Trusler i det digitale rom (del 1)

Transkript

1 Trusler i det digitale rom (del 1) If you know the enemy and know yourself, you need not fear the result of a hundred battles. If you know yourself but not the enemy, for every victory gained you will also suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every battle. Sun Tzu, The Art of War 2014 twitter.com/tabalizer - Vir prudens non contra ventum mingit! 1

2 Innledning Med Sun Tzus Art of War 1 som bakteppe har jeg valgt å begi meg ut i et lite minefelt, vel vitende om at jeg antakelig kan bli avkledd og debattert. Egentlig tenkte jeg å ytre noe om dette på twitter, langt mindre skrive en innledning. Men innså at å mene noe om sikkerhet og trusler i det digitale rom på 160 tegn, inkludert hashtags var umulig! Problemet ble så å begrense seg! Bakgrunnen for å mene noe som helst om temaet er vel at jeg over lang tid har småirritert meg over begrepsbruk og for meg en bransje med alt for ensidig tilnærming til de sikkerhetsutfordringer vi står overnfor. Målet er ikke å harselere med de jeg er uenig med, de som gjør ting på andre måter, ei heller at jeg nødvendigvis har 100% rett, men jeg håper at jeg kan bidra til noen meningsytringer og konstruktiv debatt for hvordan vi skal forebygge, avdekke og håndtere sikkerhetshendelser i digitale rom i tiden fremover. Jeg har over tid luftet en del av mine meninger og hentet inspirasjon fra mitt twitterkollektiv 2. Jeg har også latt meg inspirere av den del blogger 3 som jeg selv mener treffer godt. Forbehold De meninger og tanker jeg fremlegger er mine egne, og er basert på min kunnskap og erfaring gjennom arbeid med forebyggende sikkerhet, hendelseshåndtering og etterforskning av villede handlinger. Ved utarbeidelse av innholdet i dette dokumentet har jeg lagt til grunn at offentlig tilgjengelig informasjon er riktig og fullstendig, og etterprøving av slike opplysninger er derfor ikke foretatt. Alle ytringer, vurderinger og antagelser om temaet, fremtidig utvikling eller lignende utsagn i denne rapporten som viser til annet enn historiske fakta (fremtidsrettede utsagn), gjenspeiler mine egne private vurdering og oppfatning på det tidspunkt innholdet ble publisert. Selv om jeg har lyst til å legge frem min vurdering av trusselbildet, har jeg valgt å ikke beskrive dette, ut over å nevne selvfølgeligheter i denne omgang. Å gå inn i en materie relatert til spesifikke aktører med beskrivelse type trusler og trusselklasser, modus- operandi samt vurderinger av intensjon, motivasjon og ønsket sluttmål egner seg uansett dårlig i det offentlige rom. Likevel vil jeg tro at enkelte finner noe av det jeg har skrevet interessant. Dokumentet vil være gjenstand for endring og revidering. Blir jeg gjort oppmerksom på forhold som er direkte feil eller krever endring, vil jeg endre dette og oppdatere dokumentet twitter.com/tabalizer - Vir prudens non contra ventum mingit! 2

3 Innledning... 2 Forbehold... 2 Trusler rettet mot det digitale rom Den Norske Modellen Ett skråblikk... 6 Trusselbegrepet... 8 Begreper... 8 Compliance Security... 9 Trusselforståelse Faktorer for adekvat sikring Trusselforståelse Sikring Hendelseshåndtering Incident Respons Avslutning Hvordan bli bedre? Referanser: twitter.com/tabalizer - Vir prudens non contra ventum mingit! 3

4 Trusler rettet mot det digitale rom. Med det digitale rom menes fysiske eller logiske sammenkoblinger av informasjonssystemer. Fysiske og virtuelle nettverksenheter, kommunikasjonsinfrastruktur, media og data. Ordet digitale rom eller cyberdomenet er i seg selv vanskelig. For mange blir det abstrakt og vanskelig å forholde seg til. Dette har ført til at sikkerhet og trusler i det digitale rom, har blitt en arena for teknologier. Det er teknologer som har definert tilnærmingen, sikkerhetsmetodikken og derigjennom anvender begrepene til forskjell fra tradisjonell sikkerhet. Dette får noen konsekvenser. Bilde: Skjermbildet fra filmen War Games 1983 Ondsinnet villede handlinger i det digitale rom, er en av de raskest voksende truslene mot samfunnet og samfunnskritisk infrastruktur, næringsvirksomheter og privatpersoner. Angrepene kommer fra en rekke aktører, men ofte nevnes statlige og ikke- statlige aktører, eksempelvis fra andre lands militære forsvar, etterretningstjenester, organisert kriminalitet, terrorist- og ekstremistgrupper, konkurrerende forretningsvirksomheter og individuelle hackere. Den mest alvorlige trusselen kommer fra stater eller kontraktører som agerer på vegne av stater. Likevel ser vi at enkeltaktører slik som opportunister og såkalte script- kiddies 4 og angrep utført av disse kan få store konsekvenser. Ddos angrepene på blant annet Norsk Tipping, PST og DnB viste dette 5. Kriminalitet og ondsinnet villede handlinger i det digitale rom er ofte forbundet med kompromitteringer av datasystemer, defacing av websider, banktrojanere, tjenestenekt og malware angrep osv. KRIPOS skriver blant annet i sin analyse: Den organiserte kriminaliteten i Norge, Trender og utfordringer Organisert kriminalitet består i økende grad av uformelle og fleksible nettverk som samarbeider på tvers av nasjonalitet, etnisitet og annen kulturell tilhørighet. Større mobilitet og lettere tilgang til teknologi gjør det mindre viktig for kriminelle aktører å være tett organisert geografisk og hierarkisk 2014 twitter.com/tabalizer - Vir prudens non contra ventum mingit! 4

5 Kriminelle bruker i økende grad informasjonsteknologi for å begå kriminalitet, som for eksempel bedrageri, distribusjon av narkotika og doping samt i annonsering og rekruttering av potensielle ofre for menneskehandel og til forenkling av ulovlig migrasjon. Angrepene rettet mot IKT- systemer har økt betraktelig dette innbefatter blant annet datainnbrudd, digital spionasje, hacking og nettbankbedragerier. I forbindelse med enkelte angrep har kjente hackergrupper, også norske, stått frem nettverk i russland og i en rekke tidligere Sovjetstater er sentrale aktører Dette er ikke noe ny viten, men det viser endelig en aksept for at modus- operandi har endret seg grunnet den teknologiske utviklingen. Hvilke tanker jeg selv har hatt om denne utviklingen kan du lese noe senere i dokumentet, men jeg ser at KRIPOS sin analyse fortsatt bærer preg av en klassisk tilnærming til datakriminalitet og et for lite fokus på hvordan teknologi inngår i verktøykassen for å begå tradisjonell kriminalitet. Kapasitet & Kapabilitet Intensjon, motivasjon og ønsket sluttmål 2014 twitter.com/tabalizer - Vir prudens non contra ventum mingit! 5

6 Den Norske Modellen Ett skråblikk Da jeg satt som rådgiver og fagansvarlig for sikring og analyse av elektroniske spor ved Oslo politidistrikt rett etter årtusenskiftet, med blant annet oppgaver som å etterforske datakriminalitet 7 og straffesaker relatert til kriminelles bruk av høyteknologi, var trusler i det digitale rom et tema som kun var for spesielt interesserte. At det allerede da ble begått datakriminalitet, og datastøttet kriminalitet som påførte samfunnet betydelig tap, var det få eller ingen som tok spesielt alvorlig. At organiserte kriminelle, blant annet fra ransmiljøer allerede da hadde tilknytninger til svært kompetente kriminelle datamiljøer i Norge ble tillagt mindre betydning. Det at kriminelle miljøer begynte å ta i bruk det digitale rom, og informasjonsteknologi som verktøy for å begå tradisjonell kriminalitet ble etter hvert en kjennsgjerning og økningen av beslag som skulle analyseres med tanke på elektroniske spor vokste ut av alle proporsjoner utover 2000 tallet. I dag er heldigvis forståelsen og aksepten av trusler i det digitale rom og viktigheten av elektroniske spor kommet på dagsorden. Dessverre måtte det hendelser slik som 22.7 og enkelte drapssaker til for å få fart i sakene mtp ressurser. Fra Økokrim etablerte sitt datakrim team i 1995, tett fulgt opp av etableringen av Oslo politidistrikts datakrimenhet i 1999 tallet, tok det 15år før det ble sving i sakene. Selv om det i dag er et talls stillinger knyttet til etterforskning av datakriminalitet og datastøttet kriminalitet, er det fortsatt kun Kripos og Oslo politidistrikt som har ressurser med en viss kapasitet og kapabilitet 8. Når det kom til sikring av nasjonale interesser, ble det etter initiativ fra etterretnings- og sikkerhetstjenestene opprettet varslingssystem for digital infrastruktur (VDI) 9 høsten 2000 og ble fra 2003 etablert fast og med administrativ forankring i NSM. På dette tidspunktet var VDI banebrytende i tankesett og form. Nå 13 år etter etableringen er VDI fortsatt tilsynelatende IDS basert, med sterk fokus på avdekke og identifisere malware og DDoS- angrep ved hjelp av sensorer tilknyttet samarbeidspartnere. NSM/NorCERT 10 som ivaretar VDI er i tillegg Norges nasjonale senter for håndtering av alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon. NorCert har fått et betydelig ansvar og gjør et svært godt stykke arbeide innenfor analyse av malware og ondsinnet trafikk, men det er likevel i denne konteksten interessant at hverken Telenor, EVRY eller NRK 11 er knyttet til VDI, - det er for meg ukjent om Cyberforsvarets infrastruktur er knyttet til VDI. Cyberforsvaret 12 ble etablert september 2012 og er en militær organisasjon som drifter, sikrer og forsvarer forsvarets datasystemer, nettverk, og høyteknologiske plattformer mot angrep i og fra cyberdomenet. Personlig er jeg svært glad at Norge nå har fått på plass sitt eget Cyberforsvar. Jeg håper og tror Cyberforsvaret i nær fremtid kan få en bredere og mer aktiv rolle som kan støtte det sivile samfunnet med håndtering av trusler i cyberdomenet. I det norske forsvar er Cyberdomenet nå anerkjent og fult ut akseptert som det femte domenet for krigføring. 13 Denne arenaen er noe annerledes enn de andre fire domenene land, luft, sjø og rom. Det er likevel gjengs oppfatning om at 2014 twitter.com/tabalizer - Vir prudens non contra ventum mingit! 6

7 cyberspace ikke er et eget domene for krig, da datanettverk gjennomsyrer alle andre domener i en militær konflikt. Hæren har tross alt ingen fregatter, luftforsvaret har ingen stridsvogner, og sjøforsvaret har ingen fly, men alle har command- and- control sentere knyttet sammen i et datanettverk. Med konvensjonelle øyne er det derfor vanskelig å se at det vil kunne utspille seg en ren krig i Cyberspace - at krigshandlinger vil foregår i cyberspace er derimot nær sagt en selvfølge, men da som en multidomenekonflikt. Etterretningstjenesten 14 har en viktig rolle for rikets sikkerhet. Tjenesten har ansvar for å forebygge og holde oversikt over trusler fra utlandet, mens politiet, spesielt PST 15 og Kripos 16 skal håndtere trusler innenlands. Jeg har ikke tenkt å skrive så mye om våre EOS tjenester, men det blir spennende å følge munkene på Lutvann 17, og hvilken rolle de vil få for utviklingen av samfunnssikkerheten i årene fremover. Trusler relatert til det digitale rom er utvilsomt et område som bør og vil få fokus. Som ett apropos: I kjølvannet av Snowden 18 - sirkuset har vi sett hvor sårbart det er når hemmelig informasjon blir stjålet og lekket. Når vi i tillegg ser at tabloidpressen 19 spekulerer og mistolker innholdet fra dokumentene relatert til innsamling av elektroniske spor for legitime etterretningsformål, skjønner man fort at skadepotensialet blir stort. Dette sier noe om den manglende forståelse for og viktigheten av etterretning, sikkerhet og elektroniske spor. Etterretning er ikke bare viktig i det digitale rom, men er kritisk i all kriminalitetsbekjempelse og sikring av nasjonens interesser. Privat sektor spiller en svært viktig rolle. Jeg vil spesielt fremheve Telenor sin offensive satsing på cybersecurity 20. Deres securityledelse og tilhørende TSOC 21 har i flere år vist at de tar sitt samfunnsansvar seriøst. Min subjektive mening er at Telenor innehar en av de beste miljøene innen cyber security i dag og bidrar på en rekke arenaer, både med kritisk tenking som utfordrer sikkerhetsmyndighetene 22 og operativ håndtering av små og større sikkerhetshendelser. Jeg liker spesielt holdningen: Hvordan virksomhetene oppdager at det foreligger en trussel, er nøkkelen til et godt forsvar Selv om det er mange aktører både offentlig og privat er jeg er redd dagens offentlige modell med NorCERT i spissen ikke er slagkraftig nok til å forebygge, oppdage, håndtere og forfølge hendelser i det digitale rom rettet mot sivil sektor. Fremtidens modell må fungere på et operativt, taktisk og strategisk nivå, og etter min mening må den blir mer etterretningsdrevet. Den må fungere godt i grenseskillet mellom kriminalitetsbekjempelse og samfunnssikkerhet. Den må også fungere godt for de som i praksis ivaretar grunnsikringen og ikke bare det som er omfattet av sikkerhetslov og objektsikkerhetsforskriften. Jeg er også noe skeptisk til opprettelsen av sektorvise CERT er. Isolert sett applauderer jeg initativet, men jeg redd at det i praksis blir vanskelig å opprettholde god kvalitet. Hvor skal kompetansen hentes og rekrutteres fra? IT- miljøene og de andre eksisterende CERT? 23 Jeg er igjen redd at vi får en hær med CERT personell som har ett for snevert og rent teknisk perspektiv på sikkerhet. Jeg er redd for at god kompetanse pulveriseres og spres, og at den kritiske masse med kompetanse 2014 twitter.com/tabalizer - Vir prudens non contra ventum mingit! 7

8 ikke lar seg etablere. Jeg er redd for at evnen til å vurdere trusselbildet og kunnskap for hvordan man kan detektere en trussel blir for svak. Jeg håper jeg tar feil, og kun tiden vil vise hvor vellykket satsingen blir. Trusselbegrepet Jeg registrerer at bruken av ordet trussel og at det foreligger en trussel ofte benyttes når det menes at det er avdekket en sårbarhet i ett eller annet system eller i en sikkerhetsbarriere. Akkurat som at det er sårbarheten i seg selv som utgjør en trussel. På samme måte blandes risiko med begrepet trussel. At det foreligger en risiko er heller ikke ensbetydende med at det foreligger en trussel. Begreper Blandingen av begreper og da spesielt begrep slik som sårbarheter og trusler gjør at det oppstår forvirring. Spesielt ser jeg denne begrepsblanding i IT- sikkerhetsmiljøene. Selv om en del av de samme begrepene også blandes i de tradisjonelle sikkerhetsmiljøene, opplever jeg det i langt mindre grad. Jeg tror det kan ha noe med bakgrunn å gjøre. Standarden NS5830: (Beskyttelse mot tilsiktede uønskede handlinger - Terminologi) definerer trussel slik: Trussel: mulig uønsket handling som kan gi en negativ konsekvens for en entitets sikkerhet Med andre ord, en trussel oppstår først når vi har en aktør som har en (mulig) intensjon og motivasjon til å true gitte verdier, ressurser og/eller kapasiteter med behov for sikring. Altså må noen ha iverksatt eller kunne komme til å iverksette en uønsket handling for at det skal eksistere en trussel. Hvorvidt det eksisterer sårbarheter eller ikke, er i prinsippet underordnet, trusselen kan materialisere seg uten en kjent sårbarhet. Angrepet på Nobelinstituttet i er et godt eksempel på dette. Derimot, om en trussel representerer en fare eller om det utgjør en risiko avhenger av hvorvidt trusselaktøren har en kapasitet og en kapabilitet til å trenge gjennom eller utnytte sårbarheter, eller på annen måte kan omgå sikkerhetsregime/barrierer som er satt til å sikre verdier - angrepet på Nobelinstituttet er igjen et godt eksempel. At døren står åpen eller er sårbar for utnyttelse er ingen trussel i seg selv, ei heller trenger det å være noen risiko eller fare forbundet med det. Det er her mange synder godt hjulpet av media. 26 Det hjelper heller ikke at miljøene roper ULV ULV i håp om økte budsjetter, kredibilitet eller en ekstra ordre. Som en liten kuriositet mens vi er inne på begrepsbruk; Ordene kapasitet og kapabilitet er også vanskelig. Kapasitet er først og fremst knyttet til en aktørs evne mens kapabilitet er knyttet til hvor godt en aktør klarer å utøve denne evnen. Eksempelvis (litt enkelt sagt): Hvis trusselen består av en person med en stor slegge så er det en beskrivelse av trusselaktøren kapasitet. Hvis trusselen 2014 twitter.com/tabalizer - Vir prudens non contra ventum mingit! 8

9 består av 1 personer med 1 større slegge foreligger det en større kapasitet enn førstnevnte. Hvor dyktig aktøren er til å bruke sleggen kan fortelle noe om kapabiliteten. Compliance Security Compliance Security er et begrep jeg bruker når fokuset på forvaltere av verdier er mer opptatt av å tilfredstille en sjekkliste og eksterne kravstillere enn å forholde seg til reell risiko. Dette er en trend som bekymrer meg. Compliance Security kan være bra for grunnsikringen, og for å etablere beste praksis, men kan fort bli en hvilepute som fort blir ubehaglig å sove på. Compliance og grunnsikring er viktig. Men likevel får jeg ofte en følelse av at fokuset på å være compliant og det å kunne etterleve krav om grunnsikring tar bort fokuset på reell risiko. På en samling rett før jul snakket jeg med en anerkjent og dyktig CISO tilknyttet bank/finans. Jeg provoserte litt og spurte hvorfor de var så ensidig fokusert på sårbarheter og ikke trussel? Først forstod ikke CISO en spørsmålet, men når jeg forklarte fikk jeg som svar: De hadde liten kunnskap om trusler. Tilsyn, kravstillere, revisjon og myndigheter fokuserte mest på sårbarheter, og når det var sagt, så hadde de mer enn nok med grunnsikring og etterlevelse! Da jeg gikk litt nærmere inn i materien og beskrev informasjonsverdier og spurte hvem som hadde ansvar for dem, så fikk jeg til svar at det var CISO en. Flott tenkte jeg og så lys i mørket og jeg og fulgte opp med ett nytt spørsmål: Hva skjer hvis en tenkt trusselaktør oppsøker en ansatt som er i besittelse av konfidensiell informasjon, for så å true den ansatte til å gi fra seg informasjonen, og om nødvendig utøve vold? Jeg fikk da til svar: Da er det et HMS issue og ansvaret for dette ligger under HMS avdelingen Vi avsluttet debatten og vel vitende om at her var vi ikke samkjørte på verken forståelse eller begreper. For øvrig var vi veldig enige om mye annet! Det denne samtalen forteller meg er at en av de mest profilerte sikkerhetsmiljøene innen finans verken har fokus eller kunnskap på en av de viktisgte premissgiverene for risikoforståelse. For å vurdere risiko så er det etter min mening viktig å vurdere Verdier Trusler Sårbarheter, og i den rekkefølgen. Dette beviser også at en del av miljøene fortsatt tror at så lenge man har kontroll på sårbarhetene (isolert sett) så er man golden, og jeg husker at for noen få år siden kunne man lese følgende i ett av våre IT tidsskrifter 27 : Vår metodikk kartlegger sårbarhetene. Det er ikke nødvendig med penetrasjonstester for å finne ut hvor man er sårbar. Vi mener penetrasjonstester gir liten merverdi, fordi det reelle trusselbildet er mer dynamisk enn sårbarhetsbildet twitter.com/tabalizer - Vir prudens non contra ventum mingit! 9

10 Metodene for å utnytte sårbarheter endrer seg hele tiden. En metode som er kjent i dag er erstattet av en annen i morgen. Derfor foreslår vi utelukkende sårbarhetstesting Dessverre er det fortsatt mange som tror at sikkerhet handler kun om å avdekke sårbarheter. Trusselforståelse Hvorfor er innsikt en trusselaktørs modus- operandi, kapasitet og kapabilitet, intensjon, motivasjon og ønsket sluttmål viktig? På samme måte som et cyberforsvar innser at det ikke vil komme en ren cyberkrig, er det viktig å se parallellen om at trusler i det digitale rom ikke bare handler om at trusselaktøren kun er ute etter IKT- baserte verdier, ressurser og kapasiteter, men at trusselaktørene også benytter cyberdomenet som et virkemiddel eller angrepsvektor for å nå sitt sluttmål som i mange tilfeller befinner seg i den fysiske verden. Altså at trusselaktøren klarer å angripe gjennom eller via det digitale rom. Slik jeg ser det, er dette kunnskap, innsikt og forståelse som kanskje sitter langt inne hos mange IKT- sikkerhetsmiljøer. På ISF 28 sin høstkonferanse (Norsk Informasjonssikkerhetsforum) spurte jeg en foredragsholder hvorvidt de hadde erfart dataangrep i sammenheng med tradisjonelle angrep. Foruten sosial manipulering så hadde de liten eller ingen erfaring med dette. Dette er egentlig rart, da selskapet denne personen jobber for er et av de dyktigste, største, og med lengst erfaring innen it- sikkerhet og hendelseshåndtering. Årsaken til denne trenden kan være at dataangrep oftest blir håndtert av it- avdelingen og it- sikkerhetssjefen (CISO) med støtte av innleide ressurser fra IT sikkerhetsmiljøet. Tradisjonelle angrep slik som innbrudd, trusler, tyverier, underslag og bedragerier blir håndtert av sikkerhetssjefen (CSO) som gjerne er tilknyttet en annen del av organisasjonen. Min erfaring er at dette er miljøer som snakker og samarbeidet for lite, og forståelsen for hverandres utfordringer er liten. En trusselaktør som har som mål å tilegne seg konfidensiell eller sensitiv informasjon (informasjonsverdier) slår nødvendigvis ikke alltid til gjennom Internet. Eksempel: Tyveriet av flere datamaskiner med data om Sjtokman- utbyggingen fra det norske selskapet Multiconsult 29 viser at en trusselaktør benytter seg av den angrepsvektor som gir størst mulig sannsynlighet for suksess. Da hjelper det lite å ha verdens beste IDS system, oppdatert antivirus og redundante linjer når skallsikringen ikke klarer å motstå en trusselaktør, kun utstyrt med ett enkelt verktøysett slik som et brekkjern, og kunnskap om hvor verdien befinner seg. På den andre siden, så hjelper svært lite at man har alarm og ITV som avdekker/identifiserer at det har skjedd ett sikkerhetsbrudd, når sikkerheten ikke er balansert. Altså at sikkerhetsbarrierene ikke klarer å forhindre eller motstå ett angrep, og i denne forlengelse at det ikke er noe responsapparat eller evnen til å stoppe/avverge angrepet når angrepet detekteres, før trusselaktøren har gjort seg ferdig og fordunstet twitter.com/tabalizer - Vir prudens non contra ventum mingit! 10

11 Skjermbildet viser utsnitt fra overvåkningskamera ifm. tyveriet hos Multiconsult 30. (se fotnote for se hele videoen) Et slik anslag som rammet Multiconsult forutsetter at trusselaktøren besitter kapasiteter og kapabiliteter ut over det vanlige. Angrepet ble tilsynelatende gjennomført i løpet av ett par tre minutter, dette krever at aktøren har ressurser til å planlegge og gjennomføre anslaget. (se videoen og tenk selv) NB! Uten at jeg har kunnskap om hendelsen ut over det som har fremkommet i media så fremstår angrepet som godt planlagt og gjennomført. Slik sett så kan det virke som at det var INGEN sikringstiltak som fungerte denne dagen. Forhåpentligvis var datamaskinene kryptert og satt opp slik at data ikke lagres lokalt, dette være seg filer, temporære data eller i data i swap file. Trusler rettet mot, gjennom eller via det digitale rom og viktigheten av etterretningsbasert tilnærmelse er fortsatt et lerret som tar tid å bleke. Fordi (min mening) enheter som skal håndtere sikkerhetshendelser i det digitale rom (litt flåsete sagt), er mer opptatt av sårbarheter og angrepsvektorer slik som mangelfull sikkerhetsoppdateringer, sosialmanipulering, malware og d- dos enn trusselaktørens mest sannsynlige handlingsmåte og et helhetlig Security perspektiv. En trend som ivaretas av IT- avdelinger bestående av IT- personell med IT bakgrunn eller en IT utdannelse. Personell med sikkerhetsbakgrunn som har trusselforståelse og kunnskap om etterretningsdrevet tilnærming er sjelden kost og mangelvare. Jeg håper at etableringen av Center for Cyber- and Information Security ved Høgskolen i Gjøvik 31 sammen med etableringen av Forsvarets Etterretnignshøgskole vil styrke tilgangen på ressurser. I samme åndedrag er det naturlig å neven Forsvarets Ingeniørhøgskole på Jørstadmoen som også leverer kompetanse som den ikkemilitære del av samfunnet over tid vil dra nytte av. PS! Jeg har selv en teknisk utdannelse, og har selv møtt meg selv i døren flere ganger! 2014 twitter.com/tabalizer - Vir prudens non contra ventum mingit! 11

12 Da jeg på forskjellige konferanser i 2010 nevnte Anonymous 32 og i 2011 nevnte Lulzsec 33 som interessante trusler og trender man burde være obs på, var miljøene alt for opphengt i STUXNET og banktrojanere. Trusselaktørene jeg fablet om var satt i bås som gutteroms hackere og utgjorde ingen risiko. Sentrale aktører og miljøer har selv i dag liten innsikt i eller forståelse for aktører og fenomener slik som Anonymous. Mulig det er bare meg? En tanke som har streifet meg; Er den ensidige fokusen på sårbarheter og compliance et resultat av at de som er 1 ere i bransjen også er de dyktigste innen compliance og malware/ddos- analyser? Det man kan det fokuseres det på. Det man ikke kan fult så godt det nedprioriteres? Ergo: Fokusområdene defineres på bakgrunn av det miljøet selv kan noe om. Trusselforståelse og trusselvurderinger er som kjent et fagfelt som ikke får stor oppmerksomhet utenfor enkelte miljøer. Faktorer for adekvat sikring Hvis man skal ta Sun Tzu s lære på alvor har jeg stjålet og modifisert denne påstanden, og gjort den til min egen: Enhver virksomhet bør kjenne sine potensielle fiender, deres modusoperandi, motivasjon og intensjon, og om mulig deres ønsket sluttmål. Dette er avgjørende for å kunne sikre seg ut over det å ha en fornuftig grunnsikring basert på beste praksis og compliance! Har en ikke kontroll på hvilke verdier, ressurser eller kapasiteter som bør sikres, innsikt i hvem eller hva som truer og oversikt over hvilke sårbarheter som trusselaktørene kan velge å utnytte, vil man heller ikke kunne iverksette relevante sikringstiltak. Være det seg fysiske, logiske eller organisatoriske sikringstiltak For å dra en analogi til den fysiske verden som vi alle kjenner, så har jeg valgt å benytte eksempel relatert til åpne, lukkede og låste dører twitter.com/tabalizer - Vir prudens non contra ventum mingit! 12

13 Åpen dør: Utgjør en åpen dør en fare eller en sikkerhetsrisiko? Nei, det er ikke automatikk i det. Det avhenger av hvilke verdier som ligger bak døren og hvorvidt det er en trusselaktør som er ute etter verdien. Lukket dør: Utgjør en lukket dør en mindre risiko? Kanskje. Igjen avhenger det om hvorvidt det finnes en trusselaktør som er ute etter verdien, samt om han vet hvor døren er og hvordan han skal åpne den. Men noen reell sikring av verdien er det neppe. Hva så med en lukket og låst dør? Vil en lukket og låst dør minimere risikoen for at verdien blir kompromittert, kommer på avveie eller bli gjort utilgjengelig? Forhåpentligvis, men det avhenger igjen om det finnes en trusselaktør som er ute etter verdien og hvilken kapasitet/kapabilitet denne har til å åpne, dirke, eventuelt slå seg gjennom døren. Selv om man er compliant i forhold til kravstillere og vurderinger opp mot grunnsikring, så hjelper det lite hvis grunnsikringen ikke tar høyde for en relevant trussel twitter.com/tabalizer - Vir prudens non contra ventum mingit! 13

14 Trusselforståelse En av mine kjepphester har alltid vært å styrke evnen til å kunne avdekke og identifisere uønskede villede handlinger. Spesielt gjennom å ha kunnskap om relevante trusselaktører og deres sannsynlige handlingsmønster. Forutsetting for dette er at det finnes kunnskap i egen organisasjon basert på kvalitative risikovurdering med minimum fokus på verdi, trussel og sårbarhetsvurderinger 34. Det vet jeg er en utfordring og er kanskje ett ankepunkt mot en slik tilnærming. Grafikk: tabalizer, Bilder: Sikring Sikring av verdier, ressurser og kapasiteter er et stort felt som jeg ikke har tenkt å gå inn på dette i denne omgang. Likevel ønsker jeg å stille noen spørsmål. Hvordan vet man at sikringen fungerer, hvis man ikke har kunnskap om trusselaktørens modus- operandi, kapasitet og kapabilitet? Det hjelper som sagt lite å låse døren og være compliant så lenge sikringstiltaket ikke klarer å stå imot et anslag og ikke er balansert. Jeg ble for kort tid siden gjort oppmerksom på National Institute of Standards and Technology sitt rammeverk Framework for Improving Critical Infrastructure Cybersecurity 35 Rammeverket har en klassisk og tradisjonelt tilnærming, men glemmer to svært sentrale punkter. Etterretning og læring. Altså kunnskap om hvilke trusler vi står ovenfor og ikke minst hvordan skal vi lære av dette. Det er for meg rart at dette ikke tas med twitter.com/tabalizer - Vir prudens non contra ventum mingit! 14

15 Figur hentet fra NIST Cyber Security Framework Ett annet tema som er verdt å nevne ifm. sikring er sikkerhetskultur. Erfaringsmessig føler jeg at fokuset eller det manglende fokuset på sikkerhetskultur og forståelse for hva som er viktig å verne om og sikre, er et tema som er relevant for debatt. Konkrete sikringstiltak avhenger uansett av nivået på grunnsikring og hvilke trusler man står ovenfor. Som en kuriositet mtp. sikkerhetskultur velger jeg å sitere Rune Ask som under en ISF sine konferanse sa noe slik som: Sikkerhetskultur. Det eneste som hjelper er noen vennlige ord og ett balltre Kanskje noe flåsete sagt, men det er noe med det! 2014 twitter.com/tabalizer - Vir prudens non contra ventum mingit! 15

16 Hendelseshåndtering Incident Respons Evnen til å håndtere sikkerhetshendelser er essensielt. Selv om fokuset på hendelser og nesten hendelser har kommet sterkt frem i media de siste årene, er det store mørketall. Å håndtere en hendelse krever at kriseapparatet på strategisk taktisk og et operativt nivå fungerer sammen. For at det skal fungere sammen må det trenes jevnlig og ikke bare øves. Fig: Perspektiv på håndtering av hendelser i tradisjonell forstand. Hvor viktig er god trusselforståelse ved håndtering av hendelser? Jeg har vært heldig å fått bistått ved en rekke sikkerhetshendelser. Det som overrasker meg er at det er få som stiller spørsmål rundt hvorfor de blir angrepet. Hvem angriper oss. Hvorfor angriper de oss. Er det angrepet vi ser nå, ett ledd i noe større, kan det være en avledningsmanøver, hva er intensjonen, motiver og ønsket sluttmål? Selv om det kan være svært vanskelig å svare på slike spørsmål gir det ofte noen svar. Håndtering av sikkerhetshendelser som truer en virksomhets verdier, ressurser eller kapasiteter fordrer at viktige prinsipper er ivaretatt. Dette gjelder uansett om det er informasjonsverdier eller om det er andre klassiske verdier slik som materiell, omdømme, operasjonell evne, HMS, og økonomi/finans m.fl twitter.com/tabalizer - Vir prudens non contra ventum mingit! 16

17 Fig: Viser en tradisjonell workflow for håndtering av hendelser. Med utgangspunkt i figuren ovenfor er det viktig å ta med følgende forutsettinger for å lykkes. 1. Evnen til å avdekke og identifisere trusler/hendelser/handlinger rettet mot en verdier i forkant, underveis og i etterkant av en hendelse. 2. Evnen til å håndtere en hendelse og iverksette tiltak som nøytraliserer trusselen og reduserer direkte negativ konsekvens. 3. Evnen til å normalisere situasjonen og opprettholde operasjonell evne. 4. Læring og evaluering. Lærte vi noe av dette? Evnen til å avdekke trusler, håndtere hendelsen, normalisere situasjonen og lære av den krever at det trenes jevnlig, og at man øver på scenarioer for å se om treningen har gitt effekt. Først da vil man være i stand til å håndtere en hendelse på en god måte. En som har skrevet og ment noe om dette er Jens C. Voght i sitt blogg innlegg Hvordan øve seg til fant, eller er kriseøvelser galskap? twitter.com/tabalizer - Vir prudens non contra ventum mingit! 17

18 Avslutning Som nevnt i innledningen så er jeg ikke ute etter å peke på syndebukker, selv om enkelte garantert føler seg tråkket på. Målet er heller ikke å være noen besserwisser eller ta rollen som ekspert. Jeg har heller ikke noen intensjon om å stigmatisere eller båssette en hel it- sikkerhetsbransje. Likevel er det viktig å påpeke at bransjen har ett forbedringspotensial. Det er heller ikke slik at bildet er sort/hvitt, men det har vært viktig å svartmale litt for å få frem poenget. Hvorvidt jeg har lykkes gjenstår å se. Hvordan bli bedre? For det første, det er ingen ting som heter quick- fix, men min påstand er at det strategiske (og til dels det taktiske) arbeidet med IKT sikkerhet må ut av IT- avdelingene og inn i toppledelsen og slås sammen med det øvrige sikkerhetsmiljøet. Båsene vi i dag ser mellom fysisk sikkerhet (sikkerhetssjefens domene) og IKT sikkerhet (CISO domenet) må brytes ned. Trusselforståelse og kunnskap om trusselvurderinger må få et større fokus enn hva det har i dag, og det bør etableres gode kompetansemiljøer på tvers av sektorer hvor kunnskap kan deles. Dette er og blir en utfordring, da vi vet at kriminaletterretning og kunnskap om trusselvurderinger pr. i dag er kompetanse som i all hovedsak læres og erverves i forsvaret og i politiet. Det er få sivile studier som tilbyr slik kunnskap noe som får konsekvenser med tanke på å utarbeide gode trusselvurderinger. Likevel ser jeg at en del sivile miljøer begynner å få slik kompetanse og som Rune Dyrlie i Telenor sa på NSM Konferansen i 2013: Hvordan virksomhetene oppdager at det foreligger en trussel, er nøkkelen til et godt forsvar Dagens fokus på grunnsikring og sårbarheter/angrepsvektorer som malware og ddos angrep er viktig. Det arbeidet som gjøres i dag på dette området er state of the art, men jeg er redd for at med et for ensidig fokus på dette, vil man ikke klare å avdekke og identifisere andre typer uønskede villede handlinger. Det blir fort slik at man ikke ser skogen for bare trær. Uten å ha kunnskap om hvem som er fienden og dens sannsynlige handlingsmåte, så vil man heller ikke vite hvordan man skal beskytte seg. Fokuset må ligge på verdi, trussel og sårbarhet og i den rekkefølgen. Igjen, dette er mine tanker. Det er ingen fasit. Jeg har helt sikkert utelatt noe som burde vært tatt med. Min intensjon er å bli bedre gjennom meningsyttring og debatt. Forhåpentligvis nikker noen, andre vil sikkert riste på hodet. Klarer jeg å skape en konstruktiv debatt er målet nådd. Let your plans be dark and impenetrable as night, and when you move, fall like a thunderbolt. Sun Tzu, The Art of War Oslo Tor Andre Breivikås twitter.com/tabalizer 2014 twitter.com/tabalizer - Vir prudens non contra ventum mingit! 18

19 Referanser: 1 Sun Tzu Art of War: 2 Twitterkollektiv: 3 Blogger: Script Kiddies Ddos angrep Den Organiserte Kriminaliteten KRIPOS 7 Datakriminalitet Dataetterforskning i politiet VDI NorCERT - NorCERT/ 11 NRK ute av VDI Cyberforsvaret Cyberdomenet Etterretningstjensten Politiets sikkerhetstjeneste KRIPOS Munkene på Lutvann Snowden Etterretningstjenesten Pressemelding Telenor CyberDawn Telenor TSOC Telenor Da Spionene kom (se fra 0:40) 23 Rekruttering av CERT personell NS5830: Angrepet på Nobel Instituttet: 26 Lenkesamling digi.no om sårbarheter: 27 Compliance Security ISF Sjtokman tyveriet Video fra Sjtokman tyveriet Høgskolen i Gjøvik Anonymous Lulzsec Sikkerhetsveileder PST 35 Framework for Improving Critical Infrastructure Cybersecurity 36 Øve seg til fant twitter.com/tabalizer - Vir prudens non contra ventum mingit! 19