfor ikke ukritisk ansette hvem som helst fra fremmede stater. En som ansettes kan potensielt bli en «innside»-trussel, med legitim tilgang til sensitiv informasjon. Det hjelper lite om du har både 2-faktor, backup og deteksjonskapabiliteter mot et slikt scenario. Trusselaktøren kan potensielt, ved hjelp av innsideren, få tilgang til det som de er ute etter.

Heldigvis er de færreste bedrifter og offentlige virksomheter interessante mål for fremmede stater. Selv om vi har både informasjon og funksjoner av interesse i Norge, viste leverandørkjedeangrepet mot Solarwinds i 2020 at den russiske trusselaktøren i stor grad skånet Norge. Dette til tross for at flere norske virksomheter benyttet Orion programvaren. Når det gjelder Microsoft Exchange sårbarhetene, våren 2021, gikk de kinesiske aktørene målrettet mot spesielle institusjoner, slik som Stortinget, for å få tilgang til sensitiv informasjon.

I begge tilfeller er det i hovedsak snakk om etterretnings- og spionasjeoperasjoner. Tilgangen til systemene kunne likevel vært brukt til å jobbe seg videre inn hos interessante mål, for å gjøre mer skade eller utføre sabotasje. Dette er imidlertid noe som handler om trusselaktørens intensjon. De færreste statlige aktører er ute etter å skade med mindre de gjør det for å oppnå et bestemt mål, gjerne i tilknytning til en sikkerhetspolitisk krise.

Etter varslingen kommer de kriminelle

Når tiden går og sårbarhetene blir offentlig kjent, henger også de kriminelle aktørene seg på for å utnytte de samme sårbarhetene. Microsoft opplyste om at hele 400,000 Exchange servere var tilgjengelig på internett den 1. mars 2021, dagen før de varslet om Exchange sårbarheten den 2. mars. Før denne datoen var det i hovedsak kun kinesiske APT-er som utnyttet sårbarheten. Etter varslingen henger de kriminelle grupperingene seg på.

For å illustrere poenget registrerte Check Point en økning fra 700 til 7200 utnyttelsesforsøk knyttet til Exchange sårbarhetene i løpet av kun fire dager, fra 9. til 13. april 2021. Tiden som en virksomhet bruker for å oppdatere programvaren etter at en nulldagssårbarhet blir offentlig kjent med tilgjengelige patcher, er derfor kritisk. Løsepengeaktørene bruker ikke mange dager før utnyttelseskode er tilgjengelig. Når det gjelder Log4j sårbarheten tok det kun et par dager før de første løsepengeaktørene utnyttet sårbarheten.

Det faktum at de færreste virksomheter vil være interessante mål for fremmede stater må imidlertid ikke forstås som at ingen er av interesse. Mange vil være det, men ikke alle. Dette må man selv ha et bevisst forhold til, og kan du være det, bør du få veiledning fra de med kompetanse på området for hvordan du best kan beskytte deg.

En statlig trusselaktør kan bruke lang tid og avanserte metoder for å få tilgang til det de er ute etter, og de får ofte tak i det. Det er et spørsmål om tids- og ressursbruk, og hvor viktige du og din informasjon er opp imot alle de andre målene. Men dette er vanskelig å svare på med mindre du vet hva den fremmede staten er ute etter å oppnå. Og hvor mange av oss vet egentlig det? Hvis du ikke vet, så bør du få tilgang på slik informasjon.

Opportunister

Til forskjell fra de statlige trusselaktørene er de kriminelle aktørene, de som utfører bedragerier og angrep med løsepengevirus, primært opportunister. De søker størst mulig gevinst, raskest mulig og helst lav risiko. De vil sjeldnere benytte seg av innsidere med legitim tilgang til systemer og derfor kan man komme langt med å etablere fornuftige IKT-sikkerhetstiltak.

De potensielle ofrene er mange, så dersom det er vanskelig å komme gjennom sikringen hos deg, vil de heller velge et annet offer. Tilhører du derimot en sektor med mye penger som i tillegg viser betalingsvilje, vil du kunne oppfattes som et interessant mål som det likevel vil kunne være verdt å bruke mer tid på.

Om du ikke allerede er ekspert innenfor temaet, så håper jeg dette gir deg noe rettledning i hvordan du skal forholde deg til et stadig økende trusselbilde. De fleste bedrifter kommer langt ved å jobbe målrettet med å etablere en god sikkerhetsarkitektur, følge NSMs grunnprinsipper for IKT-sikkerhet og implementere en helhetlig sikring basert på Zero-Trust prinsippet.

De som sitter på informasjon eller funksjoner som er av større nasjonal interesse bør allerede være kjent med trusselaktørene. Og hvis du ikke er det, bør du gjøre en vurdering av hvem som er interessert i deg og dine verdier.

Les også

Les mer om:
;