Trusselforståelse

Illustrasjonsbilde. Bildet viser et virr varr av ledninger

Nesten daglig driver statlige aktører, kontraktører, organiserte kriminelle og politisk motiverte hackere, cyberoperasjoner mot eller i Telenor Norges infrastruktur og tjenester.

Telenor Norge anser ethvert forsøk på innbrudd i eller angrep på nett, tjenester, styringssystemer eller personell som en kriminell handling. Dette er helt uavhengig av om den som utfører handlingen er en enkeltkriminell eller en fremmed stat. Det er en etablert forståelse i vårt selskap om at selv de mest avanserte trusselaktørene nå driver cyberoperasjoner rettet mot samfunnskritisk infrastruktur.

Siden 2011 har vi arbeidet metodisk med selskapets egen trusselforståelse og eget trusselbilde. Det beskriver trusselaktørenes handlemåter, metoder og intensjoner, og benyttes som et vesentlig element i arbeidet med risikostyring.

Med utgangspunkt i de årlige trusselvurderingene fra Etterretningstjenesten (E) og Politiets Sikkerhetstjeneste (PST) bygges vårt trusselbilde. Vi må forstå hva myndighetenes vurderinger kan bety for oss, våre kunder og samfunnet.

I tillegg benyttes rapporter fra Kripos, Europol, de hemmelige tjenestene i Sverige, Danmark og Finland, og rapporter fra Nasjonal sikkerhetsmyndighet (NSM). På toppen av disse vurderingene legger vi vår kunnskap om svakheter og sårbarheter i egen infrastruktur, sammen med kunnskap om bransje, tjenester, samfunnets behov og endringer, informasjon fra åpne kilder, egne hendelser og dialog med ressurspersoner innen blant annet teknologi, geopolitikk og historie. Trusselvurderingene oppdateres minimum fire ganger årlig og produseres av et eget team i sikkerhetsavdelingen i Telenor Norge på oppdrag fra ledelsen.

Myndighetenes vurderinger

I 2017 er Etterretningstjenesten svært tydelige på at aggressiv og målrettet etterretningsvirksomhet pågår i Norge. I FOKUS 2017 står det blant annet:
«Russiske aktørar har i årevis freista trengje inn i datasystem som høyrer til norske styresmakter, og denne interessa vil halde fram. Ein annan kontinuerleg trussel mot norske verksemder er inntrenging og kompromittering for å etablere skjult infrastruktur med føremål å innhente informasjon. Også kinesiske aktørar har i 2016 gjennomført operasjonar mot norske styresmakter og teknologiselskap, og det er venta at kinesiske aktørar vil halde fram aktiviteten i 2017. Industrispionasje mot norske teknologiselskap vil framleis stå for ein betydeleg del av den forventa
aktiviteten.»

PST peker i Trusselvurdering 2017 på kritisk infrastruktur:
«Norsk kritisk infrastruktur vil fortsatt være et utsatt etterretningsmål i 2017. Formålet med slike etterretningsoperasjoner vil både være å hente ut informasjon om selve infrastrukturen samt å legge til rette for å kunne manipulere data eller forberede sabotasje, dersom det oppstår en tilspisset utenriks- eller sikkerhetspolitisk situasjon. Systemer innenfor kraftsektoren og elektroniske kommunikasjonstjenester er å anse som spesielt etterretningsutsatt kritisk infrastruktur.»

Trusselaktørene


Trusselforstaelse-trekant-600x400
Figuren beskriver hierarkiet av trusselaktører: Høyere type entitet bruker sannsynlig underliggende nivåer som «service provider» der dette finnes formålstjenlig. Advanced Persistent Threat (APT) benyttes som begrep for å beskrive aktører som evner å drive sine operasjoner skjult og over tid med en tydelig intensjon og ønsket sluttsituasjon.

Målene som trusselaktørene ønsker å oppnå kan være:
  • Hindre bruk: Gjøre tjenester utilgjengeligen
  • Forme bruk: Sørge for at tjenester bare virker når angriperen ønsker 
  • Trenge inn: Vise makt, tyveri av informasjon og/eller penger 
  • Lekke stjålet informasjon: Skade vårt eller kunders omdømme
  • Manipulere: Påvirke mennesker og systemer for egen vinning eller senere operasjoner

Advanced Persistent Threat
På toppen av pyramiden er stater og kontraktører, ofte omtalt som Advanced Persistent Threat (APT), altså aktører som har kapasiteter og evne til å drive operasjoner skjult og over lang tid (i måneder og år). Slike aktører har tydelig intensjon og en vilje til å oppnå det de vil.

Kontraktører er oppdragsstyrt
De driver operasjoner som er betalt av andre etter spesifiserte oppdrag. De blir ofte omtalt som cyberverdens leiesoldater. De gjør oppdrag for stater (spionasje og sabotasje) og næringsvirksomhet (industrispionasje).

Organisert kriminalitet
Organisert kriminalitet i cyberspace er i ytterste konsekvens involvert i svært alvorlig kriminalitet slik som hvitvasking av penger fra narkotikaomsetning, menneskehandel og terrorfinansiering. I dette segmentet har nå enkelte av aktørene tilgang til både verktøy og metoder som tidligere bare har vært forbeholdt statlige aktører og kontraktører.

Hacktivisme
Dette er cyberkriminelle med en politisk intensjon, ofte omtalt som «hacktivister», og de angriper for å nå frem med sitt politiske budskap. Aktører av denne typen leter ofte etter svakheter som kan utnyttes for å få frem budskapet deres. Eksempler på dette har vært såkalt «defacing» av websider hvor innhold på nettsider blir endret.

Enkeltkriminelle og svindlere
Dette segmentet er kriminelle med en intensjon om å tjene penger til seg selv og i noen tilfeller å vise hvor dyktige de er for å få innpass høyere opp i hierarkiet.