Trusselbildet mot Telenor og våre kunder
Dette kapittelet inneholder oppdaterte vurderinger av sikkerhetstrusler som er relevante for Telenor Norge og våre kunder. Beskrivelsen av trusselbildet er utarbeidet på tvers av Telenor Norges ulike fagmiljøer som jobber med å forebygge, avverge og håndtere sikkerhetstrusler mot Telenor Norge. Trusselvurderingen tar for seg både strategiske og mer tekniske aspekter ved trusselbildet som berører nasjonen. Telenors kundegruppe omfatter mange virksomheter av ulik størrelse med ulike verdikjeder og samfunnsroller. Virksomheter må vektlegge forskjellige aspekter av trusselbildet avhengig av sine verdier, funksjoner og roller. Avslutningsvis har vi inkludert betraktninger om trusler mot noen utvalgte kundegrupper.
Sikkerhetspolitisk utvikling og overordnet trusselbilde
Urolighetene i Europa etter Russlands invasjon av Ukraina i 2022 fortsetter å prege Norge, og vil å prege vår sikkerhet i lang tid fremover. Etter at Norge høsten 2022 ble Europas største energileverandør har fokus på sikkerhet rundt vår egen infrastruktur økt og fått en mer markant sikkerhetspolitisk dimensjon.
Norske myndigheter har ved flere anledninger presisert at Russland ønsker å sette europeisk energisikkerhet under press. Dette gjør at fokuset mot Norge øker og innebærer skjerpede sikkerhetsmessige implikasjoner for deler av Norge som har tilknytning til kritisk infrastruktur. Kritisk infrastruktur og andre samfunnsviktige funksjoner er i stor grad avhengige av hverandre og krever trygg og sikker kommunikasjon for å fungere.
Telenor vurderer at situasjonen vi nå opplever vil kunne vare over lang tid. Det er også mulighet for at den raskt kan forverres. En forverring vil kunne få svært store konsekvenser for viktig infrastruktur i Norge, inkludert den som Telenor eier og drifter. Evnen til å kommunisere trygt og fritt under forverrede forhold vil være viktigere enn noen gang.
Det er å forvente at kriminelle trusselaktører som opererer i det digitale rom vil benytte ny teknologi som for eksempel kunstig intelligens for å øke muligheten for rask profitt. Kombinert med økonomiske nedgangstider på verdensbasis, vil dette kunne gi et større omfang av kriminelle trusler. Økt innovasjon og kompleksitet innen ransomware gjør dette til en av de farligste truslene Telenor står ovenfor.
Ved et angrep på Norge og NATO vil ødeleggelse av kritisk infrastruktur få prioritet tidlig, og varslingstiden vil være svært kort.
Endring i sikkerhetspolitisk bakteppe
Fem eksterne faktorer ved den sikkerhetspolitiske situasjonen vil påvirke sikkerhetsbildet for Telenor Norge og vårt arbeid med sikkerhet fremover.
1.Kritisk infrastruktur blir mer utsatt
Norske og utenlandske myndigheter, deriblant NATO, har fremhevet hvor viktig norske energileveranser og kritisk infrastruktur knyttet til dette vil være for hele Europa i tiden fremover. Myndighetene har flere ganger det siste året beskrevet en økt trussel rettet mot olje- og gassinfrastruktur. Dette gjelder all kritisk infrastruktur, og spesielt infrastruktur tilknyttet eksport av energi til Europa. Kritisk infrastruktur i Norge er knyttet tett sammen og har mange gjensidige avhengigheter, noe som Telenor Norge også må ta innover seg. Telenor Norge er en viktig leverandør til annen kritisk infrastruktur som krever digital kommunikasjon for å fungere.
Virksomheter må regne med at installasjoner, eller tjenester som kan knyttes opp mot annen kritisk infrastruktur, vil kunne være særlig utsatt for etterretningsvirksomhet. For eksempel kan de bli utsatt for forsøk på både fysisk og logisk rekognosering.
Russland søker å svekke vestlig samhold og vilje til å støtte Ukraina ved å legge press på Europas energisektor. Kreml regner det europeiske eksportmarkedet som tapt, og vil fortsette å ramme europeisk økonomi ved å strupe gasseksporten. Etter hvert som Russlands virkemidler uttømmes, øker muligheten for at Russland vil søke å ramme energileveranser fra andre land.
2.Nato utvides
PST vurderer at Russland vil ha et økt behov for å forstå konsekvensene av NATOs ekspansjon. Etterretningsinnsamling i Norden vil derfor trolig ha høyere prioritet.
Offentlig forvaltning, andre institusjoner og forskningsinstitusjoner som arbeider med utforming av sikkerhetspolitikk og norskarktisk politikk vil peke seg ut som naturlige mål. Også virksomheter innen bestemte typer teknologiutvikling vil være sannsynlige mål. For Telenor Norge vil dette også innebære at vi må forvente et høyere etterretningstrykk.
Selv om NATOs ekspansjon medfører økt sikkerhet for nordiske land, vil dette også kunne medføre økt misnøye og oppmerksomhet fra russisk side. Ett av verktøyene som benyttes for å uttrykke misnøye er DDoS–angrep mot mål av symbolsk verdi (mer om DDoS-angrep lenger ned).
DDoS og annen bruk av virkemidler for å signalere misnøye eller påvirke offentlig diskurs blir ofte benyttet av statsstøttede aktører eller «hacktivister». DDoS i seg selv er vanligvis ikke et virkemiddel som innebærer store konsekvenser for de som blir angrepet. Like fullt er dette en angrepsform som ofte brukes mot symboltunge mål, inkludert private bedrifter. Telenor Norge er, som en stor og kjent norsk bedrift, et sannsynlig mål for DDoS-angrep. Av de samme grunnene som beskrevet ovenfor vil en god del av våre kunder være mulige mål for DDoS-angrep. Spesielt gjelder dette virksomheter som fremmer synspunkter eller tiltak som faller negativt ut for russiske interesser.
I inneværende år forventer vi også at russiske etterretningstjenester vil ha nye politiske og militære informasjonsbehov knyttet til konsekvensene av en NATO-utvidelse i Norden. Svensk og finsk NATO-medlem- skap kan øke den samlede betydningen av Norden for russiske etterretningstjenester, og gjøre at de i større grad enn tidligere prioriterer etterretning mot Norden som helhet.
3.Arktis blir viktigere
Både Russland og Kina har uttalte interesser i arktiske strøk, og etterretningsaktivitet må dermed forventes. PST forventer i sin vurdering NTV 2023 at russiske etterretningstjenester vil være interessert i informasjon om aktører som er involvert i norsk forvaltning av Svalbard.
For noen statlige aktører, spesielt Russland og Kina, vil Telenors posisjon i nordområdene og Arktis være av særlig interesse. NTV 2023 (PST) peker også på en høyere risikovilje innen etterretningsaktivitet, hos spesielt Russland, grunnet den sikkerhetspolitiske situasjonen. Det er all grunn til å tro at dette vil vedvare. Per i dag har russiske sivile fartøy fremdeles mulighet til å benytte havneligge i Kirkenes, Båtsfjord og Tromsø. De kan også bedrive regulær aktivitet (primært fiskeri) i områder hvor det er sjøfiber-kabler, andre installasjoner eller aktiviteter som kan være av interesse for russisk etterretning.
Høyere aktivitet i nordområdene fra flere stater, kombinert med sikkerhetspolitiske spenninger vil også kunne sette Svalbard i et særlig søkelys. For Telenor Norge blir behovet for redundans og høyere sikkerhetstiltak for tjenester i Nord-Norge og på Svalbard viktigere enn noensinne.
4.Et varig urolig Russland
I Etterretningstjenestens vurdering av Russland i et tiårs-perspektiv i FOKUS 2023, er vurderingen den at Russland vil forbli en urolig og ustabil nabo, som i ytterste konsekvens kan oppleve regimekollaps eller borgerkrig. Videre skrives det at «svært lite tyder på at et grunnleggende mer demokratisk Russland vil vokse frem det neste tiåret, eller at landets interesser i større grad blir forenelige med Vestens». Russlands brudd med Vesten blir med andre ord varig, og forholdet mellom Norge og Russland vil trolig fortsette å påvirkes av dette.
For Telenor Norge vil dette si at vi må planlegge og være forberedt på en vedvarende høy etterretningsaktivitet fra Russland i overskuelig fremtid. Vi må også være forberedt på å stå i en situasjon som plutselig kan forverres og vare over tid. Telenor må, med andre ord, planlegge for en lengre periode med usikkerhet når det gjelder den det sikkerhetspolitiske situasjonen og være forberedt på at denne raskt kan forverres.
5.Et offensivt Kina
Kinas utenrikspolitikk er mer utadrettet enn tidligere, og spenningen mellom Kina og Taiwan har økt. Dette er en konflikt som potensielt sett kan ha svært alvorlige følger for mange bedrifter verden over. Konflikten kan bidra til å påvirke leverandørkjeder innen teknologi og begrense tilgang på spesialisert teknologi som halvledere/mikrobrikker fra Taiwan.
Kinesisk teknologi er mer integrert i verden enn tidligere, samtidig som norske myndigheter advarer mot leverandøravhengighet knyttet mot Kina.
Kinas økende interesse i arktiske strøk, både i form av investeringer, oppkjøp og sivil tilstedeværelse, vil også øke deres behov for kunnskap om andre bedrifter som opererer her. Dette vil også kunne være en driver for industrispionasje.
Trusselvurderinger fra norske myndigheter har i en årrekke påpekt at både russiske og kinesiske myndigheter vil forsøke å anskaffe avansert teknologi som de i dag ikke er i stand til å produsere selv. Dette skjer gjennom utenlandsinvesteringer, fellesforetak, forskningssamarbeid og industrispionasje.
PST forventer ingen store endringer i etterretningstrusselen fra Kina i Norge. Kina vil fremdeles utgjøre en betydelig etterretningstrussel mot norske interesser i inneværende år. Kinesisk etterretning vil bruke et bredt spekter av virkemidler for å tilegne seg avansert teknologi, kunnskap og sensitiv informasjon fra norske virksomheter og institusjoner. Kina vil også være interessert i informasjon om norsk politikkutforming, særlig knyttet til internasjonalt samarbeid og nord-områdene.
Fysiske sikkerhetstrusler mot Telenor Norge
En god del av Telenors kunder er eiere av samfunnskritisk infrastruktur med stor geografisk spredning. Disse kundene står overfor mye av det samme trusselbildet og mange av problemstillingene knyttet til sikring av infrastruktur som oss.
Kritisk infrastruktur regnes som særlig viktig i en konflikt. Man må regne med at infrastrukturen er nøye kartlagt i forkant. Politiets Sikkerhetstjeneste bekreftet høsten 2022 i media at de vurderte at norsk kritisk infrastruktur allerede var kartlagt. Telenor Norge bør dermed regne med at egen infrastruktur er kartlagt, og forvente forsøk på kartlegging av vår infrastruktur også i fremtiden.
Infrastruktur fornyes, og trusselaktører vil ha behov for oppdatert informasjon. Mye fysisk infrastruktur vil kunne kartlegges over internett, men enkelte installasjoner vil likevel være utsatt for fysisk kartlegging. Slik kartlegging kan også gjøres mot våre underleverandører.
Det er sannsynlig at god elektronisk sikring gjennom moderne systemer for fysisk adgangskontroll, perimetersikring og kameraovervåkning vil være effektive forsinkende tiltak. Dette vil i noen grad også være tiltak som har avskrekkende effekt mot avanserte aktører. Slike sikringstiltak alene vil imidlertid ikke kunne stanse avanserte aktører som har vilje, intensjon og kapasitet til å ta seg inn på kritiske lokasjoner.
Sjøfiberkabler og sabotasjetrusselen
Ifølge Forsvarskommisjonen bæres om lag 90 prosent av den transatlantiske internettrafikken, inkludert militær kommunikasjon, av undersjøiske, fiberoptiske kabler som inngår i en sivil elektronisk kommunikasjonsinfrastruktur. Dette gjør sjøfiberkabler til et attraktivt mål. Undersjøisk infrastruktur inkludert rørledninger som frakter olje, gass, samt fiberkabler fremheves også som særlig viktig og sårbart av NATO. NATO har også uttalt at de nå ser mer russisk aktivitet rundt denne type infrastruktur enn på lenge. Telenor Norge er kjent med at russiske militære og sivile fartøy har hatt uregelmessig og gjentatt avvikende aktivitet over steder hvor sjøfiberkabler befinner seg.
Ettersom den sikkerhetspolitiske situasjonen er spent, og kan endres raskt, bør Telenor Norge være forberedt på at sabotasje-handlinger er en sannsynlig del av verktøykassen til russiske trusselaktører. Sabotasje mot sjøfiberkabler kan gjennomføres på en slik måte at den kan forveksles med kriminell aktivitet. Sabotasje eller annen fordekt aktivitet mot sjøfiberkabler i internasjonalt farvann er vanskeligere å tilskrive én aktør. Sabotasje mot sjøfiberkabler kan også i noen sammenhenger lett forveksles med skade utført ved legitim aktivitet som bunntråling eller lignende.
Dersom Russland skulle gå til sabotasjehandlinger på norsk territorium vil det medføre større sannsynlighet for å utløse krig med NATO, sammenlignet med sabotasje i internasjonalt farvann. Så lenge Russland ikke er i direkte konflikt med NATO, eller ønsker å eskalere konfliktnivået, fremstår det mer sannsynlig med fordekt sabotasje rettet mot infrastruktur i internasjonalt farvann.
Digitale trusler mot Telenor Norge og våre kunder
I det digitale domenet vil forskjellige typer trusselaktører, med ulik motivasjon og kompetanse, utgjøre ulike typer trusler mot både Telenor og våre kunder. Vi kan grovt sett inndele trusselaktørene i henholdsvis statlige aktører som oftest har langsiktige mål og kriminelle med mål om økonomisk fortjeneste. Statsaktørers langsiktige mål kan være å kartlegge infrastruktur for å kunne bruke det ved et senere angrep eller hente ut annen informasjon de mener er viktig.
Statlige aktører
Nettverksoperasjoner fra statlige aktører har gjerne lang varighet. Angriperne har som mål å operere i det skjulte over lengre tid for enten å kunne innhente informasjon eller for å kartlegge strukturer for senere benyttelse. Disse operasjonene etablerer tilgang via nøye planlagte metoder. Gjennom langsiktig og varsom kartlegging og bevegelse i nettverket henter man ut informasjon. Det brukes mye kryptering og det er ofte godt skjult i mange ledd hvem som styrer støtteinfrastrukturen på utsiden som brukes til inntrengning og eksport av data. Det finnes nylige eksempler på mer aggressiv tilnærming, men den langsiktige metoden er den mest utbredte. En annen tilnærming brukt av statsaktører kan være leveransekjedeangrep (se lenger ned). Stor sett vil synlige operasjoner som drives av statlige aktører kunne være av mer umiddelbar karakter, som for eksempel DDoS-angrep. Her vil formålet kunne være å uttrykke misnøye. Slike DDoS-angrep av politisk karakter er det ofte ikke statlige, men statsstøttede trusselaktører som står bak. Dette for å gjøre det vanskeligere å avdekke direkte bånd til opphavsstaten.
Samtidig med Russlands invasjon av Ukraina i slutten av februar 2022, gjennomførte russiske hemmelige tjenester en serie digitale angrep mot Ukrainsk IT-infrastruktur. Mange av disse angrepene var relativt godt synlige og hadde åpenbart til hensikt å ødelegge IT-infrastruktur med eksempelvis wiper-skadevare. Det ble også forsøkt angrep med spesialisert skadevare mot OT-systemer (les mer om dette lenger ned). Skulle staten Norge komme i en eskalert konflikt med Russland vil det være sannsynlig at slike virkemidler kan brukes mot både Telenor og kunder av oss.
Statlige, så vel som kriminelle aktører, må uansett gå via It- og telekomleverandørers infrastruktur dersom de ønsker å ramme It/teleleverandører, kunder, eller andre deler av samfunnet. I noen tilfeller vil et cyberangrep utilsiktet kunne ramme It/tele- leverandører dersom det egentlige målet er en av våre kunder. Etterretningstjenesten har grunn til å tro at Russland vil intensivere bruken av nettverksoperasjoner i det digitale rom. Russiske aktører forsøker ofte å angripe og å få tilgang til målet via internetteksponerte nettverksenheter- og tjenester Særlig gjelder dette enheter og tjenester som støtter tilkobling til virtuelle private nettverk (VPN). Slike angrepsforsøk kan i høy grad skjules, samtidig som det kan gi omfattende tilgang dersom det lykkes. En betydelig del av slik aktivitet har vært rettet mot gamle sårbarheter og de er dermed avhengig av manglende pathching/herding for å lykkes. De siste årene har de i økende grad spesialisert seg på å gjøre tilsvarende i Office 365 skyløsninger.
Logisk infrastruktur kan angripes for å sette tjenester ut av spill, og for å ramme sårbare regioner hvor Telenor drifter infrastruktur. Kommunikasjon er nødvendig for å kunne drive krisehåndtering og vil ved en sikkerhetspolitisk krise være svært kritisk å opprettholde.
Kinesiske etterretnings- og sikkerhetstjenester og andre grupperinger med støtte fra kinesiske myndigheter er svært aktive i det digitale rom, hvor aktørene disponerer avanserte verktøy og metoder. De gjennomfører i utstrakt grad nettverksoperasjoner for etterretningsformål, og har sannsynligvis også kapabilitet til å gjennomføre operasjoner for sabotasje og avskrekking. Større kunder av Telenor som forvalter kritisk infrastruktur eller driver grunnleggende nasjonale funksjoner (GNF) kan på tilsvarende måte bli gjenstand for angrep via sine leverandørkjeder. Vi i Telenor Norge erkjenner at vi spiller en viktig rolle i en lang rekke virksomheters leveransekjeder.
Distributed Denial of Service (DDoS)
er en type angrep hvor et høyt antall PC-er, servere eller IoT-enheter styres til å foreta spørringer mot en web-server, som regel en server som driver nettsider. I slike angrep brukes som regel et nettverk av maskiner/enheter som er hacket og organisert i et skjult såkalt botnet. DDoS-angrep er egnet for hacktivist-grupper fordi det normalt ikke krever høy spesialisert kompetanse og effekten kan økes ved at flere deltar. Hacktivister kan også kjøpe seg effekt ved å leie seg inn på botnet styrt av kriminelle, noe som er relativt lett tilgjengelig og billig. DDoS-angrep brukes også av kriminelle grupper som blant annet verktøy for utpressing og for å dekke over enkelte typer inntrenging.
Kriminalitet
Ransomware, initial access brokers og annen utpressing
Siden 2018 har vi sett en sterk fremvekst av ransomware-angrep, hvor angriperen lykkes med å komme inn i It-systemene med såkalt krypteringsvirus og kryptere data. Denne type IT-kriminalitet har utviklet seg til et eget lite økosystem og en industri. Kriminelle jobber i virtuelle team organisert med spesialistkompetanse med ansvarsdeling mellom personer og grupper på lik måte som mindre IT-virksomheter. Økningen i omfang og spesialiseringen har også gitt fremvekst av egne grupper som spesialiserer seg på å gjøre de første inntrengningene og etablere fotfeste hos de som angripes, såkalte Initial Access Brokers (IAB). Etter å ha etablert tilgang selger de denne over det mørke nettet til andre grupper som utløser skadevaren og gjennomfører selve utpressingen. Det er også grupper som kun utvikler skadevare for både inntrengning og kryptering som selges med brukervennlig grensesnitt og hjelpetjenester.
Ved såkalt dobbelt ransomware-angrep henter angriperne ut data før kryptering. Mange av ransomware-operatørene har egne «lekkasje-nettsteder» der de legger ut data fra sine ofre offentlig. For å øke presset trues ofrene med lekkasje av enda mer informasjon dersom de ikke betaler. Enkelte kriminelle har også gjort rene utpressinger kun basert på trussel om å offentliggjøre uthentet informasjon, uten at data har blitt forsøkt kryptert.
Vi har også observert et utpressingsfenomen som det i en del år var stille om, DDoS-angrep med utpressing. De fleste DDoS-angrepene er drevet av annen motivasjon en utpressing for penger. Det siste året har det vært virksomheter i Norge som har blitt utsatt for DDoS-angrep med krav om penger.
Det er stort overlapp i ransomware-aktørers bruk av taktikker, teknikker og prosedyrer (TTP-er). Tilgang oppnås ofte via gyldige innloggingsdetaljer til eksterne tjenester eller gjennom mail- spam-kampanjer som leverer skadelig programvare, eller ved å utnytte et begrenset spekter av sårbarheter. Aktører er fortsatt svært avhengige av offentlig tilgjengelige verktøy, som AdFind, Mimikatz og PowerSploit, og penetrasjons-testing verktøyet Cobalt Strike. Selv om det ikke regnes som en ny TTP, observerte CrowdStrike i 2022 en betydelig økning i antall ransomware-aktører som bruker legitime Remote Access Tools (RAT-er) og fjernovervåkingsprogramvare inkludert AnyDesk, Atera Remote Monitoring and Management og SplashTop. Tidlig i 2023 meldte Microsoft sammen med Forta (utvikleren av CobaltStrike), at de har iverksatt en aksjon for å stanse domener og IP-adresser koblet til såkalte «crackede» versjoner av Cobalt Strike. Sikkerhetsleverandøren BAE Systems har meldt at mottiltak mot ulovlig bruk av Cobalt Strike har ført til gradvis nedgang. Til tross for tiltakene er Cobalt Strike fremdeles det mest brukte C2 (kommando og kontroll) verktøyet både blant statlige og kriminelle aktører.
I senere tid nevnes ofte LockBit 3.0, ALPHV (Blackcat), Play, Clop og Black Basta som de mest aktive ransomware-aktørene.
I andre kvartal 2023 ble LockBit og ALPVH ansett for å holde høyest tempo. Begge aktørene opererer etter «Ransomware as a service» modellen, der de tar en prosentvis andel av utbyttet dersom målet for angrepet betaler løsepenger.
Samtidig dukker det stadig opp nye ransomware-aktører. Dette skjer både gjennom at nye kriminelle aktører entrer markedet, og medlemmer bytter grupper. I januar 2023 ble aktøren Hive satt ut av spill som følge av en koordinert internasjonal aksjon. De kriminelle som tilhører denne gruppen er fremdeles på frifot og det antas at de vil søke mot andre grupper, eller gjenoppstå med et nytt navn.
De mest avanserte ransomware og IAB–gruppene har tilhold i en del forskjellige land. Eksempelvis ble en gruppe som sto bak angrepet mot Norsk Hydro i 2019 i fjor arrestert i Ukraina. Flertallet av disse gruppene antas imidlertid å ha tilhold i Russland. Det er usikkert om aktørene i Russland vil bruke sin kompetanse til angrep på vegne av statlige aktører. Motivasjonen til å utføre slike angrep kan også skyldes patriotisk overbevisning, eller de kan være motytelse for ikke å bli arrestert, eller rett og slett betalte oppdrag. Ransomware-angrep ventes å fortsette på det høye nivået som er etablert eller å øke. Fremveksten av IAB, salg av lett tilgjengelig skadevare og et konglomerat av ransomware-grupper gjør det vanskelig å slå fast med sikkerhet hvem eller hvilken gruppe som står bak hvert utpressingsforsøk.
Kritisk infrastruktur regnes som særlig viktig i en konflikt. Man må regne med at infrastrukturen er nøye kartlagt i forkant.
Vinningskriminalitet utover ransomware-aktører
Blant ikke-statlige trusselaktører finner vi hovedsakelig vinningskriminelle som benytter alt fra de enkleste til de mest avanserte metoder. Denne gruppen kriminelle fokuserer primært på å svindle personer og virksomheter, og utgjør en betydelig trussel mot Telenor Norges virksomhet og våre kunder. Rapporter fra finansnæringen og Politiet viser en kraftig økning i antall digitale svindelforsøk. Dette sammenfaller med Telenors erfaringer. Direkte kontakt er fortsatt en viktig del av svindlernes metoder og telefonen er fortsatt et viktig virkemiddel. Vi ser også en økning i bruk av meldingstjenester over sosiale medier. Det benyttes et titalls forskjellige svindelformer. Flere av disse kan brukes mot virksomheter. Det er spesielt to former som utmerker seg:
Fakturasvindel – Å sende falske fakturaer er en gammel og velkjent svindelmetode, som fortsatt er aktuell. Fakturasvindel utføres ved at de kriminelle sender falske fakturaer eller endrer utbetalingsdetaljer på ellers legitime fakturaer.
Direktørsvindel (BEC) er et nyere fenomen, som forutsetter at svindleren har skaffet seg adgang til virksomhetens e-post-system. De som utfører svindelen, har enten fått tilgang på brukernavn og passord eller har på annen måte lykkes med å trenge inn i virksomhetens IT-system. Svindlerne utgir seg deretter for å være for eksempel en daglig leder i en bedrift, for så å lure en ansatt (gjerne med økonomiansvar) til å gjennom- føre en transaksjon som ofte «haster». Ved å automatisere de første stegene av svindelen kan de kriminelle lykkes i å øke antall svindelforsøk betraktelig. Automatisering muliggjør for eksempel masseutsendelse av meldinger og e-post. På den måten er det mulig å gjennomføre langt flere svindelforsøk.
Utvikling av AI har mange positive sider, men teknologien kan også utnyttes til kriminelle formål. AI-manipulert stemme over telefon ble første gang benyttet i svindel-sammenheng 2019. Tilsvarende ble det første svindelforsøket med AI-manipulering av videobilde og lyd utført i 2021. Vi har kun sett starten på bruk av denne teknologien i svindelsammenheng. Dette forventes å øke de neste årene.
Det finnes ytterligere utdyping om svindeltrender i Kapittel 5, Slik angriper de.
De som utfører «Direktørsvindelen», har enten fått tilgang på brukernavn og passord eller har på annen måte lykkes med å trenge inn i virksomhetens IT-system.
Trusselaktørers økte tempo i utnyttelse av sårbarheter
Softwareselskaper har et system hvor de gir belønning til hackere som tester softwaren deres og finner sårbarheter, såkalte Bug Bounty programmer. Avhengig av hva de finner varsler selskapene sine kunder og tilbyr samtidig som regel en «patch» for å rette opp svakheten. (En patch er en korreksjon til programvare som retter en feil; i denne sammenheng en sårbarhet.) Deretter begynner et kappløp mellom trusselaktører og virksomheter som er nødt til å oppdatere systemene sine og patche eller endre prosesser. Sikkerhetsselskaper har lenge overvåket hvor lang tid det tar fra en ny sårbarhet blir gjort kjent til den blir utnyttet i et angrep. Denne tiden minsker stadig. I fjor offentliggjorde sikkerhetsselskapet Rapid7 en undersøkelse som viste at gjennomsnittlig tid fra sårbarheten ble offentliggjort til slike angrep kunne observeres, hadde blitt redusert til 12 dager mot tidligere 42 dager. Rapid7 rapporterte gjennomsnittstid, noen sårbarheter ble utnyttet langt raskere. Selv om antallet identifiserte sårbarheter som ble utnyttet i 2022 sank noe, så gikk også tiden mellom offentliggjøring og utnyttelse ytterligere ned. Mer enn halvparten av sårbarhetene ble utnyttet av trusselaktører i løpet av en uke.
Trusselaktører, ikke bare statlige, men kanskje spesielt Initial Access Brokers/ransomwareaktører, vil bli dyktigere. I tiden fremover må vi forvente at tiden fra sårbarheter blir offentlig kjent til de blir utnyttet vil fortsette å synke.
Utnyttelse av 0-dags sårbarheter
I løpet av 2022 identifiserte sikkerhetsselskapet Mandiant (en del av Google-gruppen) 55 nye ikke-identifiserte sårbarheter, såkalte 0-dags sårbarheter. Utnyttelse av 0-dags sårbarheter forutsetter enten ny og tidligere ikke kjent skadevare eller utnyttelse av en ny angrepsvektor. Selv om tallet gikk noe ned sammenlignet med rekordantallet (81) i 2021, er likevel nivået av ny skadevare/nye angrepsvektorer om lag tre ganger mer enn det var for fem-seks år siden. Mandiant har identifisert hva slags type aktør som står bak i et mindretall av de nye TTP-ene. Om lag tre fjerdedeler er utviklet av statsaktører, mens om lag en fjerdedel er utviklet av ransomware-aktører. Merk at dette er nyutviklet skadevare og/ eller angrepsvektorer som krever høy spesialisert kompetanse å utvikle. Den langt vanligste angrepsformen, med stor margin, er bruk av allerede kjent skadevare og angrepsvektor mot IT-system som ikke er patchet.
Living off the land-attacks
I de fleste angrep mot IT-systemer brukes det fortsatt skadevare og den vanligste måten er fortsatt ulike former for phishing. Til tross for at IT-systemene generelt blir sikrere, ser vi likevel en økende tendens til at trusselaktører angriper uten å plassere skadevare. Eller at de etter først å ha brutt seg inn i systemet, lar være å installere ytterligere skadevare. Trusselaktørene arbeider deretter på forskjellige måter for å få tak i lovlige tilganger i systemet. Når angriperen har skaffet seg nødvendige tilganger, arbeider man så videre ved å misbruke forskjellige verktøy som allerede er lovlig installert i systemet. Dette er som regel forskjellige verktøy for systemadministrasjon. Det kan også være annen software. Muligheten for at tradisjonell sikkerhetsovervåkning oppdager angrepet reduseres ved at angriperen utnytter verktøy som er lovlig installert i systemet. Denne typen angrep kalles «living off the land-attacks». Slike angrep må ventes å fortsette og muligens øke i tiden fremover.
Trussel mot leverandørkjeder
Leverandørkjeder fortsetter å være et område som krever ekstra fokus. Enkelte globale forhold som økonomiske uroligheter, politisk ustabilitet og konflikt kan øke risikoen for at deler av leverandørkjeder går konkurs eller ikke lenger kan levere tjenester og produkter som avtalt. Dette kan skape uforutsette utfordringer i leverandørkjeder, og føre til behov for hurtig bytte av leverandører og underleverandører. Ved raske endringer i en lang leverandørkjede, øker også sannsynligheten for at uønskede leverandører kan få innpass.
Leverandørkjedene kan ha sårbarheter hos mennesker, i teknologi og prosesser. Avanserte trusselaktører ser etter svakheter i leverandørkjeder som de kan utnytte. IKT-systemer knyttet sammen gjennom forskjellige selskaper i mange land medfører en økt risiko. Dette gjelder særlig når selskaper med generelt lavere sikkerhetsnivå enn det vi har i Norge kobles sammen med norske systemer.
Både økonomisk motiverte aktører og statlige eller statstilknyttede aktører benytter ulike former for angrep gjennom leveransekjeder. Man har flere eksempler der ondsinnet kode finner veien til et stort antall virksomheter, gjennom et angrep mot morselskapet. Den ondsinnede koden blir kun utnyttet til aktive angrep mot noen få av de mange virksomhetene den er spredt til. Software-leveranser og tilgangsrettigheter gitt til tredjeparter er dominerende angrepsvektorer.
På grunn av Telenor Norges rolle i samfunnet og som leverandør til kunder med betydelig samfunnsansvar vil både Telenor Norge og våre leverandører fortsette å være mål for trusselaktører som ønsker å gjennomføre leveransekjedeoperasjoner. Avanserte trusselaktører ønsker å ta og beholde kontroll over utstyr, nett og infrastruktur for å kunne utnytte dette til å oppnå egne mål. For våre kunder, spesielt de med særlig store verdier og samfunnskritisk infrastruktur eller oppgaver, eksisterer det en viss fare for å bli utsatt for skadevare distribuert i leveransekjeden.
Leverandørkjedene kan ha sårbarheter hos mennesker, i teknologi og prosesser. Avanserte trusselaktører ser etter slike svakheter.
Mobiltelefoner: misbruk av svakheter i SS7
Nylig avslørte journalister fra Haaretz, Lighthouse Reports, SPIEGEL, Tages-Anzeiger og Mediapart at en sveitsisk teleoperatør, Fink Telecom Services, tilbyr tjenester som muliggjør sporing av andres mobiltelefoner. De gir også tilgang til SMS- meldinger, avlytting av telefonsamtaler og lignende aktiviteter. Fink er ikke den eneste aktøren som tilbyr slike tjenester. Israelske NSO Group, selskapet som står bak blant annet spionprogramvaren Pegasus, har lenge vært kjent for å drive med lignende virksomhet.
Disse aktørene utnytter seg av svakheter i SS7 (Signalling System 7), en gruppe protokoller som brukes internasjonalt i telefoni-nettet for å håndtere telefonsamtaler, sende og motta SMS- meldinger og andre tjenester.
Disse sikkerhetshullene er svakheter som blant annet gjør det mulig å unngå å betale for telekomtjenester. Man kan også fange opp SMS-meldinger som sendes, og dermed få tilgang til for eksempel engangskoder dersom SMS brukes for tofaktor-autentisering. Det er også mulig å avlytte andres telefonsamtaler og man kan lokalisere mobiltelefoner til et begrenset geografisk område.
Salg av denne typen ulovlige overvåkningstjenester er sannsynligvis noe som ikke kommer til å avta med det første.
Fink har også rekruttert eller forsøkt å rekruttere folk som jobber med SS7-nett for å få tilgang til nettene. Denne tilgangen kan brukes til å tilegne seg informasjon uten at det er synlig at det er Fink som står bak. Det vil se ut som det er leverandøren der den rekrutterte personen jobber som har hentet ut informasjon.
Media har flere ganger skrevet om hvordan svakheter i SS7 kan misbrukes av for eksempel kriminelle eller statlige aktører. I enkelte tilfeller spekuleres det i at informasjon innhentet på denne måten har blitt brukt for å spore opp personer som senere har blitt drept. For eksempel kan dette ha skjedd i forbindelse med drapene på de meksikanske journalistene Cecilio Pineda Birto og Fredid Román.
De siste årene har Telenor observert aktivitet fra den sveitsiske aktøren rettet mot vårt nett. Selv om disse forsøkene har blitt stoppet, er det er sannsynlig at Telenor vil se mer aktivitet som forsøker å utnytte svakhetene i SS7 i tiden som kommer.
Erfaring fra de nordiske land i de senere år tilsier at personer på innsiden av offentlig forvaltning og private foretak har blitt rekruttert og medvirket i kriminelle handlinger til skade for virksomheten.
Innsidetrussel
Innsidetrussel, det vil si rekruttering av ansatte eller personer som er gitt tilgang til informasjon, anlegg eller systemer, representerer en betydelig trussel. Erfaring fra de nordiske land i de senere år tilsier at personer på innsiden av offentlig forvaltning og private foretak har blitt rekruttert og medvirket i kriminelle handlinger til skade for virksomheten. Vanligvis handler det om å frigi sensitiv informasjon, som kan brukes i svindelforsøk mot virksomheten. Det kan også være snakk om inngripen eller støtte til forretningsprosesser ved anbud eller oppkjøp.
Både statlige aktører og vinningskriminelle har stått bak slike handlinger. Motivasjonen er ofte økonomisk, men ansatte har også blitt manipulert til å bli innsidere av andre årsaker. Politi og sikkerhetsmyndigheter i de nordiske landene advarer unisont mot innsidetrussel. De nevner også flyktningspionasje og deltakelse i større kriminelle nettverk som viktige faktorer.
En person som PST anser for å være en plantet illegalist, har nylig blitt siktet i Norge. Denne personen har infiltrert utenlandsk etterretning i lang tid gjennom bosetting i flere land.
Telenor har også tidligere erfaring med at kriminelle forsøker å rekruttere ansatte (se Digital Sikkerhet 2022). Vi har videre observert at ansatte innen bank og finans sammen har utført svindelforsøk mot egen virksomhet. Vi legger til grunn at ganske mye av kriminell innsideaktivitet ikke blir rapportert, og at det derfor eksisterer betydelige mørketall.
Verving kan foregå over tid. Trusselaktører kan tilby ansatte fordeler i gråsonen mellom det som er lovlig kundepleie og korrupsjon. Gaver og andre materielle gjenstander, eller ikke-økonomiske fordeler tilbys ansatte. Hensikten er ofte å kunne be om en senere gjenytelse, uten at dette nevnes i tilnærmingsfasen. Ansatte, innleide eller leverandørers handlinger som utføres på vegne av en trusselaktør kan i verste fall medføre at konfidensiell informasjon blir kompromittert eller at en trusselaktør får tilgang til viktige systemer, anlegg eller verdier virksomheten har. Dette kan føre til betydelig skade for virksomheten og i ytterste konsekvens true rikets sikkerhet.
Mange kriminelle nettverk har forgreninger internasjonalt. Regimer i andre ikke-demokratiske land har også et annet syn når det gjelder å utnytte eller presse personer til å utføre oppgaver. Bakgrunnskunnskap, åpenhet og kjennskap til personer bidrar til å beskytte. Samarbeid mellom sikkerhets- og politietater på tvers av landegrenser vil redusere muligheten for verving eller plassering av innsidere i viktige virksomheter. Mennesker med sterk tilknytning til land Norge ikke har et sikkerhetssamarbeid med har større sjanse for å bli satt under press. Det er også vanskelig å få gjennomført god bakgrunnskontroll når man ansetter personell fra slike land.
Høyere usikkerhet og en forverret sikkerhetssituasjon gir større behov for innsamling av etterretning fra blant annet Russlan og Kina. Rekruttering av nøkkelpersonell er mest sannsynlig fortsatt et mål for russiske og kinesiske etterretningstjenester. På grunn av dagens sikkerhetspolitiske situasjon må Telenor Norge ta høyde for at dette også vil gjelde andre land som inngår i en militærallianse eller som har annet tett samarbeid med Russland eller Kina.
Verving av innsidere utført av kriminelle nettverk må også forventes å fortsette. Telenor støtter seg her også på nordiske politimyndigheter som advarer mot kriminelle gruppers innpass i offentlige og private virksomheter.
Regimer i ikke-demokratiske land har et annet syn når det gjelder å utnytte eller presse personer til å utføre oppgaver.
Trusselen mot Operasjonell Teknologi (OT)
Når man snakker om OT-teknologi så handler det om systemer som brukes til å styre fysiske prosesser og funksjoner. Dette kan være innenfor en rekke områder som produksjonsmaskineri, maskineri for kjemisk prosessering, elkraft, overføring av gass og vesker, styring av bygninger med mer.
OT-nettverk har lenge vært sett på som atskilt fra IT-nettverk og teknologi. Systemene integreres ofte ved bruk av IT-nettverk for overføring av data, programvareoppdateringer og for å gi brukergrensesnitt over nettverk enklere styring og bedre tilgang. Sammenkobling mot internett kan fort gjøre nettverket sårbart for angrepsmetoder mot konvensjonelle IT-nettverk. I denne delen av trusselvurderingen skal vi likevel holde et spesielt fokus på angrep mot industrielle kontrollsystemer (på engelsk forkortet til: ICS eller SCADA). Sentralt for disse systemene er programmer- bare logiske styringer (PLS-er) som brukes til å styre aktuatorer, ventiler, rotasjonshastigheter og mye mer. PLS-er finnes normalt ikke i tradisjonelle IT-nettverk.
Første offentlige kjente angrep mot OT-teknologi med PLS-er var Stuxnet-angrepet i 2010, et svært spesialisert angrep mot klynger av sentrifuge for anrikning av uran i Irans kjernefysiske program. Angrepet var mot et i utgangspunktet lukket anlegg. Skadevaren skal angivelig ha blitt fysisk installert av en rekruttert person ved anlegget. En eller to ressurssterke etterretningsorganisasjoner står trolig bak.
I desember 2015 gjennomførte, det som høyst sannsynlig er en underavdeling av den russiske militære etterretningstjenesten, GRU et angrep mot distribusjonsnettverket i to ukrainske kraftregioner. Dette angrepet rettet seg ikke mot PLS-er eller OT-funksjoner, men IT-nettverket og brukergrensesnittet som ble brukt til å styre. Angrepet ble gjennomført med overtakelse av kontroll, feilstilling av parameter og sletting med wiper-skadevare. Wipere er en velkjent metode for å angripe IT-nettverk.
I et nytt angrep i desember 2016 var målet en transformator som koblet sentral til regional kraftforsyning i Kyiv, Ukraina. I dette angrepet ble PLS fra Siemens manipulert med en spesielt utviklet skadevare kalt Industroyer 1. Angrepet er verdens første kjente angrep mot PLS innen elkraft. Resultatet av angrepet var at strømleveransen ble koblet ut i omtrent en time. I likhet med angrepet i 2015 var angrepsvektoren i dette tilfellet at de kom inn via virksomhetens IT-nettverk. Et spesielt trekk ved skadevaren som ble brukt mot selve kontrollsystemet er at den er modulær og protokoller som virker mot PLSer fra Siemens kan erstattes med protokoller som virker mot andre produsenters styrings- enheter. Også her mistenker man at det er en underenhet i den russiske etterretningstjenesten GRU som står bak.
I april 2023 advarte USAs president Joe Biden om at FBI og sikkerhetsselskaper hadde identifisert aktivitet som truet USAs energiinfrastruktur.
Industroyer 1 og Industroyer 2
Sikkerhetsselskapet ESET har gitt skadevaren navnene Industroyer 1 og Industroyer 2. Andre sikkerhetsselskaper bruker navnet CrashOverride om Industroyer 1.
Mange sikkerhetsselskaper bruker kodenavnet Sand- worm om enheten/gruppen som står bak Industroyer 1 og 2 angrepene. Enkelte sikkerhetskilder navngir enhet 74455 i den russiske etterretningstjenesten GRU.
Kodenavnet Pipedream på skadevaren er gitt av Dragos. Sikkerhetsselskapet Mandiant kaller den Incontroller.
I 2017 ble et ikke-identifisert raffineringsanlegg i Saudi-Arabia gjenstand for et cyberangrep. Her benyttet man en spesifikk skadevare kalt Triton (noen steder: Trisis) med kapasitet til å virke mot Schneider-styringer. Iranske aktører er mistenkt for å ha stått bak dette angrepet.
I februar 2022 ble en skadevare kalt Industroyer 2 forsøkt brukt mot en elkraftenhet i Ukraina. Angrepet, som anses å ha feilet, kom som en del av Russlands invasjon av Ukraina. Det er derfor nærliggende å anta at det var russisk etterretning som stod bak.
I april 2023 advarte USAs president Joe Biden om at FBI og sikkerhetsselskaper hadde identifisert aktivitet som truet USAs energiinfrastruktur. I oktober 2022 advarte sikkerhetsselskapet Dragos om en hackergruppe som arbeidet for en underenhet av den russiske etterretningstjenesten GRU. Siden 2017 hadde denne gruppen lykkes med å etablere fotfeste i OT-nettverk for strømstyring hos flere elkraft-leverandører og distribuører sine kraftnett i USA. Angrepet er todelt, og består av en gruppe som etablerer tilgang og en annen som står for videre manipulering inne i nettverket. Angrepet gjøres ved bruk av spearphishing, inntrenging i VPN-tjeneste og bruteforce-angrep mot blant annet skytjenester for å skaffe brukeridentiteter. Når tilgang er etablert bruker den andre enheten en avansert modulær skadevare tilpasset OT-protokoller og systemer kalt Pipedream.
Dragos beskriver at samme angriper i 2017-2018 lyktes med å trenge inn i tilsvarende OT- infrastruktur i Tyskland og i minst to andre vest-europeiske land. Dette har ikke vært offentlig kjent tidligere. Sikkerhetsselskapet identifiserte ytterligere to grupper med kapabilitet til å angripe OT-systemer, hvorav en var en kinesisk statlig aktør.
Samlet sett kan skadevarene Industroyer 1 og 2, samt Pipedream nå virke mot flere PLS-er fra Siemens, Schneider, Omron og serversystemer fra OPC-UA, samt Windows-baserte styrings- systemer av OT. Skadevarene er modulære og det er grunn til å tro at de vil bli videreutviklet til å virke mot andre firmaers OT-teknologi. Angrep kan støttes av en egen gruppe som behersker flere avanserte inntrengningsmetoder.
Trusselaktører med kapabilitet til å angripe OT-systemer er så langt identifisert primært som statlige. Erfaring fra andre områder indikerer imidlertid at kriminelle i løpet av noen år vil tilegne seg samme kompetanse som statlige aktører har. Man må også forvente at antall aktører som er kapable til å bryte seg inn og manipulere OT-systemer vil øke de neste årene.
Spesielt om trusselen mot noen av våre kundegrupper
I dette avsnittet forsøker vi å trekke frem trusler som er mer spesifikke for enkelte av Telenor Norges kundegrupper. Vi har brukt begrepet «viktige kundegrupper» fordi disse kundegruppene spiller særskilt viktige roller i samfunnet. Flere av de største virksomhetene i disse gruppene utarbeider egne trusselvurderinger. Derfor ønsker vi her spesielt å støtte mindre kunder som ikke har ressurser til å utarbeide slike. Det understrekes at dette er trusler som kommer i tillegg til det samlede trusselbildet som er beskrevet over.
Olje- og gassindustri, elkraft og produksjonsindustri
Trussel mot OT-systemer
Den avansert skadevaren Pipedream (se avsnittet om OT-sikkerhet) var rettet mot elkraftsystemer. En enhet, høyst sannsynlig tilknyttet Russlands hemmelige etterretningstjeneste GRU, har også i 2015, 2016 og i 2022 angrepet Ukrainsk kraftforsyning. De to siste angrepene var rettet mot OT-systemer. Vi ser at metodene russiske statsaktører benytter til å nå inn i OT-systemer blir mer og mer avanserte over tid. Basert på åpen tilgjengelig informasjon har aktører som jobber for statene Iran og Kina også brutt seg inn og gjort skade mot OT-infrastruktur. Disse aktørene ligger imidlertid etter Russland i utvikling av verktøy og TTP-er.
Kriminelle aktører har så langt ikke gjennomført angrep rettet mot selve OT-teknologien. Erfaringsmessig tilegner kriminelle seg tilsvarende avanserte metoder som statsaktører benytter seg av, men de ligger noen år bak.
Flertallet av angrepene mot OT-systemer har vært rettet mot elkraft. Vi har også sett angrep rettet mot raffineri.
Satellittkommunikasjon
Geografisk distribuerte produksjonsenheter kan være avhengige av sårbar satellittkommunikasjon. Samtidig med invasjonen av Ukraina 24. februar 2022, tok det som man antar å være russiske hemmelige tjenester ned KA-SAT. Dette er et system for satellitt-kommunikasjon over en geostasjonær satellitt. Angrepet ble gjennomført med skadevare som ødela funksjonen til bruker-terminalene. En konsekvens av dette var at et stort antall vindmøller langt utenfor Ukraina mistet kommunikasjonen. Slik tap av kommunikasjon kan medføre tap av styring over OT-system.
FOTO: GETTY IMAGES
Bank og finans
Utpressing, svindel og tyverier av digitaliserte penger
Bank- og finanssektoren er utsatt for mange av de samme truslene som andre virksomheter. Mye informasjon kan ha stor verdi, men verdien av informasjonen som forvaltes i bank og finansforetak har mer direkte verdi, idet den omfatter digitalisert representasjon av penger. I tillegg til å forårsake skade for bank og finansvirksomheten vil konsekvensene for annen kommersiell virksomhet være stor hvis det oppstår driftsavbrudd. En ransomware-aktør med ønske om å presse målet for penger vil ha en gunstig posisjon dersom de skulle lykkes i å nå inn i sentrale deler av bank og finansforetaks systemer.
Digital svindel har hatt en eksplosiv vekst i senere år og bank og finans vil også være truet av enkelte typer avansert svindel. Det er særlig farlig med svindel der ansatte blir manipulert, imitasjon av kunder som vil ha gjennomført utbetalinger eller IT-angrep med påfølgende manipulasjon av ansatte som har betalingsfullmakt. Det første tilfellet av svindel med AI-generert imitasjon av stemme over telefon ble gjennomført i 2019. Bank og finans-institusjoner har blant annet begynt å bruke systemer for stemmegjenkjenning for å hindre manipulasjon. En svakhet er imidlertid at slike systemer kan manipuleres ved hjelp av AI-generert stemmesimulering. Det første svindelforsøket med AI-generert videokonferanse ble gjennomført i 2021. På noe sikt kan angrep med AI-generert telefonoppringning eller falsk video kunne ramme personer i norsk eller nordisk finansnæring.
Fram til om lag 2018 ble det gjennomført en rekke digitale banktyverier av til dels av store beløp. Angrep av denne typen gikk mot kontrollsystemet til minibanker. Dette gjorde det mulig for de kriminelle å foreta uautoriserte utbetalinger. Angrepene var også rettet mot systemene som bankene har koblet opp mot det internasjonale transaksjonssystemet, SWIFT. Bankenes systemer ble manipulert til å foreta uhjemlede overføringer over SWIFT.
De mest avanserte trusselaktørene er spesialiserte kriminelle grupper med tilhold øst i Europa, samt den såkalte Lazarus gruppen fra Nordkoreansk etterretning som stjeler penger for regimet. Lazarus-gruppen har de siste årene hentet inn penger ved å angripe kryptobørser og forvaltere av kryptovaluta. De spesialiserte kriminelle gruppene i Øst-Europa er antatt å ha skiftet til ransomware-angrep og svindel, ettersom dette er enklere å utføre og har gitt bedre avkastning. Det er en mulighet for at kriminelle som tidligere har sittet på spesialkunnskap om banksystemer kan gjøre nye forsøk. Sannsynligheten for at dette vil ramme norsk finansnæring er imidlertid svært lav.
Mye informasjon kan ha stor verdi, men verdien av informasjonen som forvaltes i bank og finansforetak har mer direkte verdi, idet den omfatter digitalisert representasjon av penger.
Helsesektoren
Operasjonell kontinuitet og personsensitive data
Helsesektoren forvalter personsensitive data om pasienter, samt sine mange ansatte. IT-systemene brukes også på daglig basis
til å styre en strøm av pasienter til behandling og overføring til andre enheter. Helseforetak er derfor avhengige av å opprettholde operasjonell drift. Avbrudd i behandlingsstrømmen vil umiddelbart kunne sette pasientenes liv og helse i fare. Forskjellige enheter i helsesektoren vil derfor være svært egnede mål for initial access brokers/ransomware-grupper. Erfaring fra andre land, hvor det riktignok er flere kommersielle helseforetak, tilsier at virksomheter innenfor helsesektoren kan bli mål for utpressingsangrep.
I likhet med krypterings- og utpressingsangrepene vi har sett i senere år, har vi også i utlandet observert såkalt dobbel utpressing. Dette er ransomware-angrep, hvor angriperne henter ut sensitiv informasjon før krypteringvirus utløses i IT-systemet. Angriperne truer med å offentliggjøre denne informasjonen, og kommer i tillegg med pengekrav for å åpne krypterte data. I noen angrep henter de kriminelle ut kun informasjon og bruker trussel om offentliggjøring alene som utpressingsmiddel. Med en helseinstitusjons personsensitive data, vil en trusselaktør stå relativt sterkt i en utpressingssituasjon.
Trippel utpressing har heldigvis ikke forekommet ofte. Det første kjente tilfellet fant sted i Finland (1) i 2020, og var rettet mot en landsdekkende kjede av psykoteriapiklinikker. I tillegg til å presse foretaket, presset angriperen også pasienter direkte ved å true med å offentliggjøre informasjon de hadde hentet ut. Saken fikk bred medieomtale etter at utpresseren kontaktet selskapet og pasienter i 2020 (2). Den mistenkte utpresseren ble pågrepet i Frankrike og utlevert til Finland i februar 2023, der han avventer rettsak. Tidligere administrerende direktør i selskapet er imidler- tid allerede idømt betinget fengsel for straffbart brudd på GDPR.
Dobbel utpressing eller utpressing med store mengder personsensitive data vil sette både virksomheter og pasienter under press og skape høy grad av usikkerhet. Erfaring fra utlandet er at helseforetak har blitt gjenstand for ransomware-angrep. Fra angripers ståsted er helsesektoren et særlig egnet angrepsmål. De forvalter store mengder sensitive data og er avhengige av denne i sin daglige drift.
