Nettets portvoktere

Døgnet rundt monitorerer Telenor Security Operations Centre nettet for å hindre at kriminelle skader norske bedrifter.
- Jeg vil at persiennene skal være lukket. Vi framstår kanskje en tanke paranoide, men det er en del av jobben, sier Helge Aksdal.
Selv om det er mer enn hundre meter til nærmeste bygning, og ingen har direkte innsyn inn vinduene til Telenor Security Operations Centre (TSOC) på Fornebu, tar de ingen sjanser. Helge Aksdal og Vegar Åsmul er sikkerhetsanalytikere og to av et team på nesten 20 som jobber for å være i forkant av skurkene. TSOC er Telenors døgnbemannede sikkerhetssenter som følger med på nettrafikken til Telenors bedriftskunder for å beskytte mot nettverksangrep og øke informasjonssikkerheten. 
Vegar Åsmul og Helge Aksdal står foran to store skjermer
- Vi er i posisjon til å kunne stoppe trafikken på det vi kaller kantruterne våre, altså før det når Telenors nett og våre kunder, forklarer Vegar. 

Industrispionasje mot Telenor

Det var i TSOCs avdeling i Arendal alarmen gikk vinteren 2013. Automatiske systemer fanget opp unaturlig internett-trafikk fra Telenor-lederes datamaskiner til IP-adresser som ikke var kjent. TSOC oppdaget raskt angrepet og lyktes i å stoppe videre kriminell aktivitet. 
 - Spionasjen kunne ha pågått i lang tid hvis ikke den unormale trafikken hadde blitt oppdaget. Måten det er gjort på viser at dette var kriminelle med betydelige ressurser både når det gjelder kapasitet og kompetanse. Og det er vanskelig å være helgardert mot slike kriminelle, sier Vegar.
Vegar Åsmul skimtes gjennom vinduet og Telenors logo

Kjøp deg et DDOS-angrep

Telenor er ikke alene om å oppleve slike angrep. Mange norske bedrifter har ikke gode nok sikkerhetssystemer og flere opplever pengeutpressing. Det er ikke spesielt vanskelig å drive slik utpressing. En kan faktisk kjøpe seg et DDOS-angrep til en billig penge, forklarer Helge og Vegar.  
DDOS står for Distributed Denial of Servcie, og oversettes ofte til «distribuert tjenestenekt». Det går ut på at angriperen får et antall datamaskiner til å sende så mye nettverkstrafikk til en eller flere andre datamaskiner, at ønsket trafikk ikke slipper gjennom. Maskiner som utsettes for tjenestenekt-angrep blir dermed satt ut av funksjon. Andre slike angrep har som mål å bruke så mye ressurser hos mottakeren at de «kneler» under lasten. 
- De som står bak er alt fra gutteroms-hackere til konkurrenter. De har ulike hensikter, alt fra å ville gjøre hærverk til å drive spionasje. Typen sårbarheter de misbruker kan fortelle oss noe om hvem de er og hvilke ressurser de har, forteller Helge og Vegar.
Skjermdump av et brev/en mail

Et utpressingsbrev sendt til Cryptome.org, et åpent digitalt arkiv. Avsenderen ber om å få utbetalt 1 bitcoin (ca. 100 USD sommeren 2013) for å ikke ta ned siden.

Ved slike DDOS-angrep reagerer systemet på økt trafikkmengde. Men økt trafikkmengde behøver ikke alltid å bety at det er fare på ferde.  
- Da skiskytteren Ole Einar Bjørndalen gikk over målstreken i Sotsji-OL var det «helt Mount Everest» på grafen, men så datt den rett ned igjen. Det var en såkalt «falsk positiv», et udramatisk avvik i trafikkmønsteret. Men det er likevel en alarm som vi sjekker ut selv om vi vet det er OL, sier Helge.

Kunnskap er makt

For å ligge i forkant av kriminelle, og for å beskytte eget nett, har TSOC opprettet en Malware-lab. Det er et isolert miljø hvor de kan gjøre alt de ikke kan gjøre der det er produksjonsmaskiner. Her ønsker de også å teste det de oppdager og å teste for å oppdage. Men den viktigste sikkerhetsmekanismen er verken hos TSOC eller i Telenor, understreker Helge. 
- Den viktigste mekanismen hos brukerne sitter mellom ørene til hver enkelt bruker. Derfor jobber vi mye med bevisstgjøring. Vi ønsker at sikkerhet skal være noe folk forholder seg til, det skal ikke være mystisk eller skummelt. 
Derfor sender TSOC ut et daglig nyhetsbrev, har egen blogg, er på Facebook og Twitter med siste nytt på fagfeltet og med gode råd. 
- Vi ønsker å advare om nye sårbarheter og trender. Vi ønsker å være raskest mulig på pletten og si «ikke trykk på den knappen». Men varsling er en ting, det er om å gjøre å bygge tanker om sikkerhet, både blant våre kunder, men også blant Telenor-ansatte, sier Vegar. 
Han forklarer at all teknologi utvikler seg hele tiden, og at ingen blir helt utlært.
- Det er en slags katt og mus-lek mellom oss og skurkene. Av og til er vi et hestehode foran, av og til bak. Det er en evig kamp mellom det gode og det onde. Men vi har en stor fordel og det er at vi deler informasjon. Sikkerhetsmiljøet i Norge er veldig åpent, forteller han. 
Helge Aksdal sitter foran to dataskjermer i Malware-laben

Kjernekraft-symbolet på skjermene i laben er brukt med hensikt. -De som jobber i lab-en skal være klar over at de sitter på en Malware-maskin. Når man jobber i et system som kan være infisert, må man ta sine forholdsregler, sier Helge Aksdal.

Historisk etterforskning

Også Næringslivets sikkerhetsråd ser på åpenhet som nøkkelen til å bekjempe de kriminelle på nett. 
- At et så stort selskap som Telenor har vist åpenhet rundt denne industrispionasjesaken er usedvanlig positivt, sier Kristine Beitland. 
Hun er direktør i Næringslivets sikkerhetsråd, en organisasjon som skal forebygge kriminalitet i og mot næringslivet. Beitland sier at Telenors åpenhet får positive ringvirkninger på flere plan. 
Portrettbilde av Kristine Beitland som smiler.
- Dette er den første industrispionasjesaken som blir etterforsket i Norge. Den er dermed en prøvestein for rettssystemet vårt. En annen positiv konsekvens er at andre bedrifter kan lære av Telenor. Også myndighetene får kunnskap om utfordringene i næringslivet når man åpner opp på denne måten, sier hun. 
Hun fremhever at nettopp samarbeid er nøkkelen for å heve sikkerhetsnivået i norske bedrifter i fremtiden. 
- Norske bedrifter mangler i dag kompetanse for å takle disse utfordringene. Enda viktigere er samarbeid. Vi er avhengige av at myndigheter og næringsliv jobber tettere sammen om disse utfordringene. Ingen kan håndtere dette alene. Men vi vet at åpenhet er krevende, og derfor fortjener Telenor all mulig honnør for måten de har taklet industrispionasjesaken på, sier hun. 

Økt etterspørsel

Om åpenheten rundt industrispionasjesaken har hatt noe å si, vet de ikke sikkert, men Helge og Vegar registrerer økende etterspørsel fra kunder. 
- Dette er noe bedriftskunder trenger vern mot. Og da holder det ikke med et antivirusprogram. Vi har kompetanse til å tolke hva som er reelle trusler og hva som er falske alarmer. Og det viktigste: Våre kunder har tilgang på vår sikkerhetsavdeling 24 timer i døgnet. Vi følger alltid med på hva som skjer der ute, sier de.