Q2/Q NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT

Transkript

1 NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT Q2/Q Nye utfordringer og nye muligheter 7 Nøkkeltall fra NorCERT 21 Informasjonssikkerhet hvordan skal man få noen til å bry seg?

2 NYE UTFORDRINGER OG NYE MULIGHETER Intervju med Kjetil Nilsen, direktør i Nasjonal sikkerhetsmyndighet OKTOBER ER NASJONAL SIKKERHETS MÅNED NØKKELTALL FRA NORCERT 11 Q&A MED EIREANN LEVERETT Sikkerhetsforsker IO Active, Storbritannia GRENSELØS NAIVITET En virkelighetsorientering om samfunnet vi lever i 16 NORCERT SIKKERHETS FORUM KRAFTSENTER FOR FORSKNING PÅ CYBER- OG INFORMASJONS SIKKERHET 18 SLIK ER DET Å JOBBE I NSM 20 INFORMASJONS SIKKERHET Hvordan skal man få noen til å bry seg? 22 Ansvarlig redaktør: Mona Strøm Arnøy Utgaveredaktør: Fredrik Johnsen (NSM) Design: Markus Design AS Opplag: 400 Alle foto der annet ikke er spesifisert: NSM, Pål Rødahl/tinagent og Håvar Haug

3 LEDER SIKKERHETSFOKUS I HELE SAMFUNNET Denne kvartalsrapporten er den første fra hele Nasjonal sikkerhetsmyndighet, og erstatter kvartalsrapportene fra NorCERT, som mange av dere har fått tilsendt tidligere. Dette er noe vi gjør for å få frem hva NSM driver med, ikke bare i det digitale rom, men også innenfor våre andre kompetanseområder. Når det er sagt, så er innholdet i denne kvartalsrapporten i stor grad levert av våre medarbeidere i Operativ avdeling, men i fremtidige kvartalsrapporter er planen å gjøre innholdet enda bredere innenfor sikkerhetsfagene. Det har vært en hektisk vår og sommer for oss i NSM. Som dere ser av nøkkeltallene er antallet saker vi håndterer i Operativ avdeling fortsatt økende, og angriperne finner stadig nye metoder for å bryte seg inn eller lure brukerne. Her i NSM gjør vi alt vi kan for å møte nye utfordringer. Vi har omorganisert, og antall ansatte øker. Vi er har fått nye erfaringer og kompetansen er styrket. Dette vil gjøre oss i enda bedre stand til for eksempel å forebygge, varsle og håndtere angrep i det digitale rom, og utvikle et enda tettere samarbeid med våre partnere i Norge og utlandet. Å rekruttere så mange nye medarbeidere er både spennende og utfordrende. Vi ser at dette gir resultater. Stadig ser vi at norske interesser blir utsatt for uønsket aktivitet, som spionasje rettet mot både privat og offentlig sektor. Så lenge vi har verdier som andre er interessert i vil vi utgjøre et attraktivt mål. Hvem som er interessert i våre verdier kan variere, i alle fall over tid. Vårt felles mål må være å redusere risikoen, ha et bevisst forhold til risikoaksept og konsekvens. For samfunnet, den enkelte virksomhet og den enkelte innebærer det at vi må ta utgangspunkt i det vi ønsker å beskytte våre verdier og iverksette effektive tiltak for å redusere vår egen sårbarhet. Sammen med virksomheter i privat og offentlig sektor, gleder vi oss til å ta fatt på nye utfordringer. Med vennlig hilsen Kjetil Nilsen Direktør Nasjonal sikkerhetsmyndighet KVARTALSRAPPORT Q2/Q NASJONAL SIKKERHETSMYNDIGHET 03

4 04 NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT Q2/Q3 2013

5 NYE UTFORDRINGER OG NYE MULIGHETER I 2003 ble Nasjonal sikkerhetsmyndighet (NSM) etablert som et eget direktorat. Ti år senere ser vi både at sikkerhetstruslene mot samfunnskritisk infrastruktur er økende og endrer seg raskt, samtidig som godt forebyggende sikkerhetsarbeid fremdeles er like viktig som i 2003, sier NSMs direktør Kjetil Nilsen. Vi forvalter store verdier. Norge er verdens nest største gasseksportør, verdens sjette største eksportør av olje, og vi forvalter et av verdens største fond gjennom pensjonsfondet. Samtidig har vi en strategisk viktig posisjon i nord, en befolkning og virksomheter som er langt fremme teknologisk, og stadig mer informasjon er tilgjengelig over Internett. Sammen gjør dette Norge til et fristende og attraktivt mål for data- og industrispionasje, enten det dreier seg om målrettede angrep fra fremmede makter eller «pøbelstreker» fra hackere som vil vise seg frem. Fjoråret viste en dobling i antallet håndterte alvorlige hendelser og forsøk på dataspionasje i NorCERT i Nasjonal sikkerhetsmyndighet, og de siste fem årene har vi sett en kraftig økning i antall håndterte hendelser i NorCERTs operasjonssenter. Det betyr at det stadig oppdages flere forsøk på dataangrep og datainnbrudd i kritisk infrastruktur, sier Nilsen. ET HELHETLIG OPPLYSNINGSANSVAR Hendelser som har funnet sted de siste årene har flyttet sikkerhet høyere på dagsordenen. Allikevel mener Nilsen at norske virksomheter må bli bedre på sikkerhet. Flere prosesser, som for eksempel tiltak rundt objektsikkerhet og styrking av NSMs operative avdeling, er i gang og NSM har store ambisjoner for de neste årene, både når det gjelder konkrete tiltak og å ta et helhetlig ansvar for å opplyse nordmenn om sikkerhet. I NSM er visjonen «sikre samfunnsverdier». Dette betyr både at vi skal bidra til sikkerheten rundt de verdiene vi verd setter høyest her i landet, som frihet, åpenhet, demokrati og velferd, men også den kritiske infrastrukturen som sikrer disse verdiene, som kraft og kommunikasjon. Dette vil bli viktig i årene som kommer, sier Nilsen. GJENSIDIG AVHENGIGHET Kritisk infrastruktur i 2013 er i stor grad avhengig av at informasjonssikkerheten rundt denne strukturen er sikret. Konsekvensene av dårlig informasjonssikkerhet er store, og kan spenne fra tyveri av informasjon eller planting av virus i kritiske forsvarssystemer, til nasjonale hemmeligheter på avveie, virus i prosesskontrollsystemer, eller børssensitiv informasjon som manipuleres eller tilgjengeliggjøres på en uønsket måte. I et nettverksbasert samfunn er mange av de kritiske funksjonene gjensidig avhengige av hverandre. Transportsektoren er i stor grad avhengig av forsyning av olje og gass, nødetatene har behov for at kraftforsyning og transportsektoren fungerer som den skal, og bank- og finansnæringen fungerer dårlig uten telekom-tjenester. Dette betyr at selv kortere driftsavbrudd i disse systemene kan få store samfunnsmessige konsekvenser. > KVARTALSRAPPORT Q2/Q NASJONAL SIKKERHETSMYNDIGHET 05

6 > Økt bruk av teknologi skaper en uoversiktlighet som kan gjøre det mer krevende enn før å vurdere risiko for brukerne av denne teknologien. Det forutsettes at alle nye produkter og systemer spiller sømløst sammen med gamle systemer, på tvers av virksomheter og sektorer, og det er en stor utfordring å holde oversikt over alle de gjensidige avhengighetene og potensielle sårbarhetene. Dette betyr at det er viktigere enn noen gang å stille klare og presise krav til sikkerheten, sier Nilsen. EN REKKE SIKKERHETSDRIVERE I NSM etterstreber vi hele tiden å være helt i ledelsen når det gjelder å være oppdatert på de truslene og sårbarhetene det norske samfunnet står ovenfor. Vi gir råd og stiller krav. Når det gjelder råd og anbefalinger er det er opp til den enkelte virksomhet å implementere disse. Dermed kan vi som myndighet være en pådriver, men det er samtidig viktig at både brukerne og produsentene av samfunnskritisk infrastruktur er bevisste på hvilken risiko de utsetter seg for til enhver tid, sier Nilsen, og nevner bruken av sikkerhetsbelter i biler som et eksempel. Den første masseproduserte bilen med trepunkts sikkerhetsbelte var Volvo Amazon, som ble lansert i Først 20 år senere, i 1979, ble det påbudt å bruke sikkerhetsbelte i bil. Her var marked og produsent den viktigste driveren. Ikke myndighetene. Samtidig som produsentene av infrastruktur er fokuserte på sikkerhet, gjør også trusselaktørene sitt til at NSM stadig forbedrer kompetansen for å ligge et hakk foran. Ethvert angrep fra en hacker øker kunnskapen og kompetansen om hvordan disse angrepene fungerer, noe vi kan utnytte til å utvikle enda bedre deteksjonsog varslingssystemer. SATSING PÅ SIKKERHET Terroraksjonen i Regjeringskvartalet 22. juli 2011, angrepene på norske ambassader i Midtøsten og sist angrepet på det delvis Statoil-eide gassanlegget i Algerie i januar har aktualisert arbeidet NSM gjør med objektsikkerhet. Et nytt sektorovergripende regelverk på området trådte i kraft 1. januar i 2011, og skal implementeres over en treårsperiode. Fristen for å melde inn skjermingsverdige objekter gikk ut ved årsskiftet, og det videre arbeidet med å sikre disse objektene på en fornuftig måte er i full gang. Det nye regelverket innebærer en overordnet koordinering av det forebyggende sikkerhetsarbeidet på dette området, og vil sikre at avhengigheter på tvers av sektorer i samfunnet nå blir vurdert systematisk med tanke på defensiv beskyttelse. Norge er i dag ikke godt nok rustet til å takle truslene og utfordringene det nettverksbaserte samfunnet gir oss, men det blir stadig tatt grep som styrer oss i riktig retning, sier Nilsen. Før jul i 2012 la Fornyings-, administrasjons- og kirkedepartementet frem sin nye strategi for informasjonssikkerhet, og NSMs forslag fra 2010 til en nasjonal strategi for cybersikkerhet inngår i denne prosessen. Også sikkerhetsloven, som inneholder en rekke krav til informasjonssikkerhet for å forebygge mot spionasje, sabotasje og terror, er under evaluering. Disse tiltakene betyr at vi i NSM stadig må forholde oss til nye utfordringer og muligheter, noe vi ser frem til. De første ti årene av vår historie har vært spennende, og det er ingen grunn til å tro at de neste ti årene vil bli mindre spennende, avslutter NSM-direktøren. 06 NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT Q2/Q3 2013

7 NØKKELTALL FRA NORCERT Så langt i 2013 har totalt antall saker ved NSM NorCERTs operasjonssenter vært relativt stabilt, uten dramatiske svingninger i noen retning. Saksmengden fortsetter å være stabilt høy. For første gang på ett og et halvt år opplever NorCERT en nedgang, om enn minimal, i totalt antall saker som behandles av operasjonssenteret. I 3. kvartal 2013 noterer vi en svak nedgang i den totale saksmengden på 2%, sammenlignet med 2. kvartal i år. I forhold til 3. kvartal i 2012 innebærer dette likevel en økning på 87%. 2. kvartal 2013 svingte litt den andre veien, med en økning i nye saker på 5%. Selv om dette er en liten økning i forhold til 1. kvartal i år, er det fortsatt en økning på 142% i forhold til samme periode i fjor. I forrige nøkkeltallsartikkel fokuserte vi på økningen i kompromitterte nettsider. Nå ser vi også her en svak nedgang i 3. kvartal 2013, på 4%. I 2. kvartal derimot, opplevde vi en økning på 20% i forhold til starten på Dette tilsvarer 10 ganger flere enn i 2. kvartal i Som nevnt i forrige kvartalsrapport er det riktignok mest sannsynlig økt innrapportering og ikke økning i faktiske kompromitteringer som gir oss disse tallene var en foreløpig rekordnotering hva gjelder alvorlige saker håndtert av NorCERTs operasjonssenter. Ved slutten av 3. kvartal 2013, ser vi at operasjonssenteret har hatt 35 alvorlige saker under håndtering så langt i år. Dette inkluderer både nye saker i 2013 og tidligere saker som har krevd oppfølging over lengre tid. > KVARTALSRAPPORT Q2/Q NASJONAL SIKKERHETSMYNDIGHET 07

8 > Med andre ord ligger saksmengden omtrent på samme nivå som Oppsummerer vi status for 2013 så langt er vi allerede godt forbi totalt antall saker i fjor. Ved utgangen av 3. kvartal i år har ganske nøyaktig 50% flere saker vært innom operasjonssenteret enn i hele DIGITAL SPIONASJE Når vi bruker begrepet alvorlige saker, er det som oftest digital spionasje vi sikter til. Digital spionasje betyr at noen ønsker å hente ut informasjon fra et eller flere datanettverk som ikke tilhører dem. Spionasje av denne typen er en naturlig forlengelse av tradisjonell spionasje og et resultat av vår tids teknologiske utvikling. Formålet er det samme, nemlig å gi støtte til beslutningstagere eller innhente andres konkurransefortrinn. Det dreier seg fortsatt om å få tak i betydningsfull informasjon man ikke har rett til å inneha, helst uten å bli oppdaget. Forskjellen er at man ved digital spionasje bruker teknologiske verktøy til en del av oppgavene som tidligere ble utført av agenter i tradisjonell forstand. I stedet for å fysisk bryte seg inn på et lederkontor for å kopiere dokumenter, bryter en person seg inn i nettverket og kopierer dem fra datamaskinen. Som sektorovergripende CERT er NorCERT i en unik posisjon til både å danne seg et helhetlig trusselbilde og varsle mulig utsatte virksomheter. Å forebygge og håndtere digital spionasje mot Norge er en prioritert oppgave i NorCERT. Også i 2. og 3. kvartal har NorCERT vært involvert i håndteringen av en rekke forsøk på målrettede spionasjeoperasjoner. NorCERT har flere ganger fortalt om hvordan dette rammer mange ulike sektorer i samfunnet, for eksempel myndigheter, forsvarsindustri, olje- og gass, og telekom. Som sektorovergripende CERT er NorCERT i en unik posisjon til både å danne seg et helhetlig trusselbilde og varsle mulig utsatte virksomheter. Telenor gikk ut i media og fortalte om en kompromittering hos toppledelsen ved at de hadde mottatt skreddersydde eposter som inneholdt spionprogramvare. Telenor fortjener ros for å ha stått frem med en slik innrømmelse. Åpenhet og deling av informasjon gir uvurdelig empiri til trusselvurderinger mot norske interesser, samtidig som det øker Norges samlede evne til å detektere og håndtere digital spionasje. Hendelsen hos Telenor og den påfølgende rapporten fra Norman gir gode illustrasjoner på kompleksiteten bak slike operasjoner. Å bli utsatt for spionasje er en indikasjon på at noen mener at din virksomhet har interessante verdier. Din virksomhet er med andre ord ikke plukket ut ved en tilfeldighet, slik ofre for mer generisk datakriminalitet er. Ved generisk datakriminalitet vil det ofte være åpenbart at motivet er økonomisk vinning, og å generere så mye økonomisk vinning som mulig. Selvfølgelig kan spionasje også være økonomisk motivert, et eksempel er at virksomheten på en eller annen måte er involvert i kontraktsforhandlinger. Andre ganger kan den umiddelbare verdien være av en annen art, for eksempel strategisk posisjonering. I vårt samfunn vil likevel nærmest all informasjon på kort eller lang sikt kunne omsettes i økonomisk gevinst. Hovedpoenget med spionasje er i alle tilfeller at noen har en klar formening om hvilken informasjon som skal hentes inn, hvem som kan tenkes å besitte denne informasjonen og hvordan man kan få tak i den. 08 NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT Q2/Q3 2013

9 Saker Med webinfections Linear (saker) Alvorlige saker Å peke på noen av karaktertrekkene ved digital spionasje betyr likevel ikke at spionasjeforsøkene behøver å være like. I noen angrep ser man at angriper forsøker å lure mottageren til å klikke på en link eller åpne et trojanisert vedlegg ved at dette ser så troverdig ut som mulig, for eksempel informasjon i forbindelse med en faktisk konferanse som er relevant for virksomheten. Andre ganger kan angriper forsøke å spille på andre menneskelige reaksjoner, for eksempel vår nysgjerrighet eller sans for humor. Målet forblir det samme - å oppnå fotfeste innen virksomheten, kartlegge og etablere tilgang til systemene der den relevante informasjonen oppbevares. Ser man de to foregående avsnittene i sammenheng, vil man forstå at slike operasjoner krever forberedelser på flere nivåer. For det første må virksomhetens struktur kartlegges. Oversikt over hvem som er hvem kan ofte oppnås ved å samle og sammenstille informasjon fra åpne kilder. Behovet for synlighet gjør at hjemmesiden til mange virksomheter for eksempel har informasjon om samarbeidspartnere, kommende aktiviteter, kontaktinformasjonen til ledelsen etc. En annen åpenbar kilde til nyttig informasjon vil f. eks. være Linkedin. På samme måte vil man forsøke å kartlegge virksomhetens tekniske arkitektur, hvilke tjenester som er eksponert på Internett og hvor virksomheten er sårbar. LOGGER? JA, TAKK! Som regel kan man gå ut fra at aktøren ikke ønsker å bli oppdaget. Dette har alltid ligget i spionasjens natur og er dermed ikke nytt hva gjelder digital spionasje. I denne forbindelse har NorCERT ofte snakket om begrepet dwell time, dvs. tiden det tar fra den initielle kompromitteringen finner sted til innbruddet oppdages. Denne perioden kan variere fra noen dager og måneder, til å strekke seg over et eller flere år. Foreløpig eksisterer det dessverre fortsatt en viss frykt for å innrømme kompromitteringer, av hensyn til virksomhetens omdømme og samarbeidsrelasjoner. Det er derfor naturlig å anta at det er store mørketall hva gjelder antall virksomheter som er utsatt for digital spionasje. Når en kompromittering oppdages gjelder det å skape seg et bilde av noe man ikke visste om på forhånd og der mye av den nyttige informasjonen ligger tilbake i tid. Dette er grunnen til at logger er svært viktig. KJENN DINE VERDIER Hvordan skal man så forholde seg til denne virkeligheten? Det første en virksomhet bør gjøre er å være klar over hvilke verdier den har, hvor viktige eller sensitive de ulike verdiene er og hvor de befinner seg. Hva betyr egentlig dette? For å nevne noe, den informasjonen en virksomhet > KVARTALSRAPPORT Q2/Q NASJONAL SIKKERHETSMYNDIGHET 09

10 > legger til grunn for sine avgjørelser om produktutvikling, fremdrift, kontraktsforhandlinger, femårsplaner osv. er nettopp den informasjonen som er interessant for andre å få innblikk i. Informasjon som er verdifull for virksomheten er sannsynligvis også verdifull for en med konkurrende interesser. Det høres kanskje enkelt ut, men verdivurdering er i seg selv et komplekst tema. Ikke minst fordi informasjonens verdi eller sensitivitet legger føringer for tilgang, bruk og deling. Det blir altså et spørsmål om balanse mellom beskyttelse og praktisk mulighet for nyttiggjøring av informasjonen. Fordelen av verdivurdering er likevel åpenbar. Når virksomheten har vurdert verdien av informasjonen, vet den hva den ønsker å beskytte. Når virksomheten vet hva den ønsker å beskytte, vet den også hvor den er sårbar. Når virksomheten vet hvor den er sårbar, kan den også vurdere hvilke tiltak som skal tas i bruk for å beskytte informasjonen. Å være bevisst på egne verdier starter en kjede som dermed er med på å redusere risikoen for tap betraktelig. Selv om man har god oversikt og tiltak på plass for å beskytte virksomhetens verdier, er det likevel fornuftig å være mentalt forberedt på kompromitteringer. Å være mentalt forberedt betyr i dette tilfellet at man har en oppfatning om hvordan hendelser skal håndteres, og klare rutiner for dette. Man sier ofte at IT-sikkerhet er et lagspill som bør være forankret i ledelsen. Hva betyr egentlig det? I praksis betyr det at flere enn virksomhetens IT-avdeling trenger å ha en virkelighetsoppfatning som inkluderer digital spionasje. Det betyr at virksomhetens beslutningstakere har en forståelse av at noen kan ha interesse av å kjenne til deres beslutninger. Det betyr at virksomhetens salgsavdeling har en forståelse av at noen e-poster som kommer inn kan være ondsinnede forsøk på å etablere fotfeste i virksomhetens nett. Det betyr å ha oversikt over hvilke av virksomhetens tjenester som er eksponert på Internett. Det betyr rett og slett å ta konsekvensen av at lie, cheat and steal er en del av virkeligheten. HOLDER INTERNETT RENT Som nevnt legger NorCERT stor vekt på å håndtere slike spionasjeoperasjoner, Nor- CERTs oppgave er å ha et oppdatert bilde av trusselen mot kritisk infrastruktur og å beskytte denne. Å forebygge spionasje er en heldagsjobb og mer til. I forrige nøkkeltallsartikkel fortalte vi at vi også tar innover oss den stadige økningen av innrapporterte nettsider som er kompromittert. Som det har blitt påpekt flere ganger tidligere, er det ikke lenger utelukkende mindre nettsider som utsettes for dette. Motivet er gjerne å tilrettelegge for økonomisk kriminalitet, f. eks. spredning av banktrojanere. Det er derfor attraktivt å kompromittere store og legitime nettsider med mange besøkende, og innebærer et potensielt veldig stort skadeomfang. Dette er bakgrunnen for at NorCERT ser stor samfunnsverdi i å holde den norske delen av Internett så ren som mulig. 10 NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT Q2/Q3 2013

11 OKTOBER ER NASJONAL SIKKERHETSMÅNED Foto: Shutterstock For tredje gang ble nasjonal sikkerhetsmåned arrangert i oktober. Også i år har Nasjonal sikkerhetsmyndighet spilt en vesentlig rolle for å øke bevisstheten rundt informasjonssikkerhet i den norske befolkningen. Norsk senter for informasjonssikring (NorSIS) leder arbeidet med sikkerhetsmåneden i Norge. Formålet med kampanjen er å øke kompetansen og bevisstheten på noen få utvalgte områder for å kunne få en økt oppmerksomhet og påvirke til endring. Kampanjen skal være basert på motivasjon, grunnleggende kunnskap og positivt fokus. Nettstedet sikkert.no er kampanjens ansikt utad. I Nasjonal sikkerhetsmyndighet holdt vi i løpet av måneden en rekke regionale sikkerhetsseminarer over hele landet. I år støttet NSM ulike virksomheter med en rekke foredrag, og vi gjennomførte en turne i Kristiansand, Stavanger, Bergen, Trondheim, Bodø, Tromsø og Oslo. Deltakerne fikk informasjon om objektsikkerhet, IKTsikkerhetstilstanden, personellsikkerhet, sikkerhetskultur, mobilsikkerhet og verdivurdering. Aktiviteten var utvidet og forbedret basert på tilbakemeldinger fra fjorårets turne. NorSIS fortjener heder og ære for planlegging og gjennomføring av et viktig initiativ i arbeidet med å bedre sikkerhetstilstanden og økt bevissthet i samfunnet. Dette er et viktig tiltak for å øke bevisstheten rundt sikkerhet i hele landet, spesielt på «grasrotnivå», der bevisstheten rundt sikkerhet kanskje er lavest. Målet er selvfølgelig å få denne tankegangen inn i hverdagen til folk flest hele tiden. Det aller viktigste er hva hver og en av oss gjør i det daglige når det kommer til sikkerhet. Det er vår daglige sikkerhetsbevissthet og atferd som i realiteten setter standarden på hvor god sikkerheten er i samfunnet, sier seniorrådgiver Roar Thon i NSM, som har holdt nærmere femti foredrag i løpet av oktober. Gjennom sikkerhetsmåneden har NSM understreket viktigheten av å vurdere og sikre virksomhetenes verdier. Sikkerhetsmåneden er et viktig tiltak for å styrke denne tankegangen. Mer informasjon om Nasjonal sikkerhetsmåned: sikkert.no KVARTALSRAPPORT Q2/Q NASJONAL SIKKERHETSMYNDIGHET 11

12 Q&A MED EIREANN LEVERETT Eireann Leverett fikk internasjonal oppmerksomhet med sin masteroppgave ved Universitetet i Cambridge, som viste den økende tilkoblingen av industrielle kontrollsystemer til det åpne Internettet. Han delte dataene med CERT er globalt, og foreleser jevnlig om sikkerhet i industrielle systemer. Leverett studerte Kunstig intelligens og programvareutvikling ved Universitetet i Edinburgh og fikk en Master i avansert datavitenskap ved Cambridge. Derimellom arbeidet han for GE Energy i fem år med automatisert testing, en periode i Norge som forsker for ABB og har siden 2012 arbeidet som sikkerhetsforsker ved IOActive i Storbritannia. Q: Mange SCADA/ICS systemer i Norge er godt isolert med luftskille fra Internettet og bare tilgjengelig ved at operatører gir ekstern tilgang gjennom Citrix-løsninger. Trenger de å bekymre seg om hendelseshåndtering? A: Selvfølgelig må de det! Hendelseshåndtering er ikke bare om luftskiller og eksterne angrep. Faktisk har det vært flere angrep fra innsidere i industrielle systemer i de siste ti år. Slike innsiderangrep skjer litt sjeldnere, i følge analyser av mer enn 200 av dem av Eric Byres i PA Consulting, men koster mer å rydde opp. Jeg kan nevne Vitek Boden i Maroochyshire 2001 og Mario Azar i Pacific Energy i 2008 som eksempler. Q: Kan du beskrive de viktigste forskjeller mellom hendelseshåndtering i SCADA/ ICS-systemer og vanlige IT-systemer? A: Den viktigste forskjellen er at du håndterer et system som har fysiske effekter. I verste fall håndterer du et system som er sikkerhetskritisk. Hendelseshåndteringen i slike tilfeller må integreres med Eireann Leverett Sikkerhetsforsker IO Active, Storbritannia ICS: Industrielle kontrollsystemer, SCADA: supervisory control and data acquisition sikkerhetsprosedyrer og prosedyrer for håndtering av industrielle ulykker ved anlegget/organisasjonen. I et rent IT-miljø er det ofte mulig å raskt fjerne en infisert maskin og erstatte den med en annen, slik at brukeren kan fortsette arbeidet. I et operasjonelt produksjonsmiljø kan du måtte vente i måneder før en komponent kan byttes ut. Dette må gjøres av en ingeniør på anlegget, og risikoen for prosessen på den kompromitterte komponenten må veies opp mot sikkerhetsrisikoen ved å avbryte prosessen for tidlig. Hendelseshåndteringsmiljøer må inkludere denne type risiko i sin tilnærming. Det tar tid å forstå ICS-landskapet, men deres sikkerhets- og redundansekspertise kan være svært hjelpsomme for ingeniører som er villige til å lytte. De har en god del ekspertise i å avverge et vidt spekter av angrep hver dag. Denne kampen er ofte usynlig for resten av samfunnet, inkludert ICS-ingeniører. Q: Med «militariseringen» av Cyberrommet, hvilke utfordringer er de viktigste for hendelseshåndteringsmiljøer i Norge? A: Jeg vil si at det største problemet akkurat nå er å kartlegge omfanget av sårbarhet og endring over tid, og samtidig kartlegge antall angrep med endring over tid. Ved å forstå det foranderlige i angrepsflaten og trussellandskapet, understøttet av måledata, kan vi begynne å unngå hypen knyttet til emnet. 12 NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT Q2/Q3 2013

13 UTRO TJENER Boden søkte jobb i et Australsk firma som drev med kloakkhåndtering i Maroochy Shire. Han fikk ikke jobben, og hevnet seg ved å manipulere systemene til å slippe ut over liter rå avføring i parker, elver og på tomten til et Hyatt Regency hotell. Azar fikk ikke fast ansettelse i firmaet han jobbet, hvor de utviklet et system som bruktes til overvåkning av offshore oljeplattformer. Han tok seg inn i systemet ulovlig og fikk det til å slutte å virke, men uten at det fikk andre følger enn nedetid. Ledelsen i selskaper som utplasserer og drifter industrielle systemer blir bombardert med informasjon om hvor usikre de er. Samtidig som sikkerhetsmiljøer og produkter fremhever sin fortreffelighet. Det er ikke lett å vurdere hva som er sant. Den kompliserte versjonen er at begge påstander sannsynligvis er sanne. Å definere måledata og en dataorientert tilnærming er sentralt for å feie unna denne usikkerheten. Det er her det å etablere intern hendelseshåndteringskapabilitet kan hjelpe. Det må fostres en kultur hvor selskapet aktivt identifiserer hendelser, løser dem og skiller uhell fra ondsinnede intensjoner. Ved å belønne de menneskene som identifiserer og løser hendelser, gjøres problemet synlig. Ved å gjøre dette, gjøres data tilgjengelig for å forstå hvor alvorlig problemet var i fjor, hvor ille det var i år og gir en god ide om hvordan det vil bli neste år. Til slutt, for å komme tilbake til spørsmålet om militarisering av cyber-rommet. Det er et viktig tema. Det er en eskalering i øyeblikket og private bedrifter er dessverre i frontlinjen. De vil måtte bære brorparten av kostandene for å beskytte sine inntekter. Dette er dessverre den verden vi lever i nå. Den gode nyheten er at i ICS har vi primært sett bare spionasjekampanjer. Sabotasje er relativt sjeldent, men jeg frykter dette vil endre seg hvis noen finner på en måte å tjene penger på det. Q: Du har arbeidet i Norge med SCADA sikkerhet, hva er ditt inntrykk av det generelle sikkerhetsnivået i våre industrimiljøer? A: Jeg tilbrakte seks meget hyggelige måneder ved ABB i Norge. Jeg lærte mye og jeg har sett at det er en rik kultur for forskning og utvikling innen sikkerhet i Norge. Olje og gass-sektoren har brukt mye tid til å tenke og forbedre sikkerheten, og jeg tror kraftsektoren også har et bevisst forhold til problemene. Generelt har likevel vann- og transportsektorene ofte mindre budsjetter og mindre kjennskap til problemet. Selvfølgelig er dette en generalisering, og der gjøres fantastisk sikkerhetsarbeid i disse sektorene også. Fordelen med et land som Norge er at det er lite nok til å få bragt sammen eiere og operatører av kritisk infrastruktur av og til. Dette betyr at de kan dele hendelser, anbefalte metoder, og informasjon på en meningsfylt måte med folk en har fått tillit til over tid. Det er alltid regionale forskjeller i sikkerhetsopplegg, og til dels store forskjeller i industrielle systemer fordi de er så individuelt implementert. Personlig ville jeg satt pris på å arbeide en god del mer i Norge, både for å ta med erfaringer jeg har gjort i andre land, men også for å lære av den rike ingeniørtradisjonen som finnes her. KVARTALSRAPPORT Q2/Q NASJONAL SIKKERHETSMYNDIGHET 13

14 GRENSELØS NAIVITET De siste månedene har mediene nærmest kontinuerlig avslørt hvordan amerikansk etterretning har overvåket borgere i hele verden. Omfanget av overvåkningen er fortsatt ikke klar, men sakene har satt ytterligere fokus på informasjonssikkerhet og hva slags informasjon som er tilgjengelig. Det mener vi i Nasjonal sikkerhetsmyndighet er bra. 14 NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT Q2/Q Foto: Shutterstock

15 Dersom vi ønsker å beskytte informasjonen vår, bør vi ha fokus og kunnskap om hva som er teknisk mulig å gjøre med informasjon på nett og hvordan dette gjøres i praksis. Dette gjelder oss som nasjon, virksomheter, bedrifter og privatpersoner, sier seniorrådgiver Roar Thon i NSM. I en serie med blogginnlegg på Sikkerhetsbloggen har Thon satt fokus på hvor sårbar enkeltpersoner, bedrifter og virksomheter er i dagens kommunikasjonssamfunn. NSMs hovedoppgave er, noe forenklet; å koordinere og bidra til at det norske samfunnet sikrer våre verdier best mulig både fysisk og virtuelt. Tidligere var dette en enklere oppgave fordi informasjonen enten var i hodet på menneskene, eller i form av et fysisk objekt som et stykke papir. Det har aldri vært enkelt å sikre menneskene, men det var noe enklere å sikre et stykke papir. I dag er papiret virtuelt og befinner seg kanskje 20 forskjellige steder. Teknologidirektør i Microsoft Norge, Shahzad Rana, sa under et foredrag for noen måneder siden følgende: «Get comfortable being uncomfortable». Det er vanskelig å være uenig, selv om det er en trist erkjennelse! Løst oversatt kan vi si at det eneste som er sikkert er at ingenting er sikkert! Derfor er det viktigere enn noen gang å være bevisst på at du selv må bidra til å redusere risikoen for at din informasjon kan bli lest av andre. Det kan være et viktig utgangspunkt å tenke at informasjon som skal ut via Internett allerede er på avveie og handle deretter, sier Thon. ØKNING I BRUK AV SOSIALE MEDIER De siste seks årene har sosiale medier som Facebook og Twitter blitt en naturlig del av hverdagen for en stor del av den norske befolkningen. Dette har åpenbart en rekke positive effekter, også for bedrifter og virksomheter, men det finnes også fallgruver, både i forhold til omdømme, men mer alvorlig, i forhold til at informasjon kan komme på avveie. Så sent som i juli i år skrev VG om at Forsvaret hadde advart sitt personell mot en falsk Facebook-profil. Den falske profilen var en «kvinne» som forsøkte å bli venner med forsvarspersonell som hadde tjenestegjort eller fortsatt tjenestegjør i Afghanistan. Noen soldater var også spurt om å opprette kontakt på Skype. Det oppgitte navnet på kvinnen eksisterer ikke i Norge og profilen fremstår ifølge Forsvaret som «falsk». Dette er bare ett eksempel på en fremgangsmetode som kan brukes for å få tilgang på informasjon. Mange vil sikkert si at det de skriver på Facebook og i andre sosiale medier har ingen betydning. Det er fristende å svare at denne holdningen er både naiv og blåøyd. Din informasjon, uansett hvor banal, kjedelig og rutinemessig den kan være, har uansett en verdi og ikke bare for deg. Vi har alle behov for å ha noen «hemmeligheter» i livet vårt og selv om du kanskje ikke ser behovet nå, vil du kanskje se annerledes på det om noen år, sier Thon. «BIG DATA» Mengden av informasjon som publiseres i sosiale medier av «mannen i gata» er allerede enorm. I 2011 skrev blant annet BBC at forskere kalkulerte omfanget av lagret materiale i 2007 til 295 exabytes. Dette tilsvarer mer enn en milliard harddisker på «normalstørrelse». Denne datamengden har økt dramatisk de siste seks årene. NSM har lenge vært bekymret for at informasjonen og detaljene som mange valgte å eksponere via sosiale medier, ville bli samlet, analysert og brukt til ulike formål som ikke var ønskelige. Vi ser at denne type informasjon nå blir samlet inn, bearbeidet og brukt til blant annet sosial manipulasjon i ulike former. Det er også verdt å tenke på hva informasjonen kan brukes til. Det kan ramme deg som enkeltindivid, men det kan også gå utover arbeidsgiveren. Den risikoen kan være høyere hos noen enn andre, men det er trusselaktørene og deres skjulte hensikter og mål som til syvende og sist påvirker interessen for deg og din informasjon, sier Thon. For at NSM skal kunne gjøre jobben med å sikre informasjon, er vi avhengig av god grunnsikring i samfunnet, og det inkluderer at Ola og Kari Nordmann bidrar til å sikre informasjon best mulig. KVARTALSRAPPORT Q2/Q NASJONAL SIKKERHETSMYNDIGHET 15

16 NORCERT SIKKERHETSFORUM På en skyfull og sommerkald junidag åpnet NorCERT igjen dørene til storsalen på Hotel 33 for NorCERTs sikkerhetsforum. SCADAsikkerhet [1] var forumets fokusområde. NorCERT er i ferd med å bli forsterket, blant annet gjennom vaktbemanning 24 timer i døgnet, og styrking av deteksjon, blant annet i form av en dedikert big dataingeniør og et fremtidig virtuelt sensorsystem. NorCERT har også ansatt en egen kunderelasjonsadministrator (key account manager) som gir oss en mye bedre mulighet til å kommunisere og i større grad samhandle med medlemmer og partnere. Torgeir Vidnes fra NorCERT entret scenen for å fortelle om håndterte hendelser i NorCERT det siste halvåret. Tradisjonen tro kunne han fortelle om en kraftig økning av håndterte saker, men spesielt for de siste to kvartalene var en enorm økning av rapporter om infiserte norske nettsteder. Også for alvorlige hendelser hadde det vært en økning i forhold til tidligere perioder. NorCERT ser også at media plukker opp flere og flere saker. Telenor-saken [2] ble her dratt frem som et eksempel som fikk mye medieoppmerksomhet. Selv om det fremdeles registreres mange spear phishing-forsøk har NorCERT observert en økende trend med strategiske nettstedkompromitteringer (populært kalt vannhullsangrep [3] ). Eksempler som Vidnes dro frem var kompromitteringer av nettstedene ihs.com og ceps.be som resulterte i kompromitteringer i Norge. Videre fortalte Vidnes om økningen av antall VDI-sensorer og de utfordringene som kommer med det, det var på det tidspunktet fire nye medlemmer som skulle inn og hele tretten stykker 16 NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT Q2/Q3 2013

17 som stod i kø. Han nevnte, den virtuelle VDI-plattformen NorCERT jobber med, som de ønsker å begynne utrulling av i løpet av I lys av forumets SCADA-tema hadde NorCERT invitert Eireann Leverett fra IOActive til å holde to foredrag. Leverett er et kjent navn innen SCADA-sikkerhetsmiljøet, og ble i 2012 enda videre kjent etter han publiserte sin avhandling [4] om sikkerhet i SCADA-systemer som avslørte over systemer som var tilgjengelige via Internett. Når det kommer til SCADAsikkerhet nevnes ofte Stuxnet, som var den første virkelig store hendelsen som fikk mye medieoppmerksomhet. Leverett hadde derfor valgt å holde et foredrag om SCA- DA-sikkerhetshendelser før Stuxnet, hvor han dro frem ti forskjellige interessante hendelser som belyste SCADA-sårbarheter og -utfordringer. I det andre foredraget fortalte Leverett om sine funn tilknyttet til avhendlingen sin, og om hvordan man kan benytte søkemotoren Shodan til å finne sårbare SCADA-systemer på Internett. Konklusjonen her var klar; luftspalten [5] er ikke så luftig som mange tror. Mellom all SCADA-praten holdt representanter fra NorCERT et foredrag om hva de mener definerer APT [6], samt implikasjonene av å være utsatt for et APT-angrep. APT er et mye og vidt brukt begrep, men burde ifølge dem benyttes i sammenheng med angrep fra persistente aktører som opererer målrettet mot en organisasjon hvor det benyttes tidligere kunnskap for å forringe verdiene til organisasjonen. Kort oppsummert dreier det seg om spionasje, bare at den klassiske ressurskrevende spionen er erstattet med rimelige cybersoldater og trojanere. De poengterer også at det å være utsatt for et APT-angrep kun er et symptom; implikasjonene av selve angrepet er at organisasjonen har verdier som er interessante for andre aktører og at organisasjonen er havnet i måløyet til en aktør. Dette betyr igjen at aktøren allerede har innhentet mye informasjon om organisasjonen og at flere angrep mest sannsynlig er i horisonten. Tom Helge Skari fra mnemonic fikk æren av å runde av showet med en demo. Scenarioet var en PLS [7] som var en del av et kontrollsystem for en tenkt dam, og målet var å oppnå kontroll over denne og åpne slusene på dammen. I scenarioet var kontrollsystemet eksponert via en terminal for fjernstyring. Ved å få lurt inn en tilsynelatende vanlig datamus utstyrt med en Teensy-brikke [8] fikk Skari kontroll over terminalen og kunne videre enkelt benytte Metasploit-rammeverket [9] til å manipulere PLS via den kompromitterte terminalen. Demospøkelsene holdt seg unna og vi kunne med egne øye observere at sluse-lysene på PLS-en slo seg på (som igjen indikerte at den stakkars landsbyen nedenfor dammen fikk en fuktig dag). Det å være utsatt for et APT-angrep er kun er et symptom; implikasjonene av selve angrepet er at organisasjonen har verdier som er interessante for andre aktører og at organisasjonen er havnet i måløyet til en aktør. [1] [2] [3] [4] [5] [6] [7] [8] [9] KVARTALSRAPPORT Q2/Q NASJONAL SIKKERHETSMYNDIGHET 17

18 KRAFTSENTER FOR FORSKNING PÅ CYBER- OG INFORMASJONSSIKKERHET Landets tyngste aktører innen sikkerhet går sammen om å skape et nytt forskningssenter innen Cyber- og informasjonssikkerhet ved Høgskolen i Gjøvik, som vil gi Norge en ledende rolle innen digital sikkerhet. Moderne teknologi gjennomsyrer hele det norske samfunnet. Alt fra trafikklys til oljeutvinning er avhengig av IKT for å fungere. Denne avhengigheten har gjort oss mer sårbare. Forsvarets nye langtidsplan fremhever Cyber som et operasjons- og trussel- område på lik linje med luft, land og sjø. OM SENTERET Senteret vil bygges opp med utgangspunkt i Høgskolen i Gjøviks Norwegian Information Security Laboratory, NISLAB, som er ett av Europas største akademiske informasjons-sikkerhetsmiljøer med omtrent 35 årsverk fordelt på 50 ansatte. 20 av stillingene er rekrutteringsstillinger (PhD studenter og postdoktorander). Høgskolen i Gjøvik er den eneste forskningsinstitusjonen i Skandinavia med dedikerte studieprogrammer i informasjonssikkerhet på både Bachelor, Master og PhD nivå. Høgskolen i Gjøvik dekker fagmessig hele informasjonssikkerhets bredden, fra informasjonssikkerhetsledelse, beskyttelse av kritisk infrastruktur, cyberforsvar og digital etterforskning til hacking, penetrasjonshåndtering og kryptologi. På Masterprogrammet i informasjonssikkerhet tilbyr høyskolen tre studieretninger, en i informasjonssikkerhetsledelse, en i digital etterforskning og granskning, og en i informasjonssikkerhetsteknologi. Forskningssenteret markerer starten på en unik, innovativ og historisk satsing på informasjonssikkerhet, som vil plassere Norge i en ledende rolle innen digital sikkerhet. Det nye senteret vil få betydning både nasjonalt og internasjonalt. Center for Cyber- and Information Security ved Høgskolen i Gjøvik vil bygge videre på et allerede sterkt miljø innenfor informasjonssikkerhet. Initiativtakerne «Svak informasjonssikkerhet og cybersikkerhet har blitt en alvorlig trussel mot vår kritiske infrastruktur, industri, offentlige administrasjon, finansinstitusjoner, forsvarsevne, vår evne til å forhindre og etterforske forbrytelser, og mot våre borgeres personvern og rettssikkerhet» MORTEN IRGENS, VISEREKTOR HIG 18 NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT Q2/Q3 2013

19 Foto: Høgskolen i Gjøvik vil vi i første omgang allokere nesten 14 årsverk, inkludert opprettelsen av ti nye professorater. Dette vil styrke både undervisning og forskning ved høgskolen betydelig. ET BREDT INITIATIV En samlet justiskomité skriver i Samfunnssikkerhetsmeldingen at det bør etableres et nasjonalt forskningssenter i informasjonssikkerhet ved Høgskolen i Gjøvik. Mindre enn en uke senere tar en rekke organisasjoner oppfordringen på alvor og oppretter «Center for Cyber- and Information Security» ved Høgskolen i Gjøvik. Initiativtakerne inkluderer Nasjonal sikkerhetsmyndighet (NSM), Politidirektoratet, Politiets sikkerhetstjeneste (PST), Cyberforsvaret, Forsvarets Forskningsinstitutt (FFI), Telenor, Statkraft, Statnett og Eidsiva, Økokrim, Kripos, Nasjonalt IDsenter, PwC og Oppland Fylkeskommune, og invitasjon står åpen til flere organisasjoner som ønsker å være med på initiativet. Det nye senteret ble lansert i forbindelse med NSM`s 10 års-jubileum. På Masterprogrammet i informasjonssikkerhet tilbyr høyskolen tre studieretninger, en i informasjonssikkerhetsledelse, en i digital etterforskning og granskning, og en i informasjonssikkerhetsteknologi. Senteret vil utvikle samarbeidet med Forsvarets Ingeniørhøyskole som leverer Forsvarets nye cybersoldater og Politihøyskolen som vil bygge politiets evne innen anvendt etterforskning, cyberkriminalitet og etterforskning av digitale spor. Det er senterets intensjon å etablere samarbeidsavtaler med IBM, HP og Microsoft for å muliggjøre stipender for å tilbringe et semester ved deres cyberforskningssentre. Senteret vil også knytte tverrfaglige bruer imellom cybersikkerhetsforskning innen teknologi, juss og rettssikkerhet, ledelse, utenrikspolitikk, konfliktforskning og personvern. Senteret er innstilt på å bruke den tiden det tar på å fylle stillingene og lete aktivt etter passende kandidater. Høgskolen, etatene og næringslivsdeltakerne som er partnere i senteret, vil gå sammen ut internasjonalt for å rekruttere de beste fagfolkene som er å finne innen de ulike kategoriene. Målet er at senteret kan åpne offisielt 1. januar 2014 og være i full drift 1. januar «There is an opportunity here to establish Norway with another reputation as the cyber security academic center where innovation and sophistication are created to deal with this highly complex problem. That is what I believe you have in the making» CARLOS SOLARI, TIDLIGERE CIO I DET HVITE HUS UNDER OBAMA ADMINISTRASJONEN KVARTALSRAPPORT Q2/Q NASJONAL SIKKERHETSMYNDIGHET 19

20 SLIK ER DET Å JOBBE I NSM Nasjonal sikkerhetsmyndighet er i vekst, og i år ansetter vi mange personer. Vi tok en prat med noen av de ferskeste ansatte i NSM, om hvorfor de valgte å jobbe akkurat her, og hvordan førsteinntrykket er. Simon Kiil HVA ER DIN BAKGRUNN? Jeg er utdannet jurist fra Universitetet i Tromsø. Jeg var ferdig i desember 2012, og jeg begynte i NSM april Under studiene var jeg saksbehandler og daglig leder i rettshjelpstiltaket «Jusshjelpa i Nord-Norge» som tilbyr gratis rettshjelp til de som ikke kan få hjelp på annen måte. Før studiene var jeg seks år i Forsvaret, i Stormeskadron i Panserbataljonen på Setermoen i indre Troms. Jeg er født og oppvokst i Oslo, men har ikke bodd der på over 14 år. Har akkurat solgt leilighet i Tromsø, og leter etter et sted å bo i Oslo sammen med kona. HVORFOR NSM? Jeg skrev masteroppgave om cyberangrep som «væpnede angrep» etter FN-paktens artikkel 51, og ble da interessert i CERT funksjonen, i denne sammenhengen CERT-EE, da jeg analyserte angrepet på Estland. I tillegg brukte jeg noe bakgrunnsinformasjon fra NSM i oppgaven, som gjorde meg nysgjerrig på feltet forebyggende sikkerhetstjeneste. Da det åpnet seg en stilling i desember var det ikke noe tvil om at jeg skulle sende inn en søknad. HVA SYNES DU ER SPENNENDE ELLER UTFORDRENDE VED Å JOBBE I NSM? Jeg synes det er utrolig motiverende og spennende å jobbe i en organisasjon som innehar så mye kompetanse som NSM. Det medfører at man må være «på» hele tiden, og oppdatere seg konstant, for å kunne gi juridiske råd og veiledning som tilsvarer nivået på alt det andre arbeidet som foregår i NSM. NSMs tverrfaglige sammensetning gjør at man må forholde seg til et vidt spekter av problemstillinger som fører til at nesten ingen arbeidsdager er like, og at man ofte blir presentert spørsmål man vanskelig kunne ha tenkt ut selv. HVORDAN ER DET Å VÆRE NYANSATT? Nå har jeg jobbet her i ca. fire måneder og trives bedre og bedre. Det er en spesiell organisasjon som det tar litt tid å bli kjent med, men jeg har blitt tatt godt i mot og fått mange konkrete arbeidsoppgaver som gjør det enklere å få oversikten. Som nyutdannet må man også sette seg inn i offentlig forvaltning i praksis, noe som ikke er gjort på en dag, så det har vært en forholdsvis hektisk periode. Jeg synes jeg får meget god oppfølging og opplæring og har bare møtt hyggelige og hjelpsomme folk, så det har vært en meget positiv periode. 20 NASJONAL SIKKERHETSMYNDIGHET KVARTALSRAPPORT Q2/Q3 2013