Sikkehetskonferansen

NorCERT-sjefen: – Enhver stat med respekt for seg selv, driver med hackerangrep

Likevel ser nesten alle angrepene ut til å være russiske eller kinesiske.

NorCERT-leder Håkon Bergsjø hadde mye interessant å fortelle under Sikkerhetskonferansen 2019.
NorCERT-leder Håkon Bergsjø hadde mye interessant å fortelle under Sikkerhetskonferansen 2019. (Foto: Harald Brombach)
EKSTRA

Likevel ser nesten alle angrepene ut til å være russiske eller kinesiske.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 199,- i måneden.
Bli Ekstra-abonnent »

OSLO KONGRESSENTER (digi.no): Til tross for at Håkon Bergsjø har ansvaret for håndteringen av Hydro-angrepet fra NSM NorCERTs side, hadde han tid til å holde et foredrag under NSMs Sikkerhetskonferansen onsdag denne uken. Han var innom mange sider ved IT-sikkerhet, men bare i begrenset grad den høyaktuelle saken. 

Det han innledet med, er at han mener det hele er forbilledlig håndtert av Hydro, blant annet overfor pressen.

Det er alle dere andre som ikke vet hva dere har av aktører inne i nettene deres.

– De har et godt team hjemme, og det er en veldig fin gjeng å hjelpe. 

Han roste dem for å være åpne og mente at virksomheter som er åpne, får lite tyn for det. I tillegg bidrar åpenheten til at virksomhetene får hjelp. 

– Det vi pleier å si, er at hvis du har hatt en sak, så vet du hva du har. Det er alle dere andre som ikke vet hva dere har av aktører inne i nettene deres. Hydro har i alle fall fått ryddet opp, sa NorCERT-sjefen. 

Les også: Hydro var ikke påkoblet NSMs sensornettverk VDI under angrepet

Den tradisjonelle skalaen

Også i andre deler av foredrag kom Bergsjø med interessante uttalelser. Blant annet snakket han om at det har blitt vanskeligere å skille mellom aktørene på den tradisjonelle skalaen hvor de har blitt inndelt etter hvor ressurssterke de er. Den starter nederst med plagsomme småkriminelle som script kiddies. 

Mot midten finner man aktører som driver med økonomisk kriminalitet. Dette er en gruppe som ifølge Bergsjø har vokst mye de siste de siste årene. 

– Dette begynner å bli den største driveren bak slik virksomhet, og skadepotensialet er blant de største. Dette fordi det kan bli ødelagt ting, for eksempel med krypteringsvirus, i det man skal svindle noen, sa Bergsjø. 

Øverst på listen er spionasjedelen, hvor det stjeles data. Dette er vanskelig å løse, fordi eierne av dataene er nødt til å ha dem tilgjengelige, for eksempel data knyttet til helse. 

– Nei, du kan ikke ta ned deler av nettet ditt, for da får ikke ambulansen tilgang til dataene den trenger. Så du må ha tilgjengelighet. Nå har vi snakket om konfidensialitet i mange år. Jeg tror at tilgjengelighetsbiten kommer til å bli enda viktigere, sa Bergsjø. 

Script kiddies med NSA-våpen

– Det har blitt vanskeligere å skille mellom disse aktørene. Før var det script-kiddies der nede, og der oppe var det store, avanserte aktører. Men når script-kiddiene kan jobbe for kriminelle som har 100 millioner å investere, så begynner denne skalaen å bli litt annerledes. 

Bergsjø sa at når de nederst på skalaen kan få tilgang til å leke seg med lekkede NSA-våpen, som tidligere var forbeholdt store etterretningstjenester, da er det vanskelig å skille mellom gruppene.

Det er jo litt merkelig, for enhver stat med respekt for seg selv, driver jo med dette om dagen.

– Det er en grunn til at vi sier at vi ser russiske og kinesiske angrep, og det er at alle prøver å være disse. Ikke fordi at de ikke holder på, men vi ser veldig få andre. Det er jo litt merkelig, for enhver stat med respekt for seg selv, driver jo med dette om dagen, hevdet NorCERT-sjefen. 

Det å finne ut hvem som faktisk står bak, er ofte mulig, men det er gjerne en veldig lang kjede, og det krever mye samarbeid. 

– Du kan hoppe fra land til land, hacke servere eller kjøpe deg anonyme servere, også kalt bulletproof hosting, fortalte Bergsjø.

Risikofritt

– Internett er ikke lagd for sikkerhet, men for å utveksle data mellom forskere. I dag skal alt på nett, og jo billigere, desto bedre. Dette er nesten 100 prosent risikofritt for dem som skal angripe, det er ingen som vet hvem du er, fortsatte han.

Bergsjø nevnte flere årsaker til dette. Det ene er ledere som ikke forstår hva som skjer og som derfor ikke vil investere i sikkerhet. 

Må skjønne noe om «cyber»

Til publikum sa Bergsjø at sikkerhetsinteressertes viktigste oppgave er å fortelle lederne hvorfor de skal bruke penger på dette. 

– Jeg var på Forsvarets høyskole, og der snakket vi om en rekke krisescenarioer, inkludert pandemi. For meg er pandemi kanskje noe av det mest skremmende. Men det var faktisk ikke så vanskelig å skjønner, for jeg skal ikke lage vaksinen eller skjønne hvordan viruset sprer seg, og det trenger ikke lederne heller. De behøver ikke skjønne hva som er spredningsmekanismen. De skal skjønne i hvilket omfang det sprer seg, hvilke konsekvenser det får og hvilken vaksine som virker, hvor lang tid det tar å lage denne og hva det koster.

Dersom jeg kan skjønne noe om pandemi, så kan også lederne deres skjønne noe om hva cyber er.

– Dersom jeg kan skjønne noe om pandemi, så kan også lederne deres skjønne noe om hva cyber er. Med cyber blir det så flakkende blikk. Cyber, det er liksom skummelt. Men det er jo ikke det. Det er jo relativt enkelt, hevdet Bergsjø.

Politiet, del 1

En annen årsak til at det er risikofritt, er ifølge Bergsjø at vi i Norge har et politi som lenge ikke har tatt tak i dette. 

– Heldigvis har vi nå fått Nasjonalt cyberkrimsenter (NC3). Men vi har hatt et politi som ikke har samarbeidet. Har du møtt opp på politistasjonen, ble du møtt med «fiskeøyne» om du har kommet med en PC som noen har brutt seg inn i, sa Bergsjø.

En tredje,  medvirkende årsak er at fortjenesten av slike angrep er kjempestor. 

– Dersom du lurer til deg noen hundre millioner, eller investere noen narkotikapenger i dette, sier det seg selv at det er litt å bygge videre på, mener Bergsjø.

Leverandører nesten uten ansvar

En siste faktor er leverandørene av IT-utstyret. 

– Vi har leverandører nærmest uten ansvar. Hadde du gjort dette i bilindustrien, så hadde det blitt krise. Er det én ting man kan gjøre, så er det at det offentlige bør stille krav. Dersom hele det offentlige Norge hadde sagt til alle underleverandørene at du bør ha et sikkerhetssertifikat eller på en eller annen måte vise at du tar dette alvorlig. Da hadde hele Norge blitt trygge, for det er ingen som ikke handler med myndighetene, sa Bergsjø. 

Det er jo helt utrolig at leverandørene slipper unna med å levere produkter som må patches hver uke.

– Det er jo helt utrolig at leverandørene slipper unna med å levere produkter som må patches hver uke. Hvis bilen din hadde bedt deg kjøre inn til veikanten og stanse, for ellers har du ikke forsikring … Det er jo ikke sånn det funker. Men det får lov til funke sånn i IT-verdenen, fortsatte han.

Frykter for tele

Når det gjelder konsekvensene av angrep mot infrastruktur, er Bergsjø mest engstelig over teleområdet. 

– Togene kan stanse, men jeg er ikke så innmari engstelig for det, for det gjør de jo hele tiden. Jeg tror tele er en av de viktigste, fundamentale funksjonene vi har. Strøm kan du ha backup til. Det kan du stort sett ikke med tele, sa han. 

Under foredraget nevnte Bergsjø at det i løpet av siste året har vært flere tilfeller av kryptosnylting («cryptojacking») på kritisk infrastruktur i Norge. Dette handler om datamaskiner som blir kapret for å at deler av prosessorkraften skal brukes til utvinning av kryptovaluta.

Ledelsens håndtering av angrep

Når uhellet først er ute og en virksomhet først har oppdaget at den har blitt angrepet, så vil det ifølge Bergsjø være avgjørende å ha bevisste ansatte. Han har et klart budskap til lederne:

– Det er de ansatte som oppdager dette, og de ansatte som håndterer det. Når det begynner å smelle, gi de ansatte litt tid. Dere har mange flinke folk. Det dere som ledere kunne ha gjort med dette, begynner å bli litt sent. Men det er nødvendig å få en link mellom ledelse og dem som er på gulvet, det er den man trenger å få. Det er mellomlederne som må få etablert den kontakten, sa Bergsjø. 

– Ikke trekk ut strømmen! Behold roen!

– Ikke trekk ut strømmen! Behold roen! Dette har stort sett foregått i flere hundre dager. Det er ikke slik at det skjedde den ettermiddagen du fikk vite om dette. Dette er ettermiddag nummer 300, fortsatte han. 

Logger og verdier

Bergsjø understreket også viktigheten av logger. 

– Dersom du ikke har logger, så er det veldig vanskelig å hjelpe dere. Et av hovedbudskapene er,  invester i logger. Og dere som driver med policy angående deling, innsyn, og så videre. Dere må gi de som jobber med saken det de trenger. 

Det Bergsjø også anbefaler alle, er å ha kontroll på verdiene sine. 

– Ingen av de selskapene vi kommer til, har full kontroll på alle verdiene de eier. Da blir det litt vanskelig å hjelpe dem. Hva er en cyberverdi? Dere må veilede lederne deres og spørre dem hva som er viktig for dem. Kan de leve uten datamaskin på pulten en dag? Kan du klare deg uten telefonen i to dager?, nevnte han som eksempler.

Bergsjø mener at et av de viktigste mottoene i dag, er at det nytter. 

Det kreves ledelse, det kreves jevnlig, drit kjedelig oppfølging.

– Det er mulig. Det kreves ledelse, det kreves jevnlig, drit kjedelig oppfølging, som at du hele tiden passer på at du har patchet og at du har slettet kontoen til han som har sluttet. 

Politiet, del 2

Etter foredraget tok en representant fra Oslo politidistrikt, som satt blant publikum, ordet. Han sa at han var enig i at det står ganske dårlig til i politidistriktene, men at det heller ikke er helt svart. Han nevnte som eksempel at «Operasjon Jackpot», hvor svindlere ble narret i sitt eget forsøk på direktørsvindel, ble etterforsket i Oslo politidistrikt. 

– Så jeg syns ikke dere skal i opp håpet helt når det gjelder å anmelde ting til politidistriktene, sa tilhøreren. 

Han la også til at NC3 bare kommer til å ta noen ytterst få saker innenfor datainnbrudd og skadeverk.  

Bergsjø til at det ikke var meningen å henge ut politiet. 

– Men vi trenger å få flere anmeldere, sånn at det blir bevissthet og mer trening for politiet. 

Kommentarer (0)

Kommentarer (0)
Til toppen