Hans Christian Pretorius er avdelingsdirektør operativ avdeling i Nasjonal sikkerhetsmyndighet. Arkivfoto.
Hans Christian Pretorius er avdelingsdirektør operativ avdeling i Nasjonal sikkerhetsmyndighet. Arkivfoto. (Bilde: Marius Jørgenrud)

Risiko 2017

– Det ropes for mye ulv, ulv. Dessuten er jeg drittlei av Stuxnet

Min påstand er at Norge aldri har blitt angrepet, sier Hans Christian Pretorius i Nasjonal sikkerhetsmyndighet.

FOLKETS HUS (digi.no): Nasjonal sikkerhetsmyndighet (NSM) og sikkerhetsbransjen for øvrig har lenge fortalt om en økning i antall uønskede datasikkerhetshendelser, i praksis forsøk på angrep.

Trusselbildet har nærmest fremstått som galopperende. Mørketallsundersøkelsen har tidligere fortalt at samfunnet taper i størrelsesorden 19-20 milliarder kroner. Hvert år.

Det virker klart at mange utsettes for ulike former for datasvindel. I forrige uke ble budskapet imidlertid tonet kraftig ned.

For det er kanskje ikke så hensiktsmessig at bransjen og myndighetene messer de samme advarslene om igjen og om igjen, fikk 700 deltakere høre under sikkerhetskonferansen i Oslo.

Noen hvilepute er det nok ikke, men det kan være greit å være litt edruelige også, kan være en slags oppsummering. Les for all del også rapporten Risiko 2017 som NSM samtidig lanserte.

Nå er det å sørge for en god grunnsikring i IT-systemene norske virksomheter blir anbefalt.

– Det betyr ikke at det ikke skjer noe. Det tar tid å få innarbeidet sårbarhetsreduserende tiltak i virksomhetene. Det går tross alt framover, mente NSM.

*** Joda, det er en jevn økning i målrettede, uønskede hendelser på APT-nivå (advanced persistant threat-aktører, altså statlig sponsede hackergrupperinger og fremmede lands etterretning).

*** Når det gjelder alvorlige hendelser ser NSM derimot en flat utvikling over mange år. Med ett unntak tilbake i 2014, da det ble registrert forsøk på hackerangrep mot 50 bedrifter i oljebransjen.

*** Nulldagssårbarheter ser NSM omtrent aldri brukt.

*** Derimot gjelder det kjente mantraet om å sørge for å holde både seg selv og datasystemene oppdatert.

*** Styring og ledelse av sikkerhetshetsarbeidet er en nøkkel for å redusere sårbarhet. Svært mange av avvikene NSM registrerer ved tilsyn, kunne virksomhetene selv ha avdekket.

Les også: Lanserte nytt senter mot dataangrep

Ulv, ulv

– Jeg er bekymret for at vi er bekymret. Jeg tror vi er kommet til det punktet der vi må evne å være betydelig mer presise i omtalen av det vi står overfor. Det er mye ulv, ulv her. For det er mye bra som skjer på sikkerhetsfronten, mente avdelingsdirektør Hans Christian Pretorius i NSM.

Han har registrert vinklinger og overskrifter i media, der uttrykk som dataangrep og angrep mot Norge er mye brukt. Det er ganske misvisende, slik han ser det.

– Min påstand er at Norge aldri har blitt angrepet. Hvis det å angripe betyr å ødelegge, ta ut en tjeneste eller virkelig skade noen via cyber, så har vi altså ingen eksempler på det, sa Pretorius.

Derimot er det et betydelig antall eksempler på at statlige aktører er ute og henter inn informasjon. Altså spionasje eller forsøk på spionasje eller etterretning.

Ser en flat utvikling i antall alvorlige sikkerhetshendelser: Hans Christian Pretorius i NSM.
Ser en flat utvikling i antall alvorlige sikkerhetshendelser: Hans Christian Pretorius i NSM. Foto: Sikkerhetskonferansen 2017/skjermdump digi.no

– Det er det mye av. Det er et spesifikt trusselbilde og en tydelig trend. Men er det angrep? Nei, antakelig ikke. Men det er spionasje. Ransomware (løsepengevirus) er også et stort tema, det er heller ikke angrep, men kriminelle handlinger og utpressing. DDoS (tjenestenektangrep) faller kanskje i kategorien angrep, det ødelegger ikke noe primært, men gjør en eller annen tjeneste utilgjengelig i en periode. Det er også færre vellykkede DDoS-angrep nå enn tidligere. Det er ikke færre hendelser, men det er bygget infrastruktur i Norge som gjør at flere av dem blir håndtert. Skadevare (malware) faller i kategorien hærverk, så det er usikkert om vi kan kalle det angrep. Utfordringen her er presisjon. Vi bør i betydelig grad være mer spesifikk om hvilke trusler vi står overfor. Da får vi en mye mer fruktbar diskusjon når det gjelder tiltak, sa Pretorius.

Mor er neppe interessant

Et spørsmål fra salen var om trusselbildet bare blir verre. Og det gjør jo ikke det, svarte Pretorius. Alt blir ikke verre.

– Hvis man mener informasjonsinnhentingskampanjer fra statlige aktører, så blir det mer av det, ja. Men sjansen for at min mor er interessant for en statlig aktør? Slapp av.

NSM med sin NorCERT-operasjonssentral og sensornettverket VDI (Varslingssystem for digital infrastruktur), har i likhet med veldig mange andre i sikkerhetsbransjen basert seg på gjenkjennelsesteknikk.

Som gjenkjennelse av datapakker og mønstre eller signaturer forbundet med trusselaktører. Her er det på tide å tenke nytt, mente avdelingsdirektøren.

Teknologien er basert på at de beskriver en normalsituasjon, og så leter etter avvik.

– Det går ikke lenger, er min påstand, sa Pretorius. Angripere utnytter ifølge ham måten det letes på.

– Vi og andre må bevege oss vekk fra å beskrive det unormale til å beskrive det normale. Det er betydelig greiere å få en alarm hvis noe beveger seg utenfor det.

Eksemplene på bruk av zerodays er så godt som lik null

Lei av Stuxnet

Zerodays eller såkalt nulldagssårbarheter har ifølge Pretorius fått et komikkens skjær. Han har vært på et utall konferanser hvor denne trusselen tegnes opp.

– Jeg begynner å bli drittlei av å høre om Stuxnet. I mange år har vi hørt om zerodays og Stuxnet er eksempelet. En zeroday er å vite om en sårbarhet i et eller annet produkt eller plattform, uten at leverandøren (eksempel Microsoft) vet om det selv. Du kan lage kode som utnytter sårbarheten. Slike angrep ser vi ikke. Eksemplene på bruk av zerodays er så godt som lik null. Årsaken er at hvis en statlig aktør først kjenner til zerodays så vil de være ekstremt varsomme med å bruke den.

Pretorius sikter da til at kunnskap om den aktuelle sårbarheten er ferskvare. Straks angrep som utnyttes disse begynner å spre seg, vil en oppdatering fra leverandør føre til at faren er over.

Derimot pekte han på utfordringen med å patche (lappe) allerede kjente sikkerhetshull og sårbarheter.

– Hvordan klarer de å skrive så god skadevare at de får til å utnytte et sikkerhetshull. Svaret er at Microsoft har fortalt dem at det finnes en slik sårbarhet. Her er patchen for det. Det samme gjelder Java, Apple og you name it. Ingenting er bedre enn at leverandørene tilbyr feilfiks og sikkerhetsoppdateringer, men hver gang de informerer om dette går det an å programmere kode som utnytter det samme hullet. Skal jeg si en ting om sårbarheter, så er det at det er de kjente sårbarhetene som blir utnyttet.

Les også: NSM fikk stryk på sikkerhetssjekk (Digi Ekstra)

Kommentarer (10)

Kommentarer (10)
Til toppen