Stadig økende kompleksitet

Utviklingen på cybersikkerhetsområdet er i stadig endring og det er viktigere enn noen gang å være oppmerksom på risikobildet. Fagdirektør Reni Telje i Nasjonalt cybersikkerhetssenter gir et innblikk i utviklingen det siste året.

Det digitale risikobildet preges av økende kompleksitet i systemer og teknologier. Sårbarhetene i samfunnet blir mer krevende å oppdage på grunn av mer komplekse digitale verdikjeder, forteller Telje.

– Aktørene som står bak cyberoperasjonene mot Norge det siste året, har brukt et bredt spekter av angrepsmetoder som rangerer fra enkle til svært avanserte. De mest avanserte metodene skreddersys til målet. De enkleste angrepene utnytter sårbarheter til å utløse et løsepengevirus eller oversvømme nettsider med trafikk gjennom tjenestenektangrep. I sommer så vi for eksempel at prorussiske og kriminelle hackere kjørte flere koordinerte tjenestenektangrep mot nettsidene til en rekke store norske virksomheter, sier hun.

Hvordan har krigen i Ukraina påvirket det digitale risikobildet?

– Krigen i Ukraina har preget risikobildet i Norge, også i cyberdomenet. I cyberdomenet deler vi kontaktflate med land som plutselig er i krig. Mange norske virksomheter har vært bekymret for økt risiko knyttet til leverandørkjedene sine, sier Telje.

– Cyberoperasjoner er en integrert del av virkemiddelbruken som observeres i Ukraina. Majoriteten av cyberhendelsene i landet har skapt usikkerhet og forstyrrelser, men enkelte har også påvirket landets kritiske infrastruktur.

– Økonomisk motiverte aktører kan også utnytte mulighetsrommet skapt av den spente situasjonen. Det er et faktum at trusselaktører utnytter et mulighetsrom skapt av hendelser og kriser – dette så vi under pandemien, hvor korona-tematikk ble benyttet i phishing og svindelforsøk på nett. Vi ser det nå også i forbindelse med Ukraina – åpne kilder rapporterer om en trend blant trusselaktører som benytter situasjonen som tematikk i phishing- og skadevarekampanjer, sier hun.

Må håndtere økt risiko

I en tilspisset situasjon må virksomheter håndtere økt risiko, usikkerhet og et om- skiftelig situasjonsbilde, mener Telje. – Man må være i forkant av kriser, og man må forsøke å se for seg hvilke scenarier som kan ramme virksomheten, og så øve på hvordan dette skal håndteres. Hurtig respons kan redusere sårbarhetsflatene betraktelig, og da er gjennomøvde beredskapsplaner helt nødvendig, sier hun.

– Generelt opplever NSM en økt årvåkenhet og bevissthet som følge av situasjonen, og vi erfarer at det er en lavere terskel for å rapportere inn til oss. Denne typen rapportering er avgjørende for at vi kan vedlikeholde et nasjonalt situasjonsbilde. Vår oppfatning er at mange virksomheter har økt sin forståelse for at en cyberhendelse kan ramme dem og deres virksomhet – og rapporterer til oss at cybersikkerhet har fått økt oppmerksomhet på ledelsesnivå hos dem, sier Telje.

Hva tenker du hver enkelt av oss må være obs på når vi jobber i det digitale?

– Det er viktig å erkjenne at cyberangrep kan ramme alle, og at du kan brukes som et ledd i å få tilgang til et mål. Phishing for eksempel, der en aktør sender en e- post for å få mottaker til å åpne et ondsinnet vedlegg eller en lenke, brukes fortsatt som inngangsmetode i cyberoperasjoner. Disse er ofte godt tilpasset til hvert enkelt mål. Vi er kjent med at trusselaktører bruker offentlig tilgjengelig informasjon for å skreddersy e-poster som sendes virksomheter. NSM observerer også at høsting av brukernavn og passord (som kalles credential harvesting) kan utføres ved hjelp av målrettede phishing-e-poster for å lure en mottaker til å oppgi påloggingsdetaljer, advarer hun.

Hvordan kan norske virksomheter være forberedt og godt rustet for å møte det digitale risikobildet?

– Budskapet er det samme det har vært lenge: Tiltak nytter. Dette reduserer sannsynligheten for å bli rammet og det kan redusere konsekvensene om man blir det. Det gjør vi blant annet ved å hindre at aktørene kommer inn i systemene i utgangspunktet. Det gjelder å hindre at brukerdetaljer kommer på avveie. Slike detaljer kan omsettes for å gi tilgang. Det handler om å lukke sårbarheter. Alltid oppdatere. Og det handler om å ha en beredskapsplan i tilfelle en hendelse inntreffer og etablere et planverk for hendelseshåndtering og for å kunne øke sikkerheten på kritiske systemer ved behov.

Bli kjent med risikobildet og ta dette på alvor og til etterretning. Gjør gode verdiog risikovurderinger.

Dette bør du gjøre NSM har i flere tiår utviklet sikkerhetstiltak for beskyttelse av IKT-systemer. Ut fra disse erfaringene ser vi at virksomheter kan stanse de fleste cyberangrep med følgende tiltak:

• Installer sikkerhetsoppdateringer så fort som mulig, og mest mulig automatisk

• Ikke tildel administrator-rettigheter til sluttbrukere

• Ikke tillat bruk av svake passord, og bruk multifaktorautentisering der det er mulig

• Fas ut eldre IKT-produkter

• Tillat kun programvare som er godkjent av virksomheten eller enhetsleverandøren

NSMs penetrasjonstestere forteller om følgende sårbarheter som går igjen hos norske virksomheter:

Dårlige passord: Mange brukere av systemet velger dårlige passord som det er lett for NSM å gjette/knekke. En trusselaktør trenger kun å knekke ett av hundre- eller tusenvis av passord for å få tilgang, avhengig av virksomhetens størrelse.

Lagrede passord: Mange virksomheter lagrer passord i filer som alle har tilgang til. Grunnen til dette er blant annet at flere ansatte bruker samme spesialbrukere som de ikke husker passordet til.

Programvare med feil: Virksomheten bruker programvare som inneholder feil (bugs). Ofte vil det finnes sikkerhetsoppdateringer til programvaren, men virksomheten har ikke installert denne ennå. En trusselaktør kan utnytte feilene til å skaffe seg flere rettigheter eller få tilgang til nye maskiner.

Passordgjetting mot passord-database: Virksomhetens systemer er konfigurert slik at det er praktisk mulig å gjette passord mot alle brukerne i virksomhetens passorddatabase. Selv om antallet gjetninger per time vil være lavt, vil man ofte klare å gjette dårlige passord.

Utdaterte, ikke-støttede operativsystemer: Virksomheten har datamaskiner hvor operativsystemet er så gammelt at leverandøren ikke lenger produserer sikkerhetsoppdateringer. Dette skjer gjerne fordi maskinene kjører spesialprogramvare og/ eller utstyr som kun fungerer på dette, eldre systemet.

Gamle systembrukere: Det kan være mange grunner til at systembrukere er inaktive, som at folk slutter, at systemer ikke brukes lenger, at leverandører byttes ut. Ofte henger disse brukerne igjen i systemet, og ofte har de passord som enkelt kan knekkes.

Sårbare tjenester og protokoller: En trusselaktør med tilgang til virksomhetens nett vil ha mulighet til å utnytte sårbare tjenester som kjører i nettet. For eksempel kan det være mulig å avlytte trafikk, overta kommunikasjon, eller forfalske meldinger.