Slik beskytter vi oss

Illustrasjonsbilde. Bildet viser en hektisk København sommerstid.

For å være forberedt på å møte et stadig mer avansert trusselbildet investerer Telenor tungt i design, utvikling og drift av våre løsninger. I tillegg investerer vi i bedre evne til å forutse, oppdage og håndtere hendelser.

Telenor Norge er en beredskapsorganisasjon hvor driftssikkerhet og informasjonssikkerhet er en prioritet. Vi leverer tjenester i en tryggest mulig infrastruktur og bygger vår infrastruktur og tjenester slik at en eventuell hendelse skal ha begrenset skadeomfang. Vi har som mål å oppdage hendelser så tidlig som mulig og samtidig sørge for en effektiv håndtering av dem.

Risikostyring og sikkerhetsstyring er en del av våre virksomhetsprinsipper. Vi vurderer risiko i prosjekter, i prosesser og på alle ledelsesnivåer. Sikkerhetsstyring kommer i tillegg med tydelige krav og prosedyrer som organisasjonen skal forholde seg til.

En meget sentral del av vår styringsmodell er kravene til sikkerhetsarkitektur. Dette er prosedyrer som gir føringer for hvordan de forskjellige infrastrukturene for mobil, fastnett, datasenter, IT og sluttbruker, og systemene som produserer tjenester i dem, skal designes og implementeres.I all hovedsak kan føringene oppsummeres ved at alle som bygger nye eller fornyer eksisterende systemer og infrastruktur må:
  • Forstå hva som kan og skal eksponeres (informasjon, funksjoner, grensesnitt), til hvem, og hvordan
  • Etablere tilstrekkelige logiske og fysiske skiller, samt redusere avhengigheter på tvers
  • Sikre at tilstrekkelig sikkerhetsovervåkning er til stede – både som en del av infrastrukturen og i systemene som produserer og støtter tjenestene (f.eks. drift, overvåkning, tilgang).
Dette er en idealrepresentasjon av kravene, og vil ikke alltid passe med virkeligheten. Derfor har vi sikkerhetsarkitekter som bistår prosjekter, linjeorganisasjon og systemområder for å kvalitetssikre at design og implementasjon fører til så få avvik som mulig, og at eventuelle avvik håndteres i henhold til våre retningslinjer.

Vi beskytter infrastrukturen og kommunikasjonstjenestene våre, mens det en kunde har «i eget hus» utover dette må de selv beskytte. Vi leverer robust og trygg kommunikasjon, men hva slags passord som brukes, hva som kobles til nettverket og hvordan det brukes, påvirker også kundenes sikkerhet, og er den enkeltes ansvar.

Slik oppdager vi angrep

Det er umulig å være hundre prosent beskyttet mot et nettverksangrep eller innbrudd. Derfor er det viktig å være i stand til å oppdage og begrense skadene et angrep kan skape.

Hvert år håndterer vårt sikkerhetssenter (TSOC) et tusentalls alvorlige hendelser. Dette er hendelser som har potensiale til å gjøre skade. I tillegg beskytter de mot tjenestenektangrep. Vi monitorerer både egen infrastruktur og leverer sikkerhetsovervåkning som tjeneste til bedriftskunder i inn- og utland. Det skal være vanskelig for trusselaktører å trenge inn i, eller misbruke, våre tjenester og infrastruktur. Vi bygger våre kapabiliteter basert på lovkrav fra norske myndigheter, i tillegg til internasjonal god praksis og vår egen kunnskap og evne på området. Vi satser på innsamling av stordata, men ikke personopplysninger. For å kunne håndtere dette har vi blant annet en av Nordens største sentraliserte loggløsninger. Den tar imot flere terrabyte med data i døgnet, og innkomne data overvåkes kontinuerlig.

Alvorlige hendelser er hendelser hvor en enhet (klient/server/"dings") er under kontroll av en tredjepart eller kan bli det dersom tiltak ikke treffes. Antallet går i bølger, men vi ser også at en del av de hendelser vi har jobbet med i senere tid har vært av mer alvorlig art enn tidligere.
slik-beskytter-vi-oss-600x400

De vanskeligste angrepene

De mest profesjonelle trusselaktørene er krevende å håndtere. De gjør hva de kan for ikke å bli oppdaget og ønsker å drive sine operasjoner over tid. For å håndtere slike avanserte aktører må vi gjennomføre operasjonene slik at vi ikke røper kapasiteter og kapabiliteter. Dette er cyberoperasjoner som kan beskrives litt som «katt og mus». De kriminelle som står bak innbruddet må ikke få vite at de er oppdaget før de er stengt ute. Dette er komplekse operasjoner som krever spesialkompetanse og trusselforståelse i organisasjonen.

I takt med et mer utfordrende trusselbildet og sett i forhold til den ekspertkompetansen avanserte trusselaktører besitter, har vi valgt å bygge opp et eget fagmiljø med kompetanse og evne til å håndtere de vanskeligste angrepene; Telenor Norges Computer Emergency Response Team (CERT).

I tillegg til å håndtere hendelser i Norge støtter både Telenor Norges SOC og CERT Telenors operasjoner i Norden, Øst-Europa og Asia. Det betyr at vi er med på å yte støtte i beskyttelsen av over 36 000 ansatte, over 200 millioner kunder, og datasentre med titusenvis av servere og nettelementer. Med et slikt omfang er arbeid med alvorlige sikkerhetshendelser en del av hverdagen.

Angriper oss selv

Det er alltid en risiko for at det er noe vi ikke har tenkt på når vi designer våre systemer og nettverk. Derfor foretar vi sikkerhetstesting der kompetent personell gjør sitt beste for å kompromittere vår infrastruktur og tjenester. Målet er at de finner eventuelle sikkerhetshull før trusselaktører gjør det. For å få en best mulig test av egen teknologi kjøper Telenor Norge tjenesten fra eksterne leverandører som har sikkerhetstesting som sin kjernekompetanse.

Begrenser misbruk

Sikkerhetsavdelingen håndterer også misbruk av våre løsninger og tjenester, deriblant brudd på abonnementsvilkårene. Vi jobber aktivt med å avdekke sårbart utstyr i vår infrastruktur, eller kundeplassert utstyr, som blir misbrukt til ondsinnede formål. Eksempelvis å være avsender av angrepstrafikk rettet mot andre.

Telenor Norge driver ikke noen form for overvåking av enkeltindivider. Vi vurderer ikke lovligheten av innhold som formidles av andre, utover det som følger av gjeldende retts aktsomhetskrav. Vi utviser allikevel en proaktiv holdning i spesielle tilfeller overfor innhold som formidles, og spesielt ovenfor samfunnets mest sårbare – barn og unge.

For mer enn ti år siden utviklet vi i samarbeid med Kripos et eget overgrepsfilter. Formålet er å beskytte barn og unge fra overgrep. Hvis en Telenor-kunde forsøker å åpne en nettside som er registrert i forbindelse med spredning av overgrepsbilder, kommer det opp en sperreside med informasjon om filteret, samt en direktelink til Kripos sine sider. Det er Kripos som beslutter hvilke sider som har ulovlig innhold, og vår egenutviklede "Stoppside" skal hindre tilgang til ulovlig innhold og begrense lignende søk.

Overgrepsfilteret stoppet over 1 million besøk til registrerte sider fra august 2016 til og med juli 2017. Telenor hverken lagrer eller logger hvem som faktisk treffer filteret.

Beredskapsorganisasjon

Vår krise- og beredskapsorganisasjon er et ledelsesverktøy som understøtter den organisasjonen som til daglig håndterer drift og feilretting. For oss handler kriseledelse om å gi linjeorganisasjonen vår støtte, sikre rett prioritering og entydig informasjon til kunder, myndigheter og media. Arbeid med hendelseshåndtering involverer både leverandører og entreprenører; både i beredskapsplanlegging, i daglig drift og under pågående hendelser.

Telenor Norge ser på samarbeid og samhandling som avgjørende for et godt sikkerhetsarbeid. Vi er ikke bedre enn summen av den sikkerhetskompetanse som sitter i hele vår verdikjede, og hos naturlige samarbeidspartnere som nasjonale samfunnskritiske aktører, sikkerhetsleverandører, andre virksomheters sikkerhetsavdelinger nasjonalt og internasjonalt, norske sikkerhetsmyndigheter, Forsvaret og politiet.

Vi jobber derfor aktivt med å forbedre både kompetanse og grensesnitt for samhandling. Vi samarbeider med en rekke høyskoler og underviser blant annet på Politihøgskolen og vi har avtale med Forsvaret om utvikling av cyberkompetanse. Telenor Norge har avtale med NSM/ NorCERT om utvikling av en samarbeidsmodell mellom det nasjonale CERT’et og en eier av samfunnskritisk infrastruktur, intensjonen er at modellen skal kunne gjenbrukes av NSM/NorCERT overfor andre eiere av samfunnskritisk infrastruktur.

CERT står for Computer Emergency Response Team og er en koordinerende enhet for informasjonssikkerhet. Det faktum at digitale trusler har liten respekt for landegrenser betyr at gjensidig samarbeid mellom CERTer er ekstremt viktig. (Kilde: Nasjonal sikkerhetsmyndighet)