Slik gikk Telenor Norges sikkerhetsteam til aksjon mot statlige aktører

Mørkkledd mann sitter foran PC og jobber i mørket

– Vi har å gjøre med trusselaktører med tilnærmet ubegrensede ressurser.

Da «Nikita» og deler av Telenor Norges sikkerhetsavdeling nylig ble koblet på for å hjelpe en stor bedrift med å håndtere et alvorlig sikkerhetsbrudd, hadde angriperne allerede beveget seg inne i systemene i lang tid.

Det ble raskt klart at svært mye sto på spill. Bedriften hadde sensitiv data som måtte beskyttes, infrastrukturen var ikke inndelt som den burde vært, det manglet kompetanse og enkelte systemer var utdatert. Trusselaktørene, som «Nikita» beskriver som «aktører med ubegrensede ressurser», var gjennomprofesjonelle og jobbet målrettet.

Det måtte sterk lut til, og Telenor startet planleggingen av en ambisiøs operasjon som fikk navnet «Bivrost».

Digital sikkerhet er dugnadsarbeid

Telenor Norge støtter virksomheter i og utenfor Norge med analyse og hendelseshåndtering når avanserte aktører går til digitale angrep eller driver digital spionasje.

Målet er å minimere konsekvensene av trusselaktørenes operasjoner, samt å kaste dem ut i de tilfellene der de har trengt inn. Dette må også skje på en slik måte at de ikke kommer inn igjen.

Det er svært viktig å forstå aktøren, hendelsen og infrastrukturen den har skjedd i. Som en samfunnsaktør arbeider Telenor Norge derfor døgnet rundt med å oppdage og stanse ondsinnet aktivitet fra svært avanserte trusselaktører.

– Det er kritisk når det går galt at man har inngått formelle samarbeid med tydelige ansvarsforhold. Men for Norge kreves også dugnadsinnsats, skriver sikkerhetsdirektør i Telenor Norge Hanne Tangen Nilsen i Digital Sikkerhet 2020.

info icon

Fakta:

Hvert år gir Telenor ut en sikkerhetsrapport som tar for seg noen av de viktigste punktene innen digital sikkerhet. Her kan du blant annet lese mer om «Operasjon Bivrost» – en reell hendelse med svært avanserte ondsinnede aktører som beskriver hvor komplekst det er å bli kvitt slike aktører – og hva som skal til for å lykkes.

Last ned og les rapporten her

Kan operere uoppdaget i månedsvis

Et kjennetegn ved profesjonelle og målrettede trusselaktører er at de jobber sakte, forsiktig og planmessig for å oppnå sitt definerte mål.

Slike trusselaktører legger fra seg svært få spor, noe som gjør dem svært vanskelig å oppdage. Slik kan de operere uforstyrret i infrastrukturen i månedsvis – samtidig er det svært krevende å kaste dem ut uten å risikere at de gjør destruktive mottrekk.

– Uten nøye planlegging, kan en aktivitet som å tilbakestille alle passord for en organisasjon med mange tusen ansatte – hvorav noen drifter og administrerer kritiske applikasjoner og systemer – lett gå veldig, veldig galt, skriver «Nikita» i Digital Sikkerhet 2020.

Digital sikkerhet handler derfor om langt mer enn «å dra ut pluggen». Skal man lykkes med å bli kvitt trusselaktøren, må det tid, vilje, ressurser og kompetanse til. Det kan ikke forventes at alle virksomheter klarer dette alene.

For å sikre din virksomhets verdier, er det derfor avgjørende med en god sikkerhetspartner med den nødvendige erfaringen og kunnskapen.

En vellykket operasjon

Da Telenor Norge ble koblet på i forkant av «Operasjon Bivrost» hastet det å få hindret angriperne i å nå sitt mål. Samtidig krevde selve utkastelsen grundige forberedelser.

– Skal vi lykkes med å fjerne aktøren må vi få iverksatt en serie tiltak og hele organisasjonen må spille i takt. Det dreier seg om en kombinasjon av tekniske og organisatoriske forbedringer i tillegg til å faktisk kaste trusselaktøren på dør. Men veien er lang før vi kan kaste ham ut, skriver «Nikita».

Etter flere måneder med intenst arbeid og herding av systemene, gikk sikkerhetsteamet til verks over en helg i november:

Angriperne ble blokkert fra nettverket, kjent malware og andre angrepsverktøy ble fjernet og all påloggingsinformasjon ble resatt – før systemet ble ytterligere herdet for å unngå nye suksessfulle angrep.

Ifølge «Nikita» gikk Operasjon Bivrost etter planen. Alle deler av operasjonen ble fullført og var vellykkede, «uten å skape hindringer for drift og uten å få forretningsmessige konsekvenser.»

– Dette var bare mulig på grunn av riktige menneskelig ressurser, erfaringene fra migreringen, omfattende forberedelser i samarbeid med linjeorganisasjonen og dyptgående forståelse av avhengigheter i miljøet at dette kunne oppnås, konkluderer «Nikita» – og legger til at det seks måneder etter operasjonen fortsatt ikke er noen tegn til nye ondsinnede aktører i nettverket.

●      Les mer om Operasjon Bivrost i Digital Sikkerhet 2020

Ønsker du å vite mer om hvordan Telenor kan hjelpe til med å sikre din bedrift?

Ta kontakt med oss for å avtale en uforpliktende samtale

Kontakt oss nå!