Nasjonal sikkerhetsmyndighet er Norges ekspert organ for informasjons- og objektsikkerhet

Transkript

1 2./3. kvartalsrapport 2014 Nasjonal sikkerhetsmyndighet er Norges ekspert organ for informasjons- og objektsikkerhet Risikobildet: Globale konflikter påvirker Norges sikkerhet 4 massivt dataangrep mot norsk energisektor 10 Tjenestenektangrep: Hva er det, og hvordan kan det stoppes? 16

2 leder 003 Sårbarhetene på Internett må reduseres 2./3. KVARTAL 2014 Seksjoner 4 prosent av norske bedrifter, og 5 prosent av de store, sier de har opplevd datainnbrudd. Realiteten er over 50 prosent, viser Mørketallsundersøkelsen, som ble lagt frem i slutten av september. Undersøkelsen bekrefter bildet vi har sett og varslet om gjennom flere år: Sårbarhetene er for store. Mørketallsundersøkelsen slår fast den ubehagelige sannheten om at vi fortsatt ikke er gode nok på sikkerhet i Norge, og at truslene øker mer enn vi klarer å håndtere. Vi, og dere, har rett og slett ikke gjort det vi og dere skal. Som fagmyndighet for IKT-sikkerhet mener vi norske virksomheter må innføre flere tiltak for å redusere sårbarhetene i IKT-systemer. Dere må skjønne hva som skjer i det digitale rom. Dere må ta ansvar. Dere må skaffe gode sikkerhetsrådgivere, dersom dere ikke allerede har det. Og dere må innføre NSMs fire enkle, tekniske tiltak, som stopper 90 prosent av alle dataangrep. Å ikke gjøre dette vil gjøre det unødvendig enkelt å bryte seg inn i datasystemene. En god start er å oppdatere alle dataprogrammer med én gang oppdateringene kommer. Behovet for kompetanse og utdanning er helt sentralt for å redusere sårbarhetene på internett. I august åpnet Senter for cyberog informasjonssikkerhet (CCIS) på Gjøvik, et senter som vi i Nasjonal sikkerhetsmyndighet støtter. I høst åpnet også NSMs nye kurssenter for forebyggende sikkerhet i Sandvika. Dette er et senter som skal gi folk som jobber med sikkerhet nødvendig kompetanse og konkrete råd om hvordan de kan sikre virksomhetene de jobber i. Og oktober er Nasjonal sikkerhetsmåned i Norge. Sikkerhetsmåneden koordineres av NorSIS, og vi i Nasjonal sikkerhetsmyndighet holder seminarer i sju norske byer for å styrke sikkerheten landet rundt. Vi må regne med enda flere, og enda mere avanserte, forsøk på dataangrep og datainnbrudd i norske virksomheter. Her er norske virksomheter i førstelinjen. Dere må begynne med dere selv. Det gjelder både i det private og det offentlige. 004 rapportering 010 aktuelt 012 sikkerhetskultur 016 tjenestenektangrep 020 inntrengingstesting 022 tingenes internett 024 elektroniske nøkler 026 nytt på nett Med vennlig hilsen Design: redink Trykk og distribusjon: rk grafisk Kjetil Nilsen Direktør Nasjonal sikkerhetsmyndighet

3 004 rapportering Ledelse 005 risikobildet: Et konfliktfullt verdensbilde Norges sikkerhet blir påvirket av konflikter vi ikke nødvendigvis er part i. Det er flere angrep mot norske datanettverk enn tidligere. Det stiller stadig høyere krav til norske virksomheter om å gjøre seg mindre sårbare. situasjonsbilde De siste månedene har vært preget av flere alvorlige konflikter i verden. Spesielt konflikten mellom Russland og Ukraina har fått konsekvenser for Norge, på flere samfunnsområder. Etter hvert som handel, energiforsyning og internasjonal sikkerhetspolitikk blir påvirket av konflikten, får Norge ny oppmerksomhet fra mange hold. Politiets sikkerhetstjeneste rapporterer i media om en mer spisset fremmed etterretningsaktivitet mot norske verdier som følge av situasjonen. Det er verdt å merke seg at Norges sikkerhet blir påvirket av konflikter vi ikke nødvendigvis er part i. En omfattende datainnbruddskampanje har rammet en rekke norske virksomheter i Angrepene har vært rettet mot offentlige og private aktører i energisektoren. En tilsynelatende svært ressurssterk aktør har forsøkt å infisere en lang rekke nettverk med skadevare som kan kopiere og sende ut sensitiv informasjon til angriperen. De største virksomhetene ble ikke bare angrepet direkte, men også gjennom sine mindre beskyttede leverandører. Gjennom hele 2013 var det en jevn økning i antall angrep mot norske datanettverk. Mange av angrepene var vellykkede. Utviklingen fortsatte i samme tempo inn i begynnelsen av 2014, før vi de siste månedene har registrert en uvanlig økning i mengden sikkerhetstruende virksomhet mot norske nettverk. Hvis utviklingen fortsetter i samme tempo, vil vi kunne se mer enn en dobling i registrerte dataangrep mot norske virksomheter i løpet av året. Sårbarheter og verdier Den endrede politiske situasjonen i verden har allerede hatt økonomiske konsekvenser for flere norske virksomheter. Det skal imidlertid langt større økonomiske tap til før Norges sikkerhet er svekket ved at samfunnet ikke er i stand til å opprettholde grunnleggende funksjoner. Den store økningen i antall registrerte nettverksangrep kan skyldes mange forhold. Én årsak er at NSMs deteksjonskapasitet har blitt bedre, slik at vi nå oppdager flere angrep vi ellers ikke ville ha fått med oss. En annen årsak kan være at landets virksomheter har blitt flinkere til å oppdage og rapportere hendelser til oss. Likevel er det vår vurdering at økt rapportering og deteksjonskapasitet langt ifra forklarer alt. Etter alt å dømme skjer det vesentlig flere angrep på norske nettverk nå enn for noen måneder siden. Vår vurdering er at utviklingen sannsynligvis vil fortsette i denne retningen, og stille stadig høyere krav til norske virksomheter om å gjøre seg mindre sårbare. En liten leverandør med lav sikkerhetsbevissthet kan utgjøre en vesentlig sårbarhet for en stor kunde. På samme måte kan virksomheter av alle størrelser ha informasjon eller andre verdier av betydning for den nasjonale sikkerheten. Det er mange virksomheter i Norge som har sårbarheter som eksponerer mye mer enn bare den aktuelle bedriftens egne verdier. Så langt i 2014 har flere av disse blitt rammet av avanserte og vellykkede spionasjeoperasjoner, og det finnes fortsatt nok av sårbarheter å utnytte. Det er ikke å forvente at alle vet omfanget av hvordan deres verdier kan brukes til å utrette skade. Til syvende og sist er det kun trusselaktørene selv som vet nøyaktig hva de er ute etter å stjele, og hva de har tenkt å bruke det til. Derfor må den enkelte virksomhet erkjenne hva den ikke vet, og først og fremst bruke kreftene på å gjøre seg minst mulig sårbar. En liten leverandør med lav sikkerhetsbevissthet kan utgjøre en vesentlig sårbarhet for en stor kunde.

4 rapportering Q2/Q3 ( 1. april 26. september 2014 ) Antall saker: 8354 Antall saker håndtert manuelt: 2678 Antall alvorlige saker: Antall saker behandlet av NSM NorCert Grafen viser alle registrerte saker, inkludert automatiske varslinger, som blir håndtert av Operasjonssentret. Den kraftige økningen skyldes blant annet et nytt system for håndtering av automatisk rapportering, og flere kilder. Nøkkeltall fra NSM NorCERT: Flere alvorlige sårbarheter og økning i digital spionasje 47 alvorlige saker har vært håndtert av NSM NorCERT i andre og tredje kvartal. Sakene dreier seg i hovedsak om forsøk på digital spionasje mot Norge. Ved utgangen av 3. kvartal hadde NSM håndtert totalt 62 slike saker hittil i år og har allerede gått forbi tallene rapportert for hele 2013, som var Stadig flere alvorlige sårbarheter på internett blir oppdaget, som sårbarheten i krypteringssystemet OpenSSL i april og sårbarheten i programmet Bash i september. Det gjør systemer som kobles til internett utsatt for både datainnbrudd, manipulering og skadeverk. Antall alvorlige hendelser hittil i år er doblet sammenlignet med det antall vi rapporterte om til samme tid i fjor. Mye av grunnen til dette er den medieomtalte spionasje-kampanjen vi så var rettet mot olje- og energisektoren tidligere i sommer. Nøye utvalgte nøkkelpersoner fikk tilsendt lure-eposter med vedlegg som inneholdt avansert skadevare av typen «Havex». I denne saken sendte NSM i samarbeid med NVE og PTIL ut varsel til 550 virksomheter og ba dem om å se etter tegn til kompromittering i sine logger. Flere meldte tilbake om at de hadde mottatt skadevaren, men videre undersøkelser har ikke avdekket noen faktiske kompromitteringer så langt. Økning i NorCERT-pulsen. NorCERT-pulsen er en indikasjon fra Operasjonssenteret på risikonivået på internett. Dette er informasjon som NSM deler med virksomheter etter nærmere avtale. Dersom du ønsker at din virksomhet kommer på listen over mottakere av varsler fra NSM NorCERT, ta kontakt med oss på post@cert.no. En økning i NorCERT-pulsen kan for eksempel skje på bakgrunn av kunnskap om nye sårbarheter, særlig dersom man har observert at de utnyttes aktivt til å utføre dataangrep. Innledningsvis i andre kvartal lå pulsen på nivå 2, i forbindelse med en 0-dagssårbarhet i Microsoft Office. Her kom det raskt informasjon om tiltak for å hindre utnyttelse. Så kom den etter hvert svært omtalte Heartbleed-situasjonen. En svært alvorlig sårbarhet i krypteringssystemet OpenSSL, brukt i millioner av servere over hele verden, gjorde det mulig å få innsyn i kryptert informasjon i for eksempel epost, nettbutikker, og kommunikasjon mellom ulike datasystemer. Basert på alvorlighetsgraden bestemte Operasjonssentret seg for å heve pulsen til nivå 3, som betyr at ingen oppdatering eller løsning er mulig, og hvor konsekvensen er fare for vellykkede angrep mot samfunnsviktig digital infrastruktur. Denne sårbarheten berørte også millioner av vanlige brukere. Basert på egne undersøkelser og informasjon mottatt fra sikkerhetsmiljøet kunne Operasjonssenteret foreta en bred varsling på systemer i Norge som var berørt av Operasjonssenteret vurderer til enhver tid situasjonen på internett ut fra et mulig skadepotensiale. FAKTA operasjonssenter NSMs Operasjonssenter sender ut varsler om blant annet sårbarheter, mulige tiltak, rutinemessig patching og andre oppdateringer. Varslene bidrar til at IT-sikkerhetsansvarlig kan treffe beslutninger i forhold til virksomhetens sikkerhetsnivå. Kontakt oss på post@cert. no dersom du ønsker at din virksomhet skal motta varsler fra NorCERT Antall alvorlige saker De endelige tallene etter sommerens dataangrep mot norsk olje- og energisektor er ennå ikke klare. Disse vil legges inn i Q4-rapporten, etter hvert som berørte bedrifter melder inn. Cirka 10 av sakene i denne oversikten stammer foreløpig fra dette dataangrepet Hva er en alvorlig sak? NSM NorCERT prioriterer saker til operativ oppfølging i tre hovedkategorier: Høy, medium og lav. Alvorlige saker er de sakene som faller i kategorien «høy» for prioritering. Dette er alvorlige hendelser hos samfunnsviktige virksomheter, herunder deltakere i VDI-samarbeidet. Disse sakene kan i de fleste tilfeller knyttes til spionasje ved kompromittering og datainnbrudd, eller forsøk på spionasje knyttet til operasjoner utført av statlige trusselaktører

5 008 rapportering 009 sårbarheten i OpenSSL. Sist pulsen lå på nivå 3 var i første kvartal, nærmere bestemt februar, grunnet sårbarheter i Adobe Flash og Internet Explorer. Deretter må vi tilbake til september i fjor, også da en 0-dags sårbarhet i Internet Explorer, for tilsvarende pulsøkning. Heartbleed og Shellshock. Pulsen ble senere senket til nivå 1, inntil sikkerhetsselskapet FireEye blogget om en ny 0-dagssårbarhet i Internet Explorer i slutten av april, og at denne ble utnyttet i målrettede angrep. Igjen viste Microsofts EMET (Enhanced Mitigation Experience Toolkit) seg som et nyttig verktøy for å hindre utnyttelse av sårbarheten. Ettersom dette er noe vi har sett mange ganger, har Operasjonssenteret skrevet en veiledning i bruk av EMET. Veiledningen finner du på NSM sine nettsider, nsm.stat.no. Sårbarheten i krypteringssystemet OpenSSL fikk bred oppmerksomhet i norske medier og hos vanlige brukere. Den samme medieinteressen kunne vi også se da en sårbarhet i programmet Bash ble offentliggjort på tampen av tredje kvartal og fikk navnet «Shellshock». Dette førte også til en endring av NorCERT-pulsen til nivå 3. «Shellshock», eller «Bash bug», er en sårbarhet i programmet Bash (GNU Bourne Again Shell) som benyttes av applikasjoner på et stort antall plattformer. Sårbarheten er kritisk og åpner for at uvedkommende kan kjøre kode på sårbare enheter som er eksponert på Internett, som for eksempel webtjenere. Sårbarheten er enkel å utnytte og det gikk ikke lang tid fra sårbarheten ble kjent til den ble aktivt skannet etter og forsøkt utnyttet i stor skala. Trenden de siste kvartalene viser at det stadig oppdages nye sårbarheter på nett. Mye vanlig datautstyr har sikkerhetshull i seg, som gjør det enkelt å bryte seg inn og utnytte sårbarheter, som for eksempel å stjele informasjon. Hackere og en rekke aktører søker kontinuerlig etter sårbarheter på internett som kan utnyttes til kriminalitet og skadeverk. Det at stadig flere sårbarheter oppdages er bekymringsfullt, spesielt med tanke på hvordan kritisk infrastruktur og en rekke andre sårbare funksjoner for samfunnet kobles til nettet. Man kan stille spørsmål ved om alle funksjoner skal kunne kobles til internett, og åpne opp for de stadig flere sårbarhetene som oppdages. the heartbleed bug «Heartbleed» eller «The Heartbleed bug» var en sårbarhet i OpenSSLs TLS/DTLS heartbeat extension (RFC6520). Sårbarheten gjorde det mulig for hvem som helst på internett å lese minnet til systemene beskyttet av de sårbare versjonene. Angriper kunne dermed avlytte trafikken, stjele data direkte fra og utgi seg for å være tjenester og brukere. Microsofts Enhanced Mitigation Experience Toolkit (EMET) Microsofts Enhanced Mitigation Experience Toolkit (EMET) er et sikkerhetsverktøy som vanskeliggjør utnyttelse av sårbarheter og kan lastes ned fra Microsoft sine nettsider. NSMs Operasjonssenter har i flere tilfeller sett at dette fungerer, og har derfor skrevet en veiledning om EMET. Vi oppfordrer deg til å vurdere om EMET kan være en god idé for din virksomhet. I så fall anbefaler vi at du setter deg godt inn i spesifikasjonene for å unngå mulige kompabilitetsproblemer og annet heft. FAKTA Hvordan stoppe angrepene? Lurer du på hvordan du skal stoppe mesteparten av dataangrepene mot bedriften din? Les og innfør disse rådene (og tro oss, dette er tiltak som stopper prosent av de vanligste angrepene, men som alt for få har innført): 1 1. Oppgrader programog maskinvare. Nyere produktversjoner har tettet flere sikkerhetshull enn gamle, og er bedre på sikkerhet Vær rask med å installere sikkerhetsoppdateringer. Kunnskap om nye sårbarheter sprer seg raskt. Derfor bør systemeiere være tilsvarende raske med å oppdatere, før noen bruker sårbarhetene til å bryte seg inn Ikke tildel sluttbrukere administrator-rettigheter. De fleste vanlige brukere har ikke behov for å installere programvare på maskinen. Overlat administrasjon og distribusjon av programvare til de som kan det Blokker kjøring av ikkeautoriserte programmer. Bare la brukerne kjøre godkjente programmer ved å bruke verktøy som Windows AppLocker. Les mer på nsm.stat.no. NSM

6 010 aktuelt Du har fått pakke på posten, og er invitert til en internasjonal konferanse: Dette er to av epostene som ble sendt bredt ut til olje- og energibransjen i sommer. Når man klikker på lenken, blir man ført til en nettside som prøver å installere skadelig programmet. Den ene eposten har også et vedlegg som prøver å installere et skjult program dersom man klikker på det. 011 Massivt dataangrep mot norsk energisektor Sommeren 2014 startet et massivt og målrettet dataangrep mot norsk energisektor som mange beskriver som det største angrepet mot norske interesser noensinne. Over 550 virksomheter er så langt varslet om angrepet. tekst: Fredrik Ruud Johnsen Gjennom målrettede eposter til nøkkelpersoner i en rekke norske selskaper, prøvde angriperne å få tilgang til informasjon. Epostene inneholdt vedlegg som igjen utnyttet kjente sikkerhetshull, men det er allikevel grunn til å tro at disse hullene kan bli utnyttet hvis systemene ikke er oppdatert. Vi skjønte tidlig at dette var et alvorlig angrep, og dermed kunne vi også planlegge varslingen av så mange virksomheter. I tett samarbeid med Petroleumstilsynet og NVE, varslet vi mer enn 500 selskaper i sektoren. Målet var at de skulle sjekke om de kunne være rammet, få mer informasjon, og bistå virksomheter som trenger hjelp, sier Hans Christian Pretorius, som er sjef for Operativ avdeling i NSM. Det kan være en rekke grunner til at en angriper ønsker å plassere skadevare på en maskin, blant annet å stjele informasjon, installere programmer som registrerer tastetrykk og stjele passord, eller videre kartlegging av bedriften. Når angriperen er inne i systemet, er veien videre inn i bedriften ofte betydelig lettere. Tatt på alvor i virksomhetene. Da varselet ble sendt ut, kjente NSM til at minst 50 bedrif- ter var blitt forsøkt angrepet, og dette var en av grunnene til at hele bransjen ble varslet. Både Petroleumstilsynet og aktørene i bransjen tok umiddelbart affære. Petroleumstilsynet ble kontaktet av NSM og varslet videre aktørene i petroleumsvirksomheten. Det er vårt inntrykk at selskapene i næringen tok umiddelbare aksjoner. Vi tok også aksjon i forhold til våre egne systemer, sier Anne Myhrvold, direktør i Petroleumstilsynet. Også i Norges Vassdrags- og energidirektorat ble situasjonen tatt på alvor. Det var en virksomhet i bransjen selv som kontaktet NVE, noe som resulterte i et tett samarbeid med NSM. NVE ble varslet om hendelse hos Statnett fra selskapet selv. Kort tid etter ble det etablert et tett og nært samarbeid med NSMs operative avdeling. Underveis har NVE hatt kontakt med hele bransjen der også informasjon fra NSM har blitt formidlet i forståelse med NSM. Dette har vært viktig for å sjekke ut faktisk tilstand, og har også medvirket positivt til bevissthet om mulige sårbarheter og det kan heller ikke utelukkes at det har bidratt til å forebygge uønskede hendelser, sier direktør Per Sanderud i NVE. Per Sanderud, Vassdrags- og energidirektør Anne Myhrvold, direktør i Petroleumstilsynet Godt samarbeid på tvers. NSM er Norges ekspertorgan for informasjons- og objektsikkerhet, og det nasjonale fagmiljøet for IKT-sikkerhet. Direktoratet er nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser. Derfor var det naturlig at NSM tok en lederrolle da dataangrepet ble oppdaget. NSM har hatt et meget godt og tett samarbeid med både NVE og Petroleumstilsynet i denne saken, og dette er et eksempel til etterfølgelse. Fra angrepet ble oppdaget i sommer til varselet gikk ut har dialogen tvers av virksomhetene vært svært god, og sektorkunnskapen har gjort oss bedre i stand til å skreddersy et godt budskap med gode tiltak som blir tatt på alvor i de virksomhetene som er eller kan ha blitt rammet, sier direktør Kjetil Nilsen i NSM. Også NVE trekker frem informasjonsdeling mellom virksomhetene som en viktig suksessfaktor i denne saken. IKT-sikkerhet er et viktig og prioritert område, i og med at IKT er en integrert og stadig mer sentral del av drift, overvåking og styring av kraftforsyningen. I dette arbeidet er NVE avhengig av informasjon fra selskapene om uønskede hendelser og avhengig av gode trusselvurderinger og praktisk informasjon om sårbarheter også på tvers av sektorene. Her spiller NSM en nøkkelrolle, og vi har under oppfølgingen av denne kampanjen fått bekreftet at det er en stor nytte - forhåpentligvis gjensidig - av god informasjonsdeling mellom NVE og NSM, sier Sanderud i NVE. Bred varsling. I tillegg til å varsle virksomhetene direkte, valgte NSM også å gå ut i media med advarselen om angrepet. Omfanget av dette angrepet var potensielt så alvorlig at vi ønsket å nå de fleste bedriftene i Norge, også utenfor energisektoren. Dette var en sak som dominerte nyhetsbildet, og som har ytterligere økt oppmerksomheten rundt datasikkerhet og industrispionasje. Flere selskaper har kontaktet oss etter medieoppslagene, sier kommunikasjonsdirektør Mona Strøm Arnøy i NSM. Så langt har saken vært dekket i mer enn 160 medieoppslag. FAKTA enkle forebyggende tiltak for teknisk personell Bruk gode passord og endre standardpassord på nye enheter, slå på to-faktor autentisering der det er mulig Et viktig tiltak som IT-administratorer kan gjøre for å oppdage at man er utsatt for datainnbrudd er logging. Å faktisk skru på logging er det første viktige steget. Deretter blir neste steg å analysere informasjonen og finne mistenkelige oppføringer i loggene. Når man har logger på plass er det mulig å agere på informasjon som NSM NorCERT sender ut med tips til hva man skal se etter for å avdekke hendelser.

7 012 sikkerhetskultur 013 Dårlig språk! UKJENT/IRRELEVANT ADRESSE! Hold musepeker over link uten å trykke så kommer det opp et vindu med adressen. Feks.: Ville du klikket på denne? Ett klikk på feil lenke er nok til at IKT-systemene i virksomheten din blir infisert. Hva gjør du når du har tusenvis av ansatte? tekst: kjetil Berg Veire From: To: Cc: Subject: Message change_password@online.no Brunsgård Bente Passord utløper Kjære bruker, Ditt passord utløper og det må oppdateres nå. Klikke her for å oppdatere umiddelbart. hilsen IT Support team Useriøs adresse! Ingen bruker change_password Upersonlig! Burde kjent navnet ditt. haster! Utydelig avsender! Selskapsnavn? Klokken er Arbeidsdagen er for lengst i gang. En av mange eposter ramler inn i epostboksen din. Emne: Passord utløper. I eposten står det «Klikk her for å oppdatere umiddelbart». Ville du klikket? Datainnbrudd. Det er kjent at svært mange cyberangrep benytter epost som en del av selve angrepet. Det sier Bente Brunsgård, som er Head of Security Awareness, eller sikkerhetskultursjef på godt norsk, i Telenor Norge. Falske eposter som lurer folk til å klikke enten på vedlegg eller lenker er den vanligste måten å bryte seg inn i bedriftenes datasystemer på. Dette tok Telenor konsekvensen av i fjor, etter å ha opplevd et alvorlig dataangrep med tyveri av store mengder sensitiv informasjon. Falske eposter. I forbindelse med Nasjonal sikkerhetsmåned startet Telenor testing av hvor mange av de ansatte som faktisk klikker på lure-eposter. Målet var å øke bevisstheten om sikkerhet internt. Ny test ble gjennomført i april i år. Falske eposter med falsk avsenderadresse ble sendt ut til et tilfeldig utvalg av Telenors ansatte. Prosjektet hadde topplederforankring i Telenor Norge, var diskutert med fagforeningene og ble gjennomført med full anonymitet for den enkelte. Alle ansatte ble orientert om testen på forhånd, og intranettet ble brukt aktivt til gode råd og tips. lenker. Det er ganske enkelt å se om lenken fører til et sted den ikke burde føre til, eller hvis den ikke er myntet på verken saken eller deg. Da blinker varsellampene, sier han. Alt skjer fort. Erfaringene er at klikkene skjer forferdelig fort! sier Bente Brunsgård. I løpet av 22 minutter hadde to tredeler av «ofrene» klikket på den falske lenken. Det var stor spredning på hvor mange i de ulike divisjonene som klikket på epostene. Samtidig kom varslene om falske eposter til sikkerhetsledelsen raskt etter utsendelse, det første etter bare fem minutter. Det er egentlig rutine, men det er kanskje ikke alle som tar seg bryet. I utgangspunktet er rutinen at du sletter eposten, og sier fra til sikkerhetsansvarlig, sier Håkon Smeplass. Sikkerhetsarbeidet før hendelsene skjer er avgjørende, sier Bente Brunsgård i Telenor Norge. Skal man klare å gjøre noe fornuftig med sikkerhetskultur må man gjøre det i forkant, og ikke i etterkant. Slik kan de ansatte få en «stopp-tenk-klikk»-tankegang, sånn at de i hvert fall får en ekkel liten følelse av at det er noe som ikke stemmer i denne eposten. Phishing-test slik kunne du avslørt den (Kilde: Telenor) Typiske kjennetegn. En av de første som merket at noe var galt med eposten var Håkon Smeplass, systemansvarlig i Telenor CDN, som sendte den rett i søppelkassa. Den hadde alle typiske kjennetegn på en falsk epost, sier han. Det første han avslører falske eposter på, er om han forventer å få den eller ikke, eller om det er noe rart med innholdet eller avsenderen. Det gjelder spesielt epost som inneholder Skal man klare å gjøre noe fornuftig på sikkerhetskultur, må man gjøre det i forkant, og ikke i etterkant. bente brunsgård

8 sikkerhetskultur Nasjonal sikkerhetsmåned i oktober Oktober er Nasjonal sikkerhetsmåned i Norge. Nasjonal sikkerhetsmyndighet besøker også i år sju ulike byer i forbindelse med måneden. I tillegg holder vi miniseminarer for ansatte og studenter ved universiteter og høgskoler. tekst: Roar Thon Sikkerhetsmåneden gir oss en viktig anledning til å sette sikkerhet på dagsorden, men det er også viktig å minne om at det er det vi gjør hver eneste dag som virkelig kommer til å forbedre sikkerheten i samfunnet. Sikkerhetsmåneden arrangeres i år for fjerde gang på rad. Hensikten er å rette søkelyset på sikkerhetsarbeidet og de sikkerhetsutfordringer som både bedrifter og privatpersoner opplever i det daglige. Sikkerhetsmåneden ledes og koordineres av Norsk Senter for Informasjonssikring (NorSIS) og består i hovedsak av en rekke arrangementer rundt omkring i landet. De fleste av disse er interne i bedrifter og organisasjoner, som bruker ulike virkemidler for å sette fokus på sine sikkerhetsutfordringer. Hensikten er å bedre sikkerhetstilstanden hos både enkeltindivider og i virksomheter. Fra Lillesand til Tromsø. Nasjonal sikkerhetsmyndighet har i alle år støttet den nasjonale sikkerhetsmåneden, og det skulle bare mangle. Vi deler jo samme forkortelse: NSM! Men det er selvsagt ikke årsaken til at vi også i år bidrar til å sette fokus på sikkerhet i oktober. Vi har de siste årene gjennomført vår sikkerhetsturne rundt omkring i landet. NSMs regionale sikkerhetsseminarer har vært et populært bidrag under sikkerhetsmåneden, og vi har gradvis økt antall steder vi besøker i løpet av oktober. I år blir det Oslo, Lillesand, Stavanger, Bergen, Trondheim, Bodø og Tromsø som får besøk av NSM. Her får deltakerne lære om hvordan de skal håndtere datainnbrudd og tjenestenektangrep, og hvordan de kan sikre mobilene sine bedre. Kunnskapsdeling. Nytt av året er at vi i tillegg til de regionale sikkerhetsseminarene gjennomfører miniseminarer for ansatte og studenter ved en rekke sentrale universiteter og høgskoler i Norge. Fra vårt ståsted er de regionale seminarene nyttige til mer enn bare å dele kunnskap. De er også en god anledning til å møte mennesker som er like opptatt av sikkerhet som oss mennesker som vi kanskje ikke møter til daglig. For deltakerne håper vi de ser den samme nytten, i tillegg til den kunnskapen vi forhåpentligvis greier å formidle. Sikkerhet i hverdagen. Benytt anledningen til å delta på våre regionale seminarer i oktober. Du kan lese mer og melde deg på seminarene ved å gå til våre nettsider. Sikkerhetsmåneden gir oss en viktig anledning til å sette sikkerhet på dagsorden, men det er også viktig å minne om at det er det vi gjør hver eneste dag som virkelig kommer til å forbedre sikkerheten i samfunnet. FAKTA sted og dato Vi håper å se deg i en av disse byene i oktober: Stavanger 2. oktober Lillesand 7. oktober Oslo 9. oktober Bergen 14. oktober Trondheim 16. oktober Tromsø 21. oktober Bodø 23. oktober

9 tjenestenektangrep Nede for telling Én mann, én datamaskin, og nettsidene til norske banker og flyselskaper gikk ned for telling. Hva skjedde egentlig? tekst: Kjetil Berg Veire Anders Hardangen, sjef for håndtering av datahendelser i DNB - Det som skjedde var at vi fikk et tjenestenektangrep som forsvarsverket vårt ikke klarte å stoppe automatisk. Det forteller sjefen for håndtering av datahendelser i DNB, Anders Hardangen, i DNBs Incident Response Team. Når det skjer, krever det i noen tilfeller manuell analyse for å sette i verk mottiltak. Vi var de første kundene hos Evry som ble angrepet. Derfor ble også nedetiden hos oss lenger enn hos mange av de andre som ble berørt av angrepet, forteller han. Et lass med grus. 8. juli opplevde både DNB og Norges Bank, Telenor, Netcom, SAS, Norwegian og flere andre større selskaper angrep mot nettsidene sine. Slik trafikken inn og ut av en butikk enkelt kan stoppes ved å tømme et par lass med grus utenfor døra, kan trafikken til nettsteder enkelt stanses ved å overbelaste linjekapasiteten inn og ut til nettstedet. 17-åringen fra Bergen, som har erkjent å stå bak angrepet, kjøpte seg trolig hjelp til å gjennomføre angrepene fra kriminelle på internett. Anders Hardangen og teamet hans samarbeidet med tjenesteleverandøren Evry, og jobbet hardt med å finne metoder å stoppe angrepet på. Det ga resultater. Det finnes mange måter å utføre tjenestenektangrep på. En av de vanligste er å overbelaste linjekapasiteten, slik at datatrafikken inn og ut fra et nettsted eller tjeneste stopper opp. Det er rimelig enkelt å få til. Det som var annerledes i denne saken var at aktørene bak angrep nettsidene på en annen måte, forteller Anders Hardangen. Her har 17-åringen kjøpt disse ressursene på internett og fått hjelp av andre til å klare å utføre angrepet. Det krever ikke veldig stor teknisk kompetanse for å få til dette. Det finnes også en rekke ferdigtjenester som utfører slike angrep, som man kan få kjøpt på internett. Markant økning. Det har vært en markant økning i distribuerte tjenestenektangrep (DDoS) de siste årene. Det sier konsernsjef Terje Mjøs i EVRY, Norges største leverandør av IT-tjenester, som ble rammet hardt av tjenestenektangrepet. En av de vanligste tjenesteangrepene er å overbelaste linjekapasiteten, slik at datatrafikken inn og ut fra et nettsted eller tjeneste stopper opp. anders hardangen Hans Christian Pretorius avdelingsdirektør i Nasjonal sikkerhetsmyndighet. Terje Mjøs er konsernsjef i EVRY Når det gjelder hendelsen i juli ble mange kunder angrepet samtidig. Vi fikk inn en rekke alarmer, og fikk raskt på plass flere ressurser for å få kontroll på angrepene. I starten virket angrepene å være rettet mot en håndfull store virksomheter som er kunder av EVRY, men etter hvert som alle angrepene ble mitigert (motvirket, dempet, red. anm.) så forflyttet angrepene seg til andre virksomheter og sektorer som ikke har tilknytning til EVRY. Hvordan er det mulig at én person kan ramme så mange? Det er dessverre mulig for personer med teknisk innsikt i DDoS å generere store mengder angrepstrafikk mot ett eller flere mål. I dette tilfellet ble flere av angrepene stoppet automatisk av vår DDoS mitigeringstjeneste, og for noen kunder ble angrepet stoppet etter få minutter. Det største angrepet ble stoppet etter i overkant av en time. God dialog. Når tjenestenektangrep blir oppdaget mot kundene til EVRY, setter de umiddelbart i gang med å analysere angrepstrafikken, og tilpasse vasking av nettverkstrafikken basert på angrepskarakteristika, forteller Mjøs. Også han bekrefter at dette angrepet hadde enkelte nye elementer som de tidligere ikke har sett. Det medførte at vi måtte legge inn nye filtre, men vi har mange kompetente personer i EVRY Security Operations, så det gikk raskt å analysere og implementere. Under slike angrep er det mye kommunikasjon med kunder, samt ISP-er og sikkerhetsmyndigheter som NSM og FinansCert. EVRY hadde en god dialog med de nevnte aktører, og samarbeidet godt om å stoppe angrepene. Hva har dere lært av denne hendelsen? EVRY har, i likhet med verden forøvrig, opplevd et oppsving i denne typen angrep de siste årene. Alle angrep benytter vi som en base for læring. Selve angrepsteknikkene er ikke sofistikerte, og forebygging av disse angrepene handler mest om å være forberedt, ha et beredskapsapparat som raskt kan trå til for å håndtere angrepet, samt tekniske mekanismer som kan redusere konsekvensene av slike angrep. For en stor tjenesteleverandør som EVRY, er denne type angrep dessverre blitt et fenomen vi må leve med, og vi har et miljø som over tid har bygget kompetanse på å håndtere alle aspekter av slike hendelser. I løpet av 2013 registrerte vi 85 angrep hvorav 81 ble stoppet automatisk uten kundekonsekvens. De fire siste ble stoppet i løpet av veldig kort tid, og med marginal effekt. Blind når angrepet kommer. Hans Christian Pretorius er avdelingsdirektør for Operativ avdeling i Nasjonal sikkerhetsmyndighet. NSM forventer at leverandører av IT-tjenester til samfunnskritiske selskaper kjøper hjelp til eller bygger opp kompetanse på tjenestenektangrep, sier han. Dette koster mye penger og ressurser. Dermed er det bare de store aktørene som kan tilby beskyttelse mot tjenestenektangrep. Norske virksomheter må gjøre risikovurderinger av denne typen tjenestenektangrep, og hvor avhengig de er av at nettsider, tjenester og andre funksjoner er oppe til enhver tid eller ikke. Beskyttelse mot tjenestenektangrep må etableres på forhånd. Hvis du ikke har gjort dette i forkant er du blind når angrepet kommer, og kan gjøre lite annet enn å trekke ut kontakten. Store skader. De økonomiske konsekvensene av slike angrep kan være veldig kostbare for de som blir angrepet, noen ganger i millionklassen, sier Anders Hardangen i DNB. Selger du varer eller tjenester på nett, og kundene går andre steder, kan det få store konsekvenser. I DNB har de retningslinjer om å anmelde alle dataangrep mot banken, og det er også gjort i dette tilfellet. Forsvars-

10 018 tjenestenektangrep 019 Hvis du forsøker å stanse tobakksreklame i Norge, kommer det fort ny reklame sendt fra Kuala Lumpur, med et annet lovverk. sigmund hov moen verkene mot denne typen angrep kan ikke være statiske, sier Hardangen. Her er jo truslene og angrepsformene hele tiden under endring. Man er hele tiden nødt til å se på nye metoder for å beskytte seg. Det utfordrer også vi i DNB leverandørene på. Teknologiske grenser. Men hva synes vi egentlig, om at en ungdom på Vestlandet enkelt kan sette nettsidene til Norges største selskaper ut av spill på noen minutter. Her lar vi høgskolelektor ved IT-utdanningen NITH, Sigmund Hov Moen, få siste ordet. Hvis du googler «botnet» og «buy» får du et vell med tilbud på internett. Du kan kjøpe en slik tjeneste fra alskens firmaer. I løpet av 20 minutter kan du sette i gang. Hva synes du om det? Når vi først har marsjert inn i denne elektroniske tidsalderen tror jeg det er vanskelig å gjøre noe med det, sier han. Jeg kommer fra ei lita bygd, der var lensmannen pott og panne, og hvis det kom ut noe om hvem som satt i fengsel, eller hvem som var far til ungen, så var det åpenbart lensmannen som hadde vært ute og snakket over seg. Vi var nabo til lensmannen. På kontoret på Røros stod et digert pengeskap med arkivene hans inni. Du måtte ha nøkkelen hans for å komme inn. Den sikkerheten er helt annerledes i dag. Det gjenspeiler seg på alle områder. Hvis du forsøker å stanse tobakksreklame i Norge, kommer det fort ny reklame sendt fra Kuala Lumpur, med et annet lovverk. Hele lovverket vårt bør skrives om, slik at nasjonalgrensene på en måte blir mindre interessante. Det er de teknologiske grensene som er viktige, sier han. Hvordan forebygge mot tjenestenektangrep? Nasjonal sikkerhetsmyndighet har utgitt en teknisk veiledning om hvordan du kan forebygge mot tjenestenektangrep. Vi har sett at det er nødvendig med en rekke tiltak for å stå godt rustet mot DDoS-angrep; både personellmessige og teknologiske tiltak. Det viktigste er å rydde opp i de store linjene i IKT-infrastrukturen før hendelsen inntreffer. Her kan man oppnå mye ved å ha et ryddig nettverksdesign med gode rutiner for drift og vedlikehold. Kartlegg kryssavhengigheter. En viktig del av arbeidet med design av IKT-infrastrukturen, er å kartlegge kryssavhengigheter og svake forbindelser som man er avhengig av i tjenesteleveransene sine. En del komponenter lar seg oppskalere, og dette er med på å løfte maksgrensen for hvor mye spisslast man klarer å håndtere. Dersom de økonomiske tapene ved bortfall av tjenestene er store nok, bør man imidlertid også vurdere spesialisert utstyr og skybaserte tjenester for å kunne ta unna selv de kraftigste angrepene. Hva kan gå galt? Når man har designet, skalert og herdet IKTinfrastrukturen hensiktsmessig, er den viktigste oppgaven å ha et klart bilde av hva som kan gå galt, samt å øve på reelle scenarier med relevant sikkerhetspersonell; både internt og eksternt. Dette inkluderer tildeling av roller og ansvar, utforming av klare retningslinjer for eskalering, samt innsamling og relevant distribusjon av kontaktinformasjonen til nøkkelpersoner hos tredjeparter. Sikkerhet er ingen enten/eller-størrelse, men en skala hvor man velger sikringsgrad i samsvar med verdien på ressursene som skal sikres. I tillegg til teknologiske og personellmessige tiltak, er det beste forsvar kunnskap om og kjennskap til egen IKT-infrastruktur; inkludert hva som er normal bruk og spisslast. (Hentet fra veiledningen «Grunnleggende tiltak for forebygging av DDoS»)

11 020 inntrengingstesting 021 Hva oppdager NSMs hackere? Få kjenner svakhetene i norske datasystemer bedre enn Nasjonal sikkerhetsmyndighets enhet for inntrengingstesting. Hvor bør norske virksomheter forbedre sikkerheten, og hva bør vi tenke på i fremtiden? tekst: Fredrik Ruud Johnsen Inntrengingstesting er et kontrollert dataangrep som prøver ut motstandskraften i informasjonssystemer gjennom målrettede søk og analyser, og forsøksvis utnyttelse av sårbarheter, feil og mangler som identifiseres. Testingen er nøye avtaleregulert mellom NSM og virksomhetene det gjelder. En inntrengingstest gjør at virksomhetene settes i stand til å styrke svake punkter i sine egne systemer før hendelser inntreffer. Testingen retter seg utelukkende mot informasjonssystemer og deres sikkerhetsmekanismer, og innebærer derfor ikke at vi for eksempel får mulighet til å lese innhold i ansattes private kommunikasjon eller dokumenter, sier seksjonssjef Jørgen Botnan. NSM har et ansvar for å bidra til at informasjonssystemer er rustet mot dagens trusselbilde gjennom effektive og målrettede forebyggende sikkerhetstiltak. Det gjøres i dag blant annet gjennom sikkerhetsgodkjenninger, tilsyn, råd og veiledning. Inntrengingstesting komplementerer disse oppgavene ved å bidra til å avdekke om det likevel finnes sikkerhetshull som kan utnyttes av ondsinnede aktører. De siste årene har vi testet en rekke virksomheter. Nøyaktig hvor mange eller hvilke virksomheter det er, kan vi ikke snakke om, men vi ser at mange IT-trender også påvirker sikkerheten, og åpner for muligheter for de som har onde hensikter, sier Botnan. Større kompleksitet, flere sårbarheter. De siste 20 årene har teknologi blitt allemannseie for nordmenn. I dag eier de aller fleste minst en PC, mobiltelefon eller nettbrett som er koblet mot internett. Dette i seg selv øker risikoen for at informasjon kommer på avveie. Det er utfordringer som stadig blir mer viktig for personer og virksomheter. Til tross for at tilgangen til teknologi er lettere enn noensinne, betyr det ironisk nok at IT-landskapet blir mer og mer komplisert. Stadig flere enheter kobles opp mot internett, og ikke bare PCer og mobiltelefoner. «Tingenes internett» er et uttrykk som stadig flere snakker om. Nå skal kjøleskapet kobles til internett, og en rekke kjøretøy har allerede innebygde nettverksfunksjoner. Denne utviklingen er raskere enn hva sikkerhetsbransjen klarer å holde tritt med, og virkelig alvorlig blir dette når ting som i utgangspunktet ikke var tiltenkt nettilkobling blir en del av nettverk, sier Botnan. I sin serie «Null CTRL» avslørte Dagbladet at en rekke kontrollsystemer lå åpent tilgjengelig på internett. Den samme trenden ser NSMs inntrengningstestere. Prosesskontrollsystemer som kontrollerer viktige samfunnsfunksjoner har vært koblet til internett med liten eller dårlig sikkerhet. Vi ser at oppdateringer ikke blir installert og helt vanlige IT-systemer brukes, men de sikres ikke tilsvarende de verdiene de beskytter. Fortsatt er Jørgen Botnan det store mangler på tredjepartsprogramvare, selv om det er en bedring i sikkerheten på Microsoftprodukter, sier Botnan. Dårlig passordsikkerhet.norske brukere forholder seg i dag til en rekke passord og PIN-koder, men NSMs inntrengningstestere ser allikevel at passord er forholdsvis enkle å gjette seg frem til. Brukerne lager for eksempel passord som består av en årstid kombinert med et årstall. Denne typen passord kan en hacker knekke i løpet av få sekunder. Jo lenger og mer komplekst et passord er, desto lenger tid tar det. Et dårlig passord kan knekkes i løpet av sekunder, mens det kan ta svært lang tid å knekke et godt passord. Våre erfaringer viser at det tar alt for kort tid å avsløre passord. Vi får som regel tak i minst en tredjedel av passordene som benyttes på et datasystem i løpet av kort tid. Enkle passord gjør det unødvendig enkelt for en ondsinnet hacker å bryte seg inn i norske datasystemer med mye sensitiv informasjon, sier Botnan. Enkle tiltak kan stoppe mange angrep. De vanligste dataangrepene er teknisk sett relativt enkle å stoppe. Erfaringer viser at virksomheter selv enkelt kan forhindre de fleste internettrelaterte angrep og angrepsteknikker, inkludert målrettede angrep og mange såkalte Zero-Day angrep. Empiriske målinger tilsier at virksomheter som innfører tiltakene beskrevet i dokumentet «S-01 Fire effektive tiltak mot dataangrep» vil stoppe prosent av slike angrep. Hvis alle virksomheter oppgraderer Hvordan foregår en inntrengingstest? Anmodning Når NSM mottar en anmodning om å få gjennomført en inntrengningstest fra en virksomhet, avholdes det som regel et gjensidig informasjonsmøte. Virksomheten utsteder så en samtykkeerklæring, som formelt starter prosessen. Planleggingsfasen NSM utarbeider en testplan i samarbeid med virksomheten. Planen inneholder blant annet testens omfang, avgrensninger, risikovurdering og overordnet fremgangsmåte. Planen godkjennes av virksomheten og NSM før testen iverksettes. program- og maskinvare, installerer sikkerhetsoppdateringer raskt, er restriktive med å gi sluttbrukere administratorrettigheter og blokkerer kjøring av ikkeautoriserte programmer, så vil svært mange dataangrep avverges. Dette er enkle tiltak som i utgangspunktet ikke krever noe ressursbruk, sier Botnan. Sluttrapporten I etterkant av testen utarbeider NSM en rapport til virksomheten, der testens resultater og eventuelle anbefalinger presenteres. Rapporten hjelper virksomheten med å innta en proaktiv holdning og styrke sikkerheten i sine informasjonssystemer ved å implementere tiltak som reduserer sårbarhetene.

12 022 tingenes internett 023 Poltergeist i kjøleskapet? Våre hjem blir i økende grad digitalisert, og med utviklingen kommer nye muligheter og utfordringer. Datachiper blir stadig billigere og puttes inn i stadig flere av de tingene vi omgir oss med. Hva skjer når kjøleskapet begynner å oppføre seg rart på grunn av hacking? Tekst: Niklas Vilhelm Stadig mer fysisk utstyr blir koblet på internett i det som kalles «tingenes internett», eller «the Internet of Things» på engelsk (IoT). Vi kan nå slå på varmen på hytta, sjekke om vi husket å slå på innbruddsalarmen eller slå av lysene alt fra mobiltelefonen. Produsenter av hvitevarer ønsker å tilby en hel rekke intelligente produkter. Vi skal kunne se et matprogram på smart TV-en, lagre oppskriften til kjøleskapet, som automatisk vil sjekke om vi har alle ingrediensene, varsle oss på mobilen, og eventuelt gi ovnen beskjed om å slå på varmen. Et smart hjem. Store produsenter av hvitevarer som Samsung og LG satser friskt på denne trenden. I fremtiden vil kanskje ikke bare lys, varme, ventilasjon, alarmer og dørlåser bli styrt fra mobilen, men også kjøleskap, komfyren, mikroen, oppvask- og vaskemaskiner, robotstøvsugere og vinduer skal kobles til internett. Tanken er at alle produktene vil samarbeide og gjøre hjemmet smart. Analyseselskapet Gartner estimerer at markedet for service og produksjon for IoT vil nå $300 milliarder i Det da vil være 26 milliarder enheter knyttet til internett, mener Gartner. Til sammenligning er det forventet at tilknyttede PC er, smarttelefoner og nettbrett vil utgjøre 7,3 milliarder til sammen (1). Hacking av kjøleskap. Det er noen problemer knyttet til denne utviklingen. Dette er ikke teknologi som først og fremst utvikles med tanke på sikkerhet. En studie fra Hewlett- Packard estimerer at omtrent 70 prosent av slike enheter kan hackes. Det demonstreres stadig at alt fra smart-tv-er til datastyrte toaletter kan hackes. Integrerte kameraer og mikrofoner gjør at kompromittert utstyr kan brukes til å spionere på deg, og kan potensielt misbrukes av sjalu kjærester, i betente skilsmisseoppgjør og arvesaker. I et mye omtalt eksempel ble et kjøleskap hacket og brukt til å sende ut spam. Sannsynligvis var ikke denne historien sann, men scenarioet er langt i fra urealistisk. Og for å ta ett av de mer vemmelige eksemplene fra USA: En mann som hacker seg inn i utstyr for overvåkning av babyer og roper til barna at de skal våkne opp via høyttalerne (2). Få sikkerhetsoppdateringer. Mer alvorlig vil det være hvis komfyrer slås på, sprinkleranlegg utløses eller elektroniske dørlåser åpnes av hackere. Det er liten tvil om at det vil bli en viktig utfordring å sikre slik teknologi. Hvite- og brunevarer har gjerne en lenger forventet levetid enn elektronisk utstyr for forbrukermarkedet. Insentivene for produsentene av utstyret til å forlenge utstyrets levetid med sikkerhetsoppdateringer er små, de vil heller at vi skal kjøpe nytt utstyr. I tillegg kan det være svært vanskelig eller umulig å gjøre sikkerhetsoppdateringer for en del produkter. Hvis sikkerhetsoppdateringen må gjøres manuelt, vil det kreve gode IT kunnskaper av brukeren (3). Lignende problemstillinger er knyttet til rutere. Når gjorde du sist en sikkerhetsoppdatering av din hjemmeruter? Når ruterprodusenter ikke har noen automatisk måte å distribuere sikkerhetsoppdateringer på, blir ruterne mer sårbare med tiden. Rutere har typisk svakere sikkerhet enn bærbare datamaskiner, mobiler og nettbrett, og interessen for digitale angrep mot slikt utstyr er økende (4). Dårlig sikkerhet. I og med at det er blitt flere intelligente dingser i hverdagen, har det også blitt et marked for administrasjonsverktøy for å styre dem. Ved å styre energibruk mer effektivt kan forbrukerne spare utgifter til strøm. Et enkelt brukergrensesnitt for alle dingsene gjør det også mye lettere å holde kontroll. Sikkerheten for slike verktøy blir dessverre ofte oversett. I Dagbladets artikkelserie «Null CTRL» ble flere slike dårlig sikrede administrasjonsverktøy eksponert på internett funnet med søkeverktøyet Shodan. Alle dingser som er koblet mot internettet blir mer sårbare med alderen, og sannsynligheten for at noe galt vil skje øker jo lenger de er på nett. Når vi kjøper oppvaskmaskin, kjøleskap eller komfyr, forventer vi at de skal vare mer enn et par år. Uten en effektiv måte å sikre dem på, er det all grunn til å stille spørsmål ved den forventningen. Hva skal man gjøre? En anbefaling til vanlige folk kunne vært å ikke kjøpe intelligente produkter til hjemmet. Men det er trolig lite gjennomførbart. Folk flest vil ha smarte produkter som gjør hverdagen lettere. Den nye teknologien kan uten tvil bidra til det. Det viktigste industrien av disse produktene kan gjøre, er å legge til rette for automatiske sikkerhetsoppdateringer på lik linje med at du får varsler om oppdatering av programvare på mobilen. Dette er etter mitt syn et ansvar produsentene må ta, og ikke noe som bør skyves over på forbrukerne. Alle dingser som er koblet mot internettet blir mer sårbare med alderen. REFERANSE (1) newsroom/id/ (2) streetwise.co/2014/08/03/ study-internet-of-things- 70-percent-hackable/ (3) com/2014/01/theres-nogood-way-to-patch-theinternet-of-things-andthats-a-huge-problem/ (4) security/2014/08/securityexpert-calls-homerouters-a-clear-andpresent-danger/

13 024 elektroniske nøkler 025 Pass på nøklene! Nøkler i bokser og skuffer til hengelåser og putekasser: De fleste bedrifter behandler dessverre elektroniske nøkler på samme måte som mange gjør det med vanlige nøkler hjemme. Det finnes gode løsninger for elektronisk nøkkelforvaltning. Her er noen tips for hvordan man kan sikre og forvalte ulike elektroniske nøkler på en god måte. Lars Olaussen De fleste av oss har en boks eller skuff full av nøkler hjemme både for hengelåsen til puteboden på hytta som man solgte for fem år siden, og de fortsatt aktuelle reservenøklene til bil og ytterdør. Boksen er ikke sikret og verken form eller utseende på nøklene er standardiserte etter mange års bruk av tradisjonelle nøkler. Dessverre gjøres det ofte på samme måte med elektroniske nøkler i norske bedrifter. Elektroniske nøkler brukes i større grad for å sikre lagring og flytting av data. Både minnepinner, databaser og harddisker har etter hvert blitt kryptert, det samme har nettsteder med sensitiv informasjon, VPNforbindelser fra mobile klienter til bedriftens hjemmenett, og e-post fra avsenders organisasjon til mottaker. Det store problemet, sikring av data, har dermed blitt redusert til noe mindre, men fortsatt ikke ukomplisert, nemlig sikring av nøkler. Ulike låser og nøkler. På samme måte som hver leverandør av låser har ulike nøkler for ulike anvendelser, har leverandører av programvare ulike formater og støtter ulike algoritmer og protokoller. Nøklene er forskjellige ut fra forskjellige anvendelser, fra plastnøkkel for barnas sparegris til syrefaste nøkler for hengelås på båtmotorer. Nøklenes fysiske ulikheter viser også deres ulike sikkerhetsmekanismer. Men selv om nøklene er ulike, er det nødvendig å merke dem på en god måte for enkelt å identifisere dem. De som har tittet i nøkkelboksen for å prøve å finne en nøkkel eller finne hvor en nøkkel har blitt brukt, har ofte endt opp som et stort spørsmålstegn. Derfor må man kjøpe nøkkelmerker og skrive «putekasse hytte». Merking av nøkler. Elektroniske nøkler må også merkes. Dersom nøkkelen bare er et passord eller bitstreng som man skriver ut på papir, kan man bare skrive på arket at nøkkelen er til «harddisk laptop 379». For rene elektroniske nøkler må man legge ved elektronisk metadata. Merking av fysiske nøkler blir ekstra viktig i organisasjoner hvor man benytter systemnøkler. Da ser nøklene helt like ut og man kan ende opp med en nøkkelboks med flere hundre like, men veldig forskjellige nøkler. For enkelt å finne tilbake til rett nøkkel, er det helt nødvendig med god merking av alle nøklene, men også lister over nøklene og oversiktlige nøkkelskap er nyttig. Standardisering. For elektroniske nøkler er det likedan, man bør benytte et nøkkelforvaltningssystem for å utstede nøkler så man har god oversikt over når nøklene er laget, til hvem, for hvilke formål og hvor lenge de skal brukes. Mange nøkkelforvaltningssystemer for ANBEFALINGER NSM anbefaler samme kryptografiske mekanismer (algoritmer og protokoller) for sikring av all informasjon, som familiebilder, sensitive personopplysninger og gradert informasjon. NSM skiller i stedet på tilliten til kryptosystemet som benyttes for å sikre informasjonen fra hjemmelaget programvare med passord som nøkkel, til sertifisert kryptoapparat med nøkler generert av NSM og overlevert med kurér. elektroniske nøkler er, som for fysiske systemnøkler, proprietære og virker kun mot leverandørens egne produkter. Heldigvis er standardiseringen kommet lenger for elektroniske nøkler. Om man tar i bruk asymmetriske kryptomekanismer og offentlig nøkkelinfrastruktur (PKI), kan man utstede digitale sertifikater med nøkler som kan benyttes på tvers av de aller fleste seriøse kryptosystemene. På denne måten kan man nøye seg med ett elektronisk nøkkelforvaltningssystem på tvers av operativsystem, nettverksutstyr, applikasjoner og tjenester. Digitale sertifikater. Mange benytter allerede i dag digitale sertifikater uten at de tenker over det eller vet det, da flere systemer generer sertifikater selv. Ved å sette opp en egen PKI vil disse sertifikatene også bli forvaltet så man får oversikt og kontroll. Foruten informasjon om hva en nøkkel skal brukes til, kan digitale sertifikater inneholde annen nyttig informasjon. Det kan være hvor lenge en nøkkel skal brukes, slik at man blir forberedt på nøkkelbytte, hvem som er bruker av nøkkelen, slik at man kan sperre den når vedkommende ikke lenger skal ha tilgang, eller hvor den er, som på fil eller i smartkort. Slik informasjon legges inn både for at applikasjoner og tjenester skal forstå når og om et sertifikat kan benyttes, men også for at brukere skal kunne få ut relevant informasjon uten å gå til nøkkelforvaltningssystemet. Oversikt og kontroll. Ved hjelp av et skap og noen prosedyrer, kan man gå fra en boks med nøkler hulter til bulter, til oversikt og kontroll. På samme måte kan man ved hjelp av standardisert teknologi og prosedyrer, legge papirutskrifter av og minnepinner med nøkler og et utall ulike nøkkelforvaltningsprogrammer bak seg og få oversikt og kontroll med digitale sertifikater og PKI. For å lese mer om PKI og hva man skal tenke på, anbefales Microsofts «Securing Public Key Infrastructure» ( Om man ønsker å sette opp sin egen PKI, kan man følge en av NSMs maler for å sette opp en OpenSSL- eller Microsoft-PKI på Sikkerhetsbloggen. Ved hjelp av et skap og noen prosedyrer, kan man gå fra en boks med nøkler hulter til bulter, til oversikt og kontroll. ANBEFALINGER NSM anbefaler kryptoalgoritmene i «Suite B» med 128 bits styrke: Advanced Encryption Standard (AES) for konfidensialitetssikring Elliptical Curve Diffie-Hellman (EC-DH) for nøkkeletablering Elliptical Curve Digital Signature Algorithm (EC-DSA) for signering Secure Hash Algorithm (SHA-2) for avtrykk Bruk av smartkort og andre maskinvarebaserte nøkkellagringsenheter er den beste måten å sikre selve nøklene på. Slike enheter generer sterke nøkler, beskytter dem mot kopiering, reduserer mulighetene for misbruk og sørger for sikker sletting av nøklene etter bruk.

14 026 nytt på nett 027 NSM i ny drakt I sommer lanserte Nasjonal sikkerhetsmyndighet sine nye nettsider. Samtidig med de nye sidene tar også NSM i bruk en ny grafisk profil, mens ny logo vil bli lansert i løpet av Fredrik Ruud Johnsen I fjor feiret NSM 10-årsjubileum, mens NSMs nettsider, nsm.stat.no, ble sist oppdatert i Dette var lenge før både smarttelefoner og Facebook presenterte seg for den norske befolkning. Dermed var det på høy tid med nye og friske sider, i tillegg til en ny grafisk profil. Både verden og NSM har gjennomgått store endringer de siste åtte årene. Vi har fått et stadig bredere mandat, og sidene reflekterer NSMs stadig økende sivile rolle. Samtidig skal de som kjenner oss fra før finne igjen det aller meste av innholdet fra de gamle sidene, sier kommunikasjonsdirektør Mona Strøm Arnøy. Topp moderne nettsider. Sidene er utarbeidet sammen med kommunikasjonsbyrået Creuna, som vant en bred anbudskonkurranse i fjor høst. Byrået har også videreutviklet den grafiske profilen, med nye og mer moderne farger, skrifttyper, og illustrasjoner. De nye nettsidene fungerer like godt på store skjermer som på nettbrett og mobiltelefoner. Dette er med andre ord moderne nettsider, som oppfyller alle krav til både funksjon og design. Ny logo i NSMs logo ble lansert i 2006, og er også planlagt endret i løpet av det neste året. Vi er i startgropen når det gjelder å utvikle ny logo for NSM, som både skal videreføre vår tradisjon og signalisere våre roller. Den nye grafiske profilen og nettsidene er første skritt på veien, og vi gleder oss til å videreutvikle NSMs merkevare, sier Arnøy.

15 NSM TRENGER NYE MEDARBEIDERE NSM ansetter hele tiden nye og dyktige medarbeidere i ulike stillinger. Vi trenger både folk med solid IKT-kompetanse, men også folk med bachelor- eller mastergrad i ulike fagområder,som for eksempel statsvitere, jurister, samfunnsvitere ogandre. Følg med på våre nettsider for utlysning av nye stillinger, eller legg inn en åpen søknad dersom du har lyst til å jobbe i Nasjonal sikkerhetsmyndighet. Vi er et miljø i vekst, og har de siste to årene ansatt rundt 100 nye personer. Nasjonal sikkerhetsmyndighet Postboks 814, 1306 Sandvika Tlf post@nsm.stat.no