Trusselbildet

I Telenor baserer vi våre vurderinger på flere kilder av forskjellig karaktér, i inn- og utland. Her oppsummerer vi hovedtrekk fra vår samlede vurdering, samt forhold vi legger særlig vekt på i forhold til Telenor i Norge og våre kunder.

Det foregår hybride operasjoner, fremmed etterretning, spesielt russisk og kinesisk som Etterretningstjenesten og PST fremhever, ønsker å utnytte privat infrastruktur for å drive etterretnings-, påvirknings- og informasjonsoperasjoner mot mål i Norge.

Med den endrede sikkerhetspolitiske situasjonen i Europa etter Russlands angrep mot Ukraina er det en mye høyere grad av usikkerhet om russiske aktører er villige til å gjennomføre destruktive angrep mot mål i Norge.

Kriminell aktivitet i det digitale domenet fortsetter å øke. Kriminelle blir raskere til å omsette identifiserte sårbarheter til faktiske angrep. Samtidig videreutvikler avanserte kriminelle langsiktige operasjoner med inntrenging i It-infrastruktur.

et identifiseres stadig nye sårbarheter og utvikles ny skadevare brukt over nye angrepsvektorer. De mest avanserte aktørene avdekkes jevnlig å ha brukt ukjent skadevare mot ukjente sårbarheter, men det store volumet av angrep utnytter kjente sårbarheter

Svært skadelige angrep med krypteringsvirus eller uthenting av informasjon fulgt av utpressing vil fortsette å øke.

Angrep via IT-leveransekjeden vil fortsette.

Avanserte trusselaktører vil, mot et begrenset antall prioriterte mål, kunne bruke kombinasjoner av digitale, menneskelige og fysiske handlemåter for å oppnå sine intensjoner.

Utviklingen med noen utenlandske avanserte aktører som tilbyr cyberangrep som en kriminell tjeneste for salg gjør det vanskeligere å identifisere hvem som står bak angrep.

Avanserte aktørers ønske om å rekruttere innsideaktører er økende. Avanserte trusselaktører, som i tillegg til statlige også kan omfatte enkelte kriminelle nettverk, vil kunne bruke kombinasjoner av digitale, menneskelige og fysiske handlemåter for å oppnå sine intensjoner.

Som følge av Russlands krig mot Ukraina har hacktivisme internasjonalt igjen økt.

Sosiale medier fortsetter å øke i betydning, men også som en arena for kriminell virksomhet. Mediene brukes til kartlegging, påvirkning, bedragerier og for å gi inngangsverdier til hacking

Ekstreme grupperinger av alle politiske valører er avhengig av kommunikasjon, men utgjør ikke en stor trussel i cyberspace.

For Telenor legger vi videre til grunn at:

De mest avanserte trusselaktørene kan komme til å gjennomføre målrettede operasjoner mot Telenor for å skaffe informasjon om oss som totalforsvarsaktør. Aktørene kan operere i det digitale domenet, men også nå frem ved å rette seg mot mennesker i vår organisasjon.

Endret sikkerhetspolitisk situasjon har medført noe høyere grad av usikkerhet om russiske aktører kan forsøke å skade vår infrastruktur.

Aktiviteten fra statlige aktører, kriminelle aktører, kriminelle aktører som utnyttes av statsaktører og til dels hacktivist-miljøer vil være høy. En rekke trusselaktører, både avanserte og mindre avanserte, vil utnytte Telenor-operert infrastruktur sin aktivitet. Disse målene vil ligge i Norge, men avanserte trusselaktører kan også føre operasjoner via mål og infrastruktur i Norge, mot mål i andre land.

Angrep med krypteringsvirus fulgt av utpressing utgjør en særlig skadelig form for angrep som kan rettes mot Telenor. Denne typen angrep vil fortsetter å øke. Bruk av DDoS-angrep fortsetter også, og noen ganger vil også denne typen angrep skje under krav om løsepenger.

Angrep via leverandørkjeder kan være særlig krevende å detektere og utgjør en angrepsform som er relevant for, og har stort skadepotensiale for, Telenor. Telenor er også et relevant mål for videre leverandørkjede-angrep mot våre kunder.

Aktører knyttet til den russiske stat har i 2022 utvist kapasitet til å gjennomføre nettverksbaserte angrep mot og over systemer for satellittkommunikasjon. Noen få andre statlige aktører må ventes å ha samme kapasiteten. Minst ett av disse har blitt gjennomført med bruk av destruktiv skadevare som setter terminalen varig ut av spill / krever fysisk respons til hver terminal. En slik type angrep kan tenkes utøvd også mot annen distribuert kommunikasjonsinfrastruktur enn satellittkommunikasjon.

Telenor vil bli gjenstand for et høyt antall nettbaserte forsøk på å bedra selskapet for penger. Det store flertallet vil være simple forsøk, men vi kan komme til å bli utsatt på avanserte forsøk, inkludert forsøk støtet av Deep fake metoder.

Sosiale medier kan brukes til kartlegging av Telenors ansatte og som inngangsvektor for angrep.

For våre kunder legger vi til grunn at:

Fremmed etterretning, særlig russiske og kinesiske som Etterretningstjenesten og PST fremhever, vil ved hjelp av avanserte metoder forsøke å trenge inn hos kunder. Inntrengningene kan ha som formål å hente ut informasjon om sikkerhetspolitiske forhold, spesifikk teknologi, oppbygging av infrastruktur eller samfunnsviktige funksjoner.

Kriminelle grupper vil forsøke å gjennomføre angrep med krypteringsvirus eller uthenting av sensitiv informasjon og påfølgende krav om løsepenger. Slike angrep kan rettes mot mange forskjellige typer kunder. Tilsvarende vil DDoS-angrep med utpressingskrav også komme. Antallet angrep med påfølgende utpressing må ventes å fortsette å øke.

Endret sikkerhetspolitisk situasjon har medført høyere grad av usikkerhet om russiske aktører kan komme til å skade digital infrastruktur hos noen av våre kunder. Deler av denne infrastrukturen understøtter samfunnskritiske funksjoner.

Avanserte trusselaktører vil, mot et begrenset antall prioriterte mål blant våre kunder, kunne bruke kombinasjoner av digitale, menneskelige og fysiske handlemåter for å oppnå sine intensjoner.

Den bredere kundemassen vil utsettes for en stadig strøm av enklere forsøk på inntrenging eller bedragerier. Kompetente kriminelle har økt sin kapasitet betraktelig ved innføring av automatiserte løsninger for bedrageriforsøk. Antallet forsøk på digitalt baserte bedragerier vil øke videre. En del av kundemassen vil bli utsatt for avanserte langsiktige forsøk på bedrageri, eksempelvis Business E-mail compromise bedrageri (BEC-bedrageri).

Angrep mot skyløsninger vil øke, både mot leverandører av skytjenester og mot kunders side av skyløsninger.

Under Russlands angrep på Ukraina så vi et sjeldent forsøk på angrep med skadevare spesielt tilpasset industriell kontrollsystemer (ICS). Denne typen angrep er sjeldne, men med en kraftig økning i bruk av Internet of Things (IoT) og økt eksponering av OT-infrastruktur for digitalisering av virksomhetsprosesser, vil antallet angrep mot ICS / IoT / OT øke. Kriminelle miljøer vil sannsynlig også på dette området gjenbruke, etterlikne og tilpasse metoder fra statlige aktører.

Kunders sosiale mediekonti kan bli brukt til kartlegging og til bedrageri, men også til første steg av hacking og inntrengning. Mange virksomheter er avhengige av sosiale medier for kommunikasjon mot kunder/brukere. Vi må vente at en del forsøk på overtakelse av slike konti og i noen tilfeller vil dette være som del av utpressing.

Angrep mot den nye økonomien i form av desentralisert finans (DeFi) eller forvaltning av verdier basert på blokkjedeteknologi, øker. Dette er både bedragerier rettet mot investorer og forskjellige typer angrep mot It-systemer for å ta kontroll over kryptoverdier. Kunder som engasjere seg i DeFi vil være spesielt utsatt for bedrageriforsøk og tyverier av DeFi verdier.