Helhetlig digitalt risikobilde 2020

NSM er bekymret for outsourcing og økende bruk av nettsky – men skytjenester kan også gi økt sikkerhet

– Skytjenester levert fra og med infrastruktur i Norge vil være en god start, ifølge sikkerhetsmyndighetene.

Innkjøp av skytjenester må vurderes opp mot behovet for nasjonal kontroll og beredskap, sier avdelingsdirektør Bente Hoff i NSM.
Innkjøp av skytjenester må vurderes opp mot behovet for nasjonal kontroll og beredskap, sier avdelingsdirektør Bente Hoff i NSM. (Foto: Marius Jørgenrud)

– Skytjenester levert fra og med infrastruktur i Norge vil være en god start, ifølge sikkerhetsmyndighetene.

Hei, dette er en Ekstra-sak som noen har delt med deg.
Lyst til å lese mer? Få fri tilgang for kun 235,- i måneden.
Bli Ekstra-abonnent »

Nasjonal sikkerhetsmyndighet (NSM) legger fredag fram sin årlige rapport om det digitale risikobildet for 2020. Det er en rapport hvor økende bruk av skytjenester og outsourcing til utlandet får særlig oppmerksomhet.

NSM sier rett ut at de er bekymret for den samlede nasjonale avhengigheten av utenlandske skytjenesteleverandører.

Mange egg i få kurver

De mener at flertallet av IKT-tjenestene til norske offentlige og private virksomheter over tid kan bli levert fra utlandet. Og utenlandske skyleverandører bærer allerede i dag viktige norske samfunnsfunksjoner.

I dette ligger en konsentrasjonsrisiko, ifølge NSM, som mener at for mange egg legges i noen få kurver. Det de kaller «en håndfull store utenlandske private selskaper» blir også en betydelig maktfaktor. Uten å nevne navn sikter de antakelig til giganter som Microsoft Azure, Amazon Web Services, Google Cloud, IBM og Oracle.

– Ved å sette ut IKT-systemer som bærer kritiske samfunnsfunksjoner, eksempelvis i form av skytjenester, kan vi komme til å svekke vår nasjonale beredskapsevne, skriver Nasjonal sikkerhetsmyndighet.

Norske byggeklosser?

Skytjenester vil være vesentlig for realisering av fremtidens teknologi og vil utgjøre sentrale byggeklosser for morgendagens digitaliserte samfunn.

Dermed blir det ifølge rapporten helt avgjørende at virksomheter vet hva de gjør, samt at de forstår konsekvensene og en eventuell risiko for bortfall av slike tjenester.

– Skytjenester levert fra og med infrastruktur i Norge vil være en god start, skriver NSM i rapporten.

Avdelingsdirektør Bente Hoff ved NCSC i NSM understreker at de generelt er positive til at virksomheter tar i bruk skytjenester.

– For mange vil det å benytte skytjenester bidra til bedre sikkerhet enn de hadde før. Skyleverandører har som regel en viss størrelse på sitt driftsmiljø, som er profesjonelt drevet. De gjennomfører også sikkerhetsrevisjoner, gjerne fra tredjepart, og har bedre innebygd sikkerhet enn gamle legacy-systemer, for eksempel, sier Hoff til digi.no.

Samtidig ser NSM at innkjøp av skytjenester også krever en kompetanse og systematisk sikkerhetsarbeid.

– Det er et poeng når mer og mer blir samlet hos internasjonale skyleverandører. Vi flytter også mer av det samfunnet er avhengig av ut av Norge og til globale aktører. Vi er opptatt av at det skal være tilstrekkelig sikkerhet. 

NSM utelukker som nevnt ikke at tjenester kjøpt fra en utenlandsk IT-tilbyder kan gi bedre sikkerhet enn fra en norsk aktør.

– Det vi sier er at norske virksomheter må gjøre sine vurderinger. Egentlig er det punktum der. Man må vite hva man har av behov og hva man kjøper. Det å vurdere kjøp av skytjenester må vurderes opp mot behovet for nasjonal kontroll og beredskap, men dette gjelder ikke alle virksomheter, poengterer Hoff.

– Hva slags type tjenester av nasjonal betydning, mener NSM at ikke bør ligge på utenlandske servere?

– Vi har ikke tatt fram noen eksempler på det. Det vi ønsker er at det skal settes fokus på disse vurderingene, som kommer til å være svært viktig for samfunnet i tiden fremover.

– Har vi i Norge infrastruktur, kapasitet og kompetanse til å ta tilbake tjenester som dere advarer mot å sette bort til utlandet?

– Det er et stort spørsmål. Det er viktig at behovet adresseres, sier Hoff.

Risikorapporten NSM legger fram på fredag nevner verken cyberangrepet mot Stortinget, norske kommuner eller helseforetak. Heller ikke det lammende dataangrepet mot det norske skipsverftet Vard, som har levert to skip til E-tjenesten i Norge, er omtalt.

– I denne rapporten er vi opptatt av å komme med eksempler som er representative for hva vi ser. Vi er mer opptatt av å få med historier som er representative enn å ta med alt det ferskeste. Så er det også sånn at vi ofte har noen restriksjoner på hva vi kan gå ut med, sier Bente Hoff.

Korona og hjemmekontor

Korona har medført flere digitale sårbarhetsflater og risikoområder. NSM har erfart at ulike aktører utnytter covid-19-tematikk ved svindelforsøk og digitale operasjoner.

Enkelte sektorer med viktige verdier ble satt under økt press som følge av situasjonen. Flere sårbarhetsflater og sikkerhetshull er knyttet til utstrakt bruk av hjemmekontorløsninger, som utnyttelse av sårbarheter i fjernaksessløsninger. Likevel har ikke koronasituasjonen endret hovedlinjene i det digitale risikobildet mot Norge, mener NSM.

Gjennomgående ser de at digitale operasjoner blir mer sofistikerte og komplekse, og at hendelseshåndtering er tid- og ressurskrevende. En annen erfaring er at løsepengevirus i økende grad rammer norske virksomheter. Det er en utvikling NSM har pekt på i flere år.

Les også

Manglende tiltak

NSM oppfatter at norske virksomheter er blitt mer sikkerhetsbevisste. Samtidig opplever de at flere av dem som utsettes for digitale hendelser verken har nødvendige forebyggende tiltak på plass, eller kompetanse og kapasitet til å avdekke, håndtere eller begrense skadeomfang ved dataangrep.

– Hendelser som NCSC har håndtert det siste året kunne vært avverget eller begrenset dersom virksomhetene hadde fulgt rådene i NSMs grunnprinsipper for IKT-sikkerhet, sier Bente Hoff, som leder Nasjonalt cybersikkerhetssenter (NCSC) i NSM.

Andre funn i rapporten:

  • Forsvar, romvirksomhet, maritim, petroleum, ekom og kraft er sektorer som særlig er risikoutsatt for digitale operasjoner.
  • Det siste året har trusselaktører utført rekognosering og informasjonsinnhenting mot mål i Norge. Myndigheten ser digital kartlegging av norske virksomheters infrastruktur, og digitale operasjoner hvor aktøren bak lykkes i å kompromittere en virksomhet for deretter å hente ut data fra systemene.
  • Utpressing med løsepengevirus er velkjent fra tidligere. NSCS mener nå at det også er en trend at angripere krever betalt for ikke å auksjonere bort stjålne data eller å lekke disse. Løsepengevirus kan også benyttes som en avledning, men hensikt å skjule en faktisk intensjon utover økonomisk vinning. Forsøk på direktørsvindel og misbruk av systemer til utvinning av kryptovaluta rammer også mange.
  • Angrep mot leverandørkjeden, hvor aktøren rammer en tredjepart eller tilgrensende virksomhet, forekommer også i Norge. NSM observerer at virksomheter lenger nede i verdikjedene rammes av sikkerhetstruende virksomhet, enten som mål i seg selv eller som ledd i å nå mål høyere opp i verdikjedene.
  • Phishing med e-post er fortsatt brukt som inngangsvektor mot norske mål. NSCS har siste året sett en rekke forsøk på målrettede phishing-kampanjer. Tema for e-posten er i disse tilfellene relevant for mottaker, og vedlegg eller lenker er spisset for mottaker og dens arbeidsoppgaver. Slik skreddersøm øker sannsynligheten for å lykkes.

Advarer mot tålmodige angripere

NCSC observerte i 2020 at avanserte aktører kartla sårbarheter i enkelte tjenester for fjernpålogging, og at aktiv utnyttelse inntraff flere måneder etterpå.

Flere har utnyttet kjente sårbarheter i slike løsninger, og de kan også legge igjen bakdører for å beholde tilgang til systemene etter at sårbarhetene er lukket.

– En slik tålmodighet i angrepsprosessen får konsekvenser for virksomhetene og hendelseshåndtering i ettertid. For å kunne håndtere hendelsen er det avgjørende at virksomheten har overvåkning av sitt nettverk i perioden fra virksomheten var sårbar til tidspunktet for aktiv utnyttelse, skriver NSM i rapporten.

Rådet de gir er at fjernaksessløsninger må kontinuerlig oppdateres og sikres forsvarlig.

Les også

Citrix-angrep

Det er få referanser til kjente sikkerhetsbrudd eller konkrete sårbarheter i årets rapport. Blant unntakene finner vi en referanse til angrep mot Citrix-produkter.

Mange medlemmer av Nordic Financial CERT (NFCERT) gjorde tidlige tiltak, inkludert oppdatering etter at en kritisk sårbarhet i Citrix-systemer ble kjent sent i 2019. Likevel opplevde noen av disse å få enkelte Citrix-enheter kompromittert tidlig i 2020, da utnyttelseskode ble publisert på internett.

Disse kompromitteringene ble oppdaget og håndtert raskt av den enkelte finansinstitusjon, noe som forhindret at angrepene fikk spre seg lenger inn i virksomheten. Ifølge rapporten fikk ingen av hendelsene nevneverdige konsekvenser, utover behov for håndtering og opprydding.

Selv om de hadde rutiner for oppdatering og vedlikehold av kritiske systemer, ble de kompromittert. Hendelsene viser at evne til rask deteksjon og respons er en viktig del av et godt dybdeforsvar, ifølge NSM.

Angrep mot Office 365

Kollegene i KraftCERT har observert forsøk på «brute force»-angrep, mye mot Microsoft Office 365. Slike teknikker handler om å «gjette» seg frem til riktig passord, gjerne på grunnlag av ordbøker, lister av tidligere lekkede passord.

Noen av angrepene brukte brukernavn og passord som åpenbart stammer fra eldre lekkasjer. Sannsynligvis de større og kjente lekkasjene, som fra LinkedIn, Yahoo og andre som ligger en del år tilbake i tid. De fleste hendelsene fikk ifølge rapporten ingen konsekvenser, men noen skal ha opplevd kompromitterte brukerkontoer.

Ingen av hendelsene NVE og KraftCERT har registrert skal ha medført trøbbel med forsyningssikkerheten av elektrisitet eller fjernvarme.

Les også

Kommentarer (2)

Kommentarer (2)
Til toppen