Slik utvikler vi kompetanse og evne til beskyttelse

Illustrasjonsbilde som viser koder.

Vi håndterer sikkerhetshendelser daglig, og mange av dem kan få store samfunnsmessige konsekvenser hvis de ikke blir oppdaget og stanset.

Telenor Norge er en beredskapsorganisasjon hvor driftssikkerhet, informasjonssikkerhet og risikostyring har svært høy prioritet. Dette gjennomsyrer hvordan vi drifter selskapet døgnet rundt – hver dag.

Å håndtere driftshendelser har alltid vært en del av normalsituasjonen for alle som drifter IKT-systemer. For å håndtere ondsinnede aktører må virksomheter, offentlige så vel som private, forstå trusselbildet, og kontinuerlig håndtere, normalisere og lære av sikkerhetshendelser.

Å forstå hvilken kompetanse og evne virksomheten må ha, og hva man kan kjøpe støtte til fra leverandører er avgjørende i denne sammenheng. Virksomhetene må også vite hva de må ha av kompetanse for å kunne ta imot støtte fra andre.

To operative sikkerhetsmiljøer

For å beskytte oss mot ondsinnede angrep har vi operative sikkerhetsmiljøer som arbeider fulltid med å oppdage, håndtere og avverge angrep. Hvert år håndterer vårt sikkerhetssenter, Telenor security operations center (TSOC) i Arendal, over tusen alvorlige hendelser på vegne av hele Telenor og på vegne av våre kunder. Dette er hendelser som kan gjøre stor skade hvis de ikke blir oppdaget og stanset.TSOC er vårt førstelinjeforsvar som monitorerer Telenor Norges infrastruktur og leverer sikkerhetsovervåking til andre virksomheter.

Fordi Telenor Norge er et mål for trusselaktører som ønsker å påvirke, sabotere eller bedrive spionasje via våre kommunikasjonsnettverk, har vi i tillegg sett behovet for å utvikle et fagmiljø som jobber spesielt med avanserte trusselaktører.

Telenor computer emergency response team (TCERT) beskytter oss mot de mest krevende angriperne og er Telenor Norges dedikerte avdeling for bekjempelse av digital spionasje og sabotasje. TCERT jobber sammen med TSOC. Der TSOC har hovedansvaret for å følge med på sikkerhetsovervåkningen, og har kommersielle kunder i tillegg, jobber TCERT kun med å undersøke og bistå med å håndtere saker hvor det er mistanke om spionasje eller sabotasje fra avanserte trusselaktører.

Det kan være vanskelig å avgjøre hvem som er aktøren og hvilken intensjon aktørene har, i tillegg hvor villige de er til å bruke ulovlige virkemidler for å oppnå målet. Men det hersker ingen tvil om at de finnes, og når de først angriper er det kun i begrenset grad mulig å basere seg på ekstern hjelp. Derfor er det helt vesentlig for et selskap som Telenor Norge å ha god egenevne til både å oppdage og bekjempe denne typen aktører.

For Telenor Norge har dette ført til betydelige investeringer i kapasitet og kapabilitet, spesielt for å heve kompetanse- og reaksjonsevne innen sikkerhetsovervåkning og hendelseshåndtering.

Graf

Læring sammen med andre

Fordi sikkerhetshendelser ofte er sensitive, er informasjonsdeling og kollektiv læring mellom virksomheter utfordrende. Dette er en av grunnene til at vi har valgt å bruke tid og ressurser på å utvikle og gjennomføre øvelser hvor vi involverer andre virksomheter og simulerer avanserte angrep i et kontrollert miljø. Senest i mai i år øvde Telenor Norge sammen med deltakere fra ti andre norske virksomheter: Cyberforsvaret, Norges Bank, Sykehuspartner, DNB, EkomCERT, HelseCERT, Nordic Financial CERT, Forsvarets Forskningsinstitutt (FFI) og NorCERT.

Totalt sett var over nær 60 personer involvert i øvelsen. Øvingsangrepene utvikles av oss basert på erfaring fra reelle hendelser, samt undersøkelser av avanserte aktørers metoder og verktøy. De øvende fikk jobbe med deler av denne verktøyporteføljen.

«For å håndtere ondsinnede aktører må virksomheter, offentlige så vel som private, forstå trusselbildet, og kontinuerlig håndtere, normalisere og lære av sikkerhetshendelser.»

Øvelsen inneholdt både spearphishing, vannhullsangrep og direkte innbrudd i sårbar, eksponert infrastruktur, men det var det som skjedde etter at våre egne «ondsinnede aktører» hadde brutt seg inn, som viste seg å bli mest utfordrende for de øvende. Det er når en angriper har kommet på innsiden at den virkelige jobben begynner.

Et viktig læringspunkt fra årets øvelse er hvor mye mer tidkrevende det er å analysere og forstå angriperaktiviteten, enn den tiden angriperen benyttet på den offensive delen av sin operasjon. Dette visste vi på forhånd, men nå fikk vi det bekreftet under kontrollerte forhold. Måten å korte ned denne tiden på, er gjennom god verktøystøtte og høy analytisk kompetanse.

Bildet viser Telenor Security Operation Center. Tre menn som sitter forran flere store skjermer.

Vi må forstå helheten

Fra alarmer og data fra ulike typer sensorer plassert rundt om i vår infrastruktur bygges loggdata (1). Det danner grunnlaget for analysen som gjøres når vi får mistanke om innbrudd i Telenor Norges infrastruktur.

Når en alarm går (2), og våre analytikere gjennomfører sine analyser (3) for å forklare hva som har foregått, er det bare starten på en prosess. Alt av funn og hypoteser skal danne grunnlag for informasjon og presentasjon til de som skal håndtere og normalisere situasjonen.

Sikkerhetsmiljøet vårt må derfor bidra til å bygge en helhetlig konsekvens- og situasjonsforståelse til vår linjeorganisasjon.

Så beslutter tiltakene (4), dette gjelder helt opp til Telenor Norges strategiske kriseledelsen i de store hendelsene.

Gif som viser hvordan loggdata

Håndtering av kritiske hendelser

I håndtering av kritiske hendelser er det vesentlig at alle involverte jobber med å foredle data og informasjon om til kunnskap og innsikt. Data og informasjon inneholder konkrete spor av hva en angriper har gjort hvor, mens kunnskap i denne sammenhengen handler mye mer om hva angriperen har forsøkt å oppnå. Innsikt oppnås når man klarer å sette kunnskapen om hva angriperen har forsøkt å oppnå, sammen med hva dette betyr for virksomheten. Når man har etablert forståelsen må den formidles til de som skal ta gode beslutninger – utfordringen er imidlertid ofte at ting må gå raskt. Det er derfor viktig at man har en utdannet, trent og øvet krise- og beredskapsorganisasjon hvor også håndtering av sikkerhetshendelser har en tydelig rolle og funksjon inn mot de som skal ta beslutninger.

«Sikkerhetsmiljøet må bidra til å bygge en helhetlig konsekvens- og situasjonsforståelse.»

Det er viktig å ha en gjennomtenkt modell for håndtering av sikkerhetshendelser som henger sammen med virksomhetens øvrige krise- og beredskapsorganisasjon. For at ledelsen skal være best mulig skikket til å fatte gode beslutninger, er det viktig med strukturert formidling av observasjoner, samtidig som man evner å gi gode råd om hvilke tiltak vi anbefaler for håndtering av trusselaktøren.

Blant de 500 norske lederne vi har intervjuet, var den største årsaken til digitale sårbarheter i deres selskap mangel på kompetanse (40 prosent).

Pyramide som viser håndtering av kritiske hendelser. Beslutning - Formidling - Innsikt - Kunnskap - Informasjon - Data - Infrastruktur