Trusselforståelse

Falske nyheter, angrep på demokratiet, verdikjedeangrep, digital opprustning, ransomware - det er vår nye hverdag. Det har aldri vært viktigere å forstå trusselaktørene for å forstå hvordan vi skal sikre oss. Trusselaktører på jakt etter digital informasjon som kan stjeles, endres eller gjøres utilgjengelig, opererer ikke bare digitalt; et av trusselaktørens virkemidler kan være en kollega eller en konsulent.

Petter-Børre Furberg i serverrom

Statlige aktører, kontraktører, organiserte kriminelle og svindlere jakter på informasjon og forsøker å utnytte vår infrastruktur og våre tjenester. Tilgang til systemer og adgang til fysiske lokaler er blant trusselaktørenes viktigste mål. Intensjonene bak kan være penger, makt, innhenting av informasjon til senere operasjoner eller sabotasjeforberedelser. Trusselbildet er i endring og det kan være krevende å ta inn over seg.

 

Vi er heldige i Norge; myndighetene deler gode og innholdsrike trussel- og risikovurderinger (se faktaboks). Disse mener vi brukes for lite og av for få virksomheter, både offentlige og private. Vurderingene gir vesentlig innsikt til bruk i risikostyring i egen virksomhet.

 

Myndighetenes trusselvurderinger

I årets vurderinger fra E og PST legger vi spesielt merke til følgende:

 «Utenlandsk etterretnings- og påvirkningsaktivitet forblir en betydelig trussel mot Norge og norske interesser.

Russland har gjennomført påvirkningsoperasjoner under både europeiske og amerikanske valg, blant annet gjennom nettverksoperasjoner, provokasjoner og koordinert spredning av desinformasjon. Atferden har ikke blitt endret av avsløringer. Også Kina gjør framstøt for å påvirke politiske prosesser i vestlige land. Bruk av økonomiske maktmidler, som insentiver, press og straffereaksjoner, er utstrakt, og bruken av desinformasjon er trappet opp under covid-19-pandemien.

Etterretningstrusselen griper inn i stadig flere sektorer. Informasjon om norsk politikkutforming, særlig innen forsvars-, utenriks- og sikkerhetspolitikk, er av vedvarende interesse for andre stater. Det samme gjelder Nordområdene, Svalbard, helsesektoren, energisektoren og kunnskap som kan understøtte sivil og militær teknologiutvikling. Informasjon om kontaktnettverk og intern uenighet i norsk politikk og norske virksomheter har etterretningsverdi fordi det kan utnyttes i framtidige operasjoner.

I tillegg til åpne forsøk på å påvirke andre staters politiske beslutningsprosesser gjennom diplomati og forhandlinger, søker enkelte stater å gripe inn i beslutningsprosesser gjennom fordekte påvirkningsoperasjoner. Russland har gjennomført påvirkningsoperasjoner under både europeiske og amerikanske valg. Å spre desinformasjon er en etablert operasjonsmåte for russiske påvirkningsaktører. Også Kina gjør framstøt for å påvirke politiske utfall og beslutninger i vestlige land.»

Kilde: Etterretningstjenestens trusselvurdering FOKUS 2021.

 

«Statlig styrt spionasje i det digitale rom representerer en vedvarende og alvorlig trussel mot Norge. De siste årene har andre lands etterretningstjenester lyktes med å bryte seg inn i de digitale nettverkene til norske myndigheter og private virksomheter.

I 2021 vil nettverksoperasjoner utgjøre den største delen av russisk og kinesisk etterretningsaktivitet mot Norge. Digital spionasje er kostnadseffektiv og innebærer liten risiko sammenlignet med andre etterretningsmetoder. Statlige trusselaktører som forsøker å trenge seg inn i norske datanettverk, finner stadig sårbarheter de kan utnytte.

Det neste året vil norske virksomheter oppdage eller bli informert om at etterretningstjenester har forsøkt å få tilgang til informasjon i deres digitale nettverk. I tillegg må vi anta at mange operasjoner aldri vil bli oppdaget.

Offentlige og private aktører som arbeider med utenriks-, forsvars- og sikkerhetspolitikk vil være særlig utsatte. Det samme gjelder teknologiselskaper og forskningsmiljøer som arbeider med rombaserte tjenester, maritim teknologi, helse og forsvarsindustrien. I tillegg bør virksomheter i petroleumssektoren være forberedt på at uvedkommende vil forsøke å stjele informasjon fra deres datanettverk.»

Kilde: PST nasjonal trusselvurdering 2021.

 

Telenor Norges vurdering

De mest avanserte trusselaktørene Telenor Norge, våre kunder og andre totalforsvarsaktører står overfor har ikke noe krav på seg til å tjene penger; de skal tjene nasjonen de representerer og ikke en økonomisk bunnlinje. Slike avanserte aktører har lange tidslinjer i sine operasjoner (måneder og år) og de ønskede effektene av operasjonene kan være svært langsiktige, slik som eksempelvis SolarWinds-operasjonen.

 

Telenor Norge erkjenner at vi er et mål for avanserte aktører, både på grunn av vår rolle i Totalforsvaret, vår samfunnskritiske infrastruktur, vår nasjonale symbolverdi og våre kunder i alle bransjer og sektorer.

 

Med denne kunnskapen, og sett i sammenheng med myndighetenes vurderinger, legger vi til grunn i våre risikovurderinger at:

•         Hybride operasjoner pågår; privat infrastruktur brukes til å utføre cyberoperasjoner, informasjonsoperasjoner og påvirkningsoperasjoner.

•         Fremmed etterretning, spesielt russisk og kinesisk som E og PST fremhever, ønsker å drive etterretnings-, påvirknings- og informasjonsoperasjoner mot Telenor Norge og våre kunder.

•         Som totalforsvarsaktør vil vi bli forsøkt utnyttet og utsatt for målrettede etterretningsoperasjoner.

•         Avanserte trusselaktører bruker kombinasjoner av handlemåter for å oppnå sine intensjoner; både teknologiske og menneskelige, fysiske og logiske.

•         Fremmed etterretning vil forsøke å misbruke tjenester hvis de finner det formålstjenlig.

•         Fremmed etterretning ønsker meget sannsynlig å benytte statssponsede organisasjoner og organiserte kriminelle miljøer, i tillegg til egen kapasitet, for å drive cyberoperasjoner mot Telenor Norge og enkelte av Telenor Norges kunder.

•         Avanserte aktørers ønske om å rekruttere innsideaktører er økende.

•         Telenor Norge og våre kunder vil bli utsatt for aktører som benytter utpressing som virkemiddel, både i forbindelse med DDoS og med å ønske å ta kontroll over informasjon ved å benytte ransomware.

•         Direktørsvindel vil bli enda mer spisset og målrettet, kriminelle miljøer vil fortsette å utnytte teknologi og avansert manipulering for å få tilgang til e-postsystemer (BEC).

•         Helt nye angrepsformer vil sannsynlig komme etter hvert som IoT-utviklingen virkelig skyter fart og kriminelle miljøer også på dette området kan «arve» metoder fra statlige aktører.

•         Store hendelser i samfunnet slik som for eksempel store russiske militærøvelser eller øvelser der NATO-land øver i Norge vil kunne medføre økt aktivitet fra fremmede stater og kriminelle miljøer som kan påvirke Telenor Norge.

•         Hacktivisme pågår, men fenomenet har blitt mye mindre synlig.

•         Ekstreme grupperinger av alle politiske valører er avhengig av kommunikasjon, men ikke en stor trussel i cyberspace.

 

Når trusselaktøren lammer alt vi bruker

Industrielle kontrollsystemer (Industrial Control Systems, ICS), ofte omtalt som Operasjonell Teknologi (OT), er teknologi som opererer i kulissene og understøtter vår way of life; i alt fra frittstående systemer som en enkelt melkemaskin til avanserte kontrollsystemer for industriprosesser, transport og generering av elektrisitet. Disse systemene har frem til nå vært komplett adskilt fra moderne IT-infrastruktur, og er derfor i liten grad blitt beskyttet og herdet slik som IT-systemer. Sikkerhet i OT-systemer er ofte også rettet mer mot stabilitet og forutsigbar drift, enn beskyttelse mot ondsinnet aktivitet.

 

Utbredelse av Industrial Internet of Things (IIoT) fører til at komponenter i et OT-miljø utvides både logisk, fysisk og geografisk. Vi ser blant annet hyppigere bruk av smarte løsninger for sensorikk, overføringsmedier som 4G/5G og andre kortdistanse trådløse protokoller. Dette utvider angrepsflaten for trusselaktører i det man flytter logikk fra sentraliserte kontrollerte miljøer til standardiserte plattformer for kjøring av virtuelle ressurser, og gjør dette tilgjengelig i en massiv skala.

 

Et målrettet angrep mot denne type teknologi vil eksempelvis kunne påvirke kraftdammer og vann- og kloakksystemer. Et angrep kan påvirke både kraftproduksjon og kraftoverføring nasjonalt og internasjonalt. Hendelser i kraftforsyningen i våre naboland kan få konsekvenser for Norge siden infrastrukturen for overføring og balansering av krafttilgang er tett sammenknyttet.

 

Bortfall eller ustabilitet i OT-systemer vil også kunne få fysisk effekt; roboter i fabrikker, trafikklys, kjøledisker, bagasjebånd, fjernvarme, vann og avløp og demninger kan bli satt ut av spill, eller ikke virke som forutsatt.

 

Sammensveisingen av IT og OT i industrielle prosesser omtales gjerne som den fjerde industrielle revolusjonen. Det forventes at man skal kunne optimalisere industrielle prosesser basert på informasjon fra utenforstående systemer og disse systemene skal igjen kunne motta og behandle informasjon direkte fra produksjonssystemene. Det er flere ting som driver denne utviklingen: Behov for automatisering, introduksjon av Industrial Internet of Things (IIoT) og skiftet fra tradisjonelle sentraliserte kontrollsystemer til en prosess som er definert av «smarte» enheter, og behovet for å lage spesialtilpassede produkter.

 

De siste årene har industrielle systemer blitt påvirket av hendelser rettet mot IT systemer ved flere anledninger, Norsk Hydro er ett eksempel, angrepet på Ukrainas energiinfrastruktur i 2015 er et annet.