Trusselaktørene
Det holder ikke å lukke døra og holde pusten. Trusselaktørene leter hele tiden etter nye veier inn og utvikler nye metoder for å oppnå sine mål.
Mange norske bedriftsledere undervurderer trusselaktørene og konsekvensene av deres operasjoner. «Det skjer ikke oss. Vi har ikke noe av verdi. Vi er så små. Det gjør ikke noe om systemene våre er nede noen timer.» Tenker de.
– De fleste virksomheter vet at ondsinnede digitale operasjoner foregår, men mange forstår ikke aktørenes hensikter og er dermed usikre på hvordan de best beskytter seg og hvor de skal sette lista, sier Hanne Tangen Nilsen.
Ifølge Mørketallsrapporten til Næringslivets sikkerhetsråd har bedrifter i Norge liten oversikt over hva det kan koste å bli utsatt for digitale angrep. Men det er farlig å tro at man ikke kan bli rammet. 70 prosent av alle angrep via cyberspace er rettet mot små bedrifter.
Små bedrifter er ofte del av leverandørkjeden til store virksomheter, de kan besitte kritisk informasjon eller ha svakheter som trusselaktøren bruker for å oppnå sitt mål. Det er slett ikke alltid penger som er trusselaktørenes primære mål.
– De mest avanserte jakter på informasjon og tilganger som fører til at de kan nå sine egentlige mål. Ingen er for stor eller for liten til å bli angrepet. Vi må alle se på leverandørkjedene våre og vurdere hvordan vi skal følge opp hvordan leverandørene sikrer seg, sier hun.
Et godt sted å begynne er å se på hvilke høyverdimål man har: Hva er virksomhetens viktigste verdier sett med trusselaktørens øyne? Det kan for eksempel være infrastruktur, styringssystemer, kundedatabaser, strategier, kontrakter eller forskning. Når man har kartlagt dette må man se på hvilke veier en trusselaktør kan ta for å komme til verdiene. Det er først da man er i stand til å iverksette og prioritere beskyttelsestiltakene.
– Enkelt sagt: Om inngangsdøra er åpen, så går de inn der, trusselaktørene ønsker å unngå å sette av alarmen. Poenget er å forstå aktørene og deres intensjoner og bygge kapasitet og kapabilitet til å oppdage dem og så bygge stadig bedre barrierer. Vi må gjøre det vanskeligst mulig for trusselaktørene å nå sine mål, sier Tangen- Nilsen
– Det er som å tegne en forsikring. Det er vanskelig å vite når ulykken inntreffer. Men nedsiden av dårlig sikkerhet kan bli veldig dyrt.
Soldater ved cyberfronten
I en sidegate i Arendal har Telenor Norges førstelinje mot digitale trusselaktører. De har nettopp gjort seg ferdig med morgenrutinene. Analytikerne på vakt i Telenor Sikkerhetssenter har besvart og videresendt henvendelser som det ikke har hastet med på nattskiftet og begynt dagens analyser av mistenkelig trafikk og nye sikkerhetsalarmer i deteksjonssystemene.
Det er tid for å senke pulsen og kanskje hente en kopp kaffe fra automaten.
Samtidig, flere hundre mil fra Norge har noen som kaller seg «Lazarus Group» bestemt seg for at dagens gjøremål blant annet er å angripe et sett av servere hos Telenor Norge. Angriperen har nesten 2.000 servere klare til å generere søppel-trafikk mot målet. Senere skal angriperen ønske at de hadde noen hundre servere til. Angriperen trykker på knappen som starter angrepet.
En av analytikerne i TSOC er på vei ut glassdøra i det det piper flere ganger i en av telefonene på pulten. Hun kjenner godt den varseltonen.
Profesjonelle trusselaktører
De som tror fienden er kvisete tenåringer med overutviklet IT-kompetanse, må tenke seg om et par ganger til. De er mye mer avanserte enn som så. De har ressurser. De har teknikk. De har mål. Og de har motiv. Men først og fremst: de er mennesker.
– Det er viktig å forstå hvem de er, hvilke virkemidler de bruker og hva de er ute etter. Det er ikke sikkert at det som er verdifullt for deg er det samme trusselaktøren er ute etter, sier Tangen Nilsen. Hun understreker at man må ta inn over seg at statlige aktører har god tid, lange operasjonslinjer og ubegrensede ressurser.
Ifølge PSTs årlige trusselvurdering ønsker statlige aktører å innhente informasjon, kartlegge og forberede sabotasje blant annet ved hjelp av digitale operasjoner. De skriver:
«Målrettede e-poster med lenker og vedlegg som inneholder skadevare, vil fortsatt være en aktuell metode. Slik vil menneskelige feil hos norske virksomheter være viktige døråpnere for trusselaktørene. Skadepotensialet for infrastruktur og virksomheter som følge av slike datanettverksoperasjoner er i de senere årene synliggjort både i Norge og andre land.»
En annen type trusselaktør er kontraktører som tar oppdrag fra nærmest alle som vil betale; stater, industrikonsern eller organiserte kriminelle. Her kan motivene være klassisk industrispionasje eller innsyn i forretningskritiske prosesser som oppkjøp, forhandlinger og budrunder.
Organiserte kriminelle bruker også cyberspace til blant annet hvitvasking av penger fra narkotikaomsetning, menneskehandel og terrorfinansiering. Ofte vil verktøy og metoder som er utviklet av statlige aktører etterhvert bli benyttet av disse. De er stort sett økonomisk motivert og bruker ofte skadevare for å nå det sikkerhetsfolk refererer til som «kronjuvelene» dine.
De såkalte «hacktivistene» har en politisk intensjon med de digitale angrepene. De leter ofte etter svakheter i forsvarsverket som kan utnyttes til å fremme sitt politiske budskap. Nederst i trusselhierarkiet er enkeltkriminelle, hackere og svindlere med enten økonomisk eller show-off-relatert motiv.
Hvem er trusselaktørene?
Organisert kriminalitet
Stater
Kontraktører
Politisk motiverte «hactivister»
Enkeltkriminelle og svindlere
Angrepet treffer
I Arendal dukker det opp ni alarmer om «distributed denial of service-angrep» (DDoS) på de store skjermene på veggen i vaktsentralen. Uten noe mer informasjon. Det er ikke uvanlig at det tar litt tid før det dukker opp detaljer om et digitalt angrep, men det er uvanlig med ni alarmer samtidig, selv om TSOC opplever nesten 1000 DDoS-angrep i måneden.
I det trusselaktøren trykket på avtrekkeren, sendte de først en kommando til flere servere i et datasenter som igjen sendte ut store mengder falske forespørsler til nesten 2000 feilkonfigurerte servere over hele internett. De falske forespørslene inneholdt små kommandoer som med vilje var laget for å lage størst mulige svar. Avsenderadressen på disse forespørslene utga seg for å komme fra Telenor Norges servere, selve målet for angrepet.
Sensorer og loggdata
Alarm utløses basert på våre sensorer og kunn- skap om kjente angrepsmetoder
Analyse av angrep
Tiltak og oppgradering av sensornettverk for å hindre nye angrep
I løpet av sekunder treffer svartrafikken Telenor Norges grenserutere som knapt merker den økte aktiviteten. Trafikken blir sendt videre inn i nettverket mot Telenor Norges DNS-servere. Informasjon om denne trafikken blir også sendt inn til Telenor Norges deteksjonssystemer som oppdager at noe er galt og sender ut alarmer til operasjonssenteret i Arendal.
Samtidig opplever noen kunder at T-We-boksen ikke virker. De skal kanskje se Farmen i opptak fra i går og da må trafikken innom Telenors DNS-tjener. Men den er akkurat nå altfor opptatt med å behandle søppeltrafikken.
Hvert år håndterer Telenors sikkerhetssenter i Arendal over tusen alvorlige hendelser på vegne av hele Telenor og kundene. Dette er hendelser som kan gjøre stor skade hvis de ikke blir oppdaget og stanset.
Sikkerhetssenteret er vårt førstelinjeforsvar som monitorerer Telenor Norges infrastruktur og leverer sikkerhetsovervåking til andre virksomheter.
Lokking og løsepenger
Våpnene i den digitale underverden er ikke direkte dødelige. Men de kan svi likevel. Sosial manipulering er sannsynligvis den mest brukte metoden de cyberkriminelle bruker i dag. Sikkerhetseksperter bruker begreper som phishing, baiting, elicitation, pretexting, tailgating og malvertising. På godt norsk: løsepengekrav, lureri, feller og lokkemidler.
Ifølge Næringslivets Sikkerhetsråd (NSR) er løsepengevirus den største digitale trusselen mot norske virksomheter akkurat nå. Det begynner med at noen klarer å lure inn en skadevare i datasystemet ditt for så å kryptere det, og dermed låse deg ute. Angripere som bruker løsepengevirus sender så krav om penger for å utlevere en digital nøkkel slik at du kan dekryptere datasystemet tilbake til det opprinnelige. Når du får tilgangen tilbake, vet du fortsatt ikke om noe er stjålet eller skadet.
I den senere tiden har aktørene lagt enda mer press på ofrene ved å hente ut mest mulig bedriftssensitive data før de krypterer systemet. Dermed blir det en dobbel utpressing. Selve angrepet og offentliggjøring eller offentlige auksjoner av dataene.
– Den største utfordringen for en virksomhet, er å vurdere sannsynligheten for slike angrep mot egen bedrift, sier Tangen Nilsen.
– Man må beskytte seg mot de typene angrep mange blir utsatt for, men man må også spørre seg: «Har jeg kunder eller ansvar som statlige aktører vil være interessert i?», legger hun til.
Den mest økende svindeltrenden for tiden er såkalt direktørsvindel, også kalt CxO-svindel. Det betyr at kriminelle forsøker å lure til seg penger ved å rette aktiviteten mot ledere og andre nøkkelpersoner i bedriften.
–Vi har fulgt CxO-tematikken i flere år for å holde oss oppdatert på hvordan de går frem og sikre egen virksomhet. Det er positivt at vi i Norge har tillit til hverandre, men vi må være klar over at trusselaktørene utnytter dette og spiller på at vi har tillit til våre nærmeste når de driver manipuleringsoperasjoner for å få tilgang til penger eller informasjon. Vi står overfor trusselaktører som angriper hodene våre, sier hun.
Beskytt e-post og nettleser
Bruk skadevareskanning på epostmeldinger og vedlegg
Merk usikre/mistenkelige meldinger
Sørg for god autentisering av brukere
Gi brukere opplæring og bedre risikoforståelse
Overvåk for å oppdage sikkerhetsbrudd
Håndter hendelser og gjenopprett normal driftssituasjon
Oppdater sikkerheten
Å opprettholde god sikkerhet for å beskytte verdier mot trusselaktører som utnytter cyberspace er en kamp 24 timer i døgnet. I den kampen trengs både teknologer og god etterretning.
– Her på TSOC jobber vi med å avdekke at noe skjer og hva det er. Deretter hvordan det skal stoppes, sier Jan Roger Wilkens, som er sikkerhetsanalytiker for TSOC i Arendal.
Det er andre deler av Telenor Norges sikkerhetsorganisasjon som jobber for å forstå trusselaktørene og analysere hva de kan komme til å gjøre og hvordan. Telenor Norge bruker Etterretningstjenestens og PSTs vurderinger grundig og samler kunnskap for å forstå trusselbildet mot seg selv og sine kunder.
– Våre kunder skal føle seg trygge på at vi har denne kompetansen. Ikke alle virksomheter har ressurser til å arbeide med etterretning, ha et førstelinjeforsvar eller drive jakt på avanserte tusselaktører. I tillegg så er det viktig å forberede seg på hvordan man skal håndtere sikkerhetshendelser. Har man ikke kompetansen selv så skaff den eksternt sier Tangen Nilsen.
Nylig gjennomførte Telenor Norge en undersøkelse blant 500 norske virksomheter om deres arbeid med digital sikkerhet. Mangel på sikkerhetskompetanse var det som ble vektlagt tyngst som den største hindringen i arbeidet. Men det er ikke bare kompetanse det handler om. Noen ganger er det noe så banalt som gammelt IT-utstyr.
– Modernisering og kvalitet i driftsarbeidet, sier Tangen Nilsen. Modernisering av gammelt utstyr, gamle løsninger og gammel programvare er vesentlige tiltak for å heve sikkerhetsnivået. Hvis du hever lista vil du få bedre kontroll på sårbarhetene dine og gjøre det vanskeligere for trusselaktørene. Du må betale litt for kvalitet og sikkerhet. Dette er jo et ledelsesansvar. Det er øverste ledelse som må forstå, gjøre noe med eller eventuelt akseptere risikonivået en virksomhet står overfor, sier hun.
Lazarus gir opp
Mens angrepet mot Telenor Norge pågår, følger angriperne med for å forsøke å forstå hva Telenor Norge foretar seg og hvor store ødeleggelser de har forårsaket. Samtidig som analytikerne på TSOC vurderer angrepet sender de kommandoer ut til grenseruterne for å stoppe trafikk av en viss type som går mot ett av målene, altså en av DNS-serverne. Systematisk og sammen med andre eksperter i Telenor Norge blir angrepet slått metodisk ned.
Kanskje «Lazarus Group» forstår at de har valgt en litt stor bjørn å tirre når de ser at konsekvensene av angrepet er små. Trusselaktøren har ikke mer å angripe med, og velger dermed å gå mot neste mål som de allerede har gjort alt klart for.
Etter noen timer er dette ene angrepet mot Telenor Norge over. Det skal vise seg at det heller ikke kommer noe nytt angrep etter at fristen for å betale gikk ut. De som satt i frontlinjen mot trusselaktøren denne formiddagen kan gå til lunsj med god samvittighet.
