NSMs erfaringer fra øvelse IKT08 Øivind Mandt Stab enhet for analyse og tilsyn oivind.mandt@nsm.stat.no Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 1
Nasjonal sikkerhetsmyndighet Fører tilsyn, gir råd og veiledning, utvikler sikkerhetstiltak, varsler om trusler og sårbarheter mot vår nasjonale sikkerhet. For virksomheter underlagt sikkerhetsloven og andre som har viktige samfunnsoppgaver. Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 2
Nasjonal sikkerhetsmyndighet Hovedoppgaven er å legge forholdene til rette for god sikring av informasjon og objekter som kan være Spionasjemål Sabotasjemål Terrormål Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 3
Noen overordnede styringssignaler (1) Bidra til effektiv og koordinert håndtering av alvorlige IKTsikkerhetsangrep NorCERT er en del av Nasjonal sikkerhetsmyndighet (NSM) og er Norges nasjonale senter for å håndtere alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon....legger til rette for effektiv håndtering av alvorlige IKT-sikkerhetsangrep mot viktig infrastruktur og informasjon i Norge. St. meld 22 (2007-2008) Samfunnssikkerhet. Samvirke og samordning. Håndteringen av koordinerte dataangrep mot kritiske samfunnsfunksjoner er et ansvar som er tillagt Nasjonal sikkerhetsmyndighet. Dette innebærer at Forsvarets bistand til det sivile samfunn ved slike samfunn skal koordineres med NSM. Et forsvar til vern om Norges sikkerhet, interesser og verdier. Iverksettingsbrev for forsvarssektoren (2009-2012). Utvikle et koordinert forslag til strategi for et nasjonalt Cyber Defence i forlengelsen av regjeringens retningslinjer for å styrke informasjonssikkerheten 2007-2010. Iverksettingsbrev 2009 for NSM Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 4
Noen overordnede styringssignaler (2) Utarbeidelse av et koordinert IKT-trusselbilde...skal produsere et oppdatert nasjonalt IKT-trusselbilde....etablert en koordineringsgruppe med representanter fra Etterretningstjenesten og Politiets sikkerhetstjeneste som skal sikre en helhetlig beskrivelse av IKT-trusselbildet. St. meld 22 (2007-2008) Samfunnssikkerhet. Samvirke og samordning....er det derfor viktig å sikre en helhetlig, sivil-militær innretning på arbeidet med analyser av IKT-trusselbildet. Ved utarbeidelse av nasjonale IKT-trusselvurderinger, skal derfor NSM samarbeide tett med Etterretningstjenesten og Politiets sikkerhetstjeneste. Et forsvar til vern om Norges sikkerhet, interesser og verdier. Iverksettingsbrev for forsvarssektoren (2009-2012) Koordinert og oppdatert IKT-trusselbilde Iverksettingsbrev 2009 for NSM Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 5
NorCERT forbereder Norge på en IKT-krise: bygger opp kompetanse etablerer nettverk er en operativ enhet i NSM varsler om alvorlige angrep, trusler og sårbarheter koordinerer responsen ved alvorlige IKT-hendelser. har etablert et dedikert operasjonssenter som fortløpende analyserer IKTtrusselbildet. holder til på Akershus festning og er tilgjengelige 24/7. er basert på utstrakt samarbeid med nasjonale og internasjonale aktører. finansieres delvis av private aktører. Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 6
IKT er sektorovergripende Gjensidig avhengighet preger de samfunnskritiske funksjonene Olje/gass Telekomm. Vann Bank & finans Transport Nødetater Myndighetsutøvelse Kraftforsyning Felles for alle kritiske samfunnsfunksjoner er deres avhengighet av kraftforsyning og telekommunikasjoner Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 7
Et nettverksbasert samfunn Vi lever i et nettverksbasert samfunn og er svært avhengig av IKT, enten det dreier seg om nettbanker og mobiltelefoner, eller militære installasjoner. Et nettverksbasert samfunn løser oppgaver på nye og bedre måter og utnytter ressurser mer effektivt, men har samtidig gitt et nytt trusselbilde. Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 8
En velfyllt verktøykasse Dataangrep er nå en del av verktøykassen ved konflikter Lite ressurskrevende Enkelt å gjennomføre (spesielt DDoS) Gir mediaoppmerksomhet (propaganda) og delegitimerer myndighetene Angriper er vanskelig å identifisere lett å skjule seg Kan operere fra hvor som helst i verden fjerntliggende konflikter kan få konsekvenser også i Norge Exploiting vulnerabilities in cyber infrastructure will be part of any future conflict....must treat cybersecurity as one of the most important national security challenges it faces. Securing Cyberspace for the 44th Presidency. Center for Strategic and International Studies, Dec.2008 Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 9
Eksempler på politisk motiverte angrep Jyllands-Posten Danmark (2006) I kjølvannet av Muhammed karrikaturene (2005) DDoS angrep som slo ut nettsidene i flere uker i januar 2006 Sverige (2006) Pirate Bay raidet av svensk politi Massive protester mot myndighetene og politiet spesielt DDoS angrep som lammet politiet.se og regjeringen.se Estland (2007) Myndighetene fjernet et russisk krigsmonument Massive DDoS angrep mot en rekke webservere og kritisk infrastruktur, ledsaget av såkalt defacing Georgia (2008) Første gang vi observerer alvorlige dataanslag samtidig som en væpnet konflikt pågår Massive DDoS angrep mot en rekke webservere og kritisk infrastruktur, ledsaget av såkalt defacing Litauen (2008) Democratic Voice of Burma / dvb.no (2008) Enkelt angrep mot webside (gikk ned) Gaza-krigen (2009) Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 10
Hvorfor en IKT-øvelse? Ikke tidligere gjennomført en større sivil sektorovergripende IKT-øvelse i Norge Sterke gjensidige avhengigheter mellom samfunnskritiske tjenester; Dokumentert bl.a BAS-studiene fra FFI og NOU 2006:6 Når sikkerhet er viktigst Avhengighet av kraftforsyning og telekommunikasjoner felles for alle kritiske samfunnsfunksjoner. Økende avhengighet mellom ulike tjenester og infrastrukturer Behov for å teste tiltak og samhandlingsmønstre mellom ulike aktører mellom myndigheter mellom offentlige og private aktører mellom sektorer DSB og NSM fikk i oppdrag av Justisdepartementet å arrangere en IKTøvelse i 2008 Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 11
Bakgrunn Øvelse 08 ble gjennomført 1. 3. desember. Øvelse SNØ 08 ble gjennomført 9. desember. IKT08 var en stor nasjonal IKT-sikkerhetsøvelse der hensikten var å øve aktører med ansvar for kritiske samfunnsfunksjoner DSB hadde øvingsledelsen for øvelsen. NSM var medarrangør med ansvar for det IKT-faglige innholdet Myndigheter og private aktører innen blant annet olje- og gass -, energi-, tele- og bank- og finanssektoren deltok Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 12
Målsetninger for øvelsen Hovedmålet for øvelse IKT 08 var å innhente erfaringer av betydning for utviklingen av samfunnets evne og kapasitet til å håndtere fasene før, under og etter massivt angrep på digital infrastruktur Delmål 1 - Ansvars- og rolleforståelse ved de ulike beslutningsnivåene før, under og etter en hendelse Delmål 2 Hensiktsmessigheten ved etablert planverk Delmål 3 - Informasjonsdeling vertikalt og horisontalt for de ulike beslutningsnivåene før og etter en hendelse Delmål 4 - Mediehåndtering og krisekommunikasjon til befolkningen før og etter en hendelse Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 13
Formål med bakgrunnsscenario Formål: Etablere en situasjon for øvelsen som motiverer for et alvorlig informasjonsteknologisk angrep, eller knippe av angrep, mot Norge. Situasjonen må være stor nok til at det er sannsynlig at slike angrep får et omfang som kan utløse en alvorlig krise i Norge som blir vanskelig å håndtere. Ramme: Den eller de som angriper, må være ressurssterke nok til å gjennomføre det og potensielt påføre betydelig skade. Den påfølgende krisen må kunne ramme flere viktige samfunnssektorer samtidig og slik at gjensidige avhengigheter belyses. Angriper(ne) må ha tilstrekkelig kapasitet til å utfordre norsk beredskap på området ut over det som håndteres til vanlig. Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 14
Samfunnsmessig konsekvens Tilsiktede ondsinnede handlinger et bredt spekter Krigshandlinger Militære raid Terrorhandlinger Sabotasje / Spionasje Skadelig etterretningsaktivitet Organisert kriminalitet Hærverk og tyveri Guttestreker Sannsynlighet Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 15
Hvordan Øvelsen tok utgangspunkt i en fiktiv situasjon der Norge, gjennom norske virksomheter, hadde kommet på kant med ulike lysskye, internasjonale grupperinger. Myndighetene i flere land gikk aktivt ut for å bekjempe Internettkriminalitet. Samfunnsmessig epokeskifte med økning i den organiserte kriminaliteten og økningen i kriminalitetsformer relatert til bruken av IKT. En rekke tjenester er etablert i eller flyttet til land i Øst-Europa. Mye av virksomheten foregår fra useriøse ISP-er eller ISP-er opprettet av de kriminelle ( Rogue ISPs ). Det benyttes også anonymiserte datanettverk som muliggjør anonym bruk av Internett. Det kan ikke utelukkes at de kriminelle organisasjonene har kontakter i Norge. Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 16
Eskalering frem mot den aktuelle krisen Frem mot 2008 økte myndighetene kampen mot nettkriminelle og annen uønsket aktivitet på nettet Gjennom nasjonalt og internasjonalt samarbeid lyktes myndighetene i å stenge ned en rekke tjenester på Internett, og å få stoppet virksomheten til noen rogue ISPs Norske myndigheter er særlig aktive i forhold til stengning av anonymiserte datanettverk på Internett Anonymiserte datanettverk er populær blant mange brukere, og nedstengingen skaper misnøye og mulighet for aksjoner. Reaksjonene kommer spesielt fra brukere i land med sterk Internettsensur, der anonymiserte nettverk benyttes for å fritt kunne spre informasjon og propaganda. Det er en mulighet at fremmed etterretning ser mulighetene til å skjule angrep og spionasjeforsøk i den øvrige støyen som genereres Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 17
Umiddelbart før krisen En av de største kriminelle organisasjonene bestemmer seg for å angripe norske virksomheter. Gjennom kontakter til andre kriminelle organisasjoner oppfordrer de til å støtte opp med ulike former for angrep. Det planlegges med en viss arbeidsdeling mellom ulike grupper, slik at angrepene i noen grad vil være koordinert. Det satses på Internett som angrepsvektor. Det ble oppfordret til å rette angrepene i hovedsak mot telekomsektoren, bank- og finanssektoren og energisektoren. Gjennom kartlegging av viktige aktører og systematisk sosial manipulasjon har angriperne skaffet seg kontakt med og har press på innsidere i en rekke virksomheter. Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 18
Ulike målsetninger Gruppene som angriper har flere målsetninger og de er ikke nødvendigvis gjensidig samordnet: økonomisk vinning å teste ut egne nyutviklede verktøy og å teste ut vestlige staters sårbarheter en politisk manifestasjon ved å stille norske myndigheter i forlegenhet ved å skape en krise de ikke kan håndtere signalisere at internett bør være fritt uten innblanding fra statlige og overstatlige aktører Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 19
Scenario Overordnet bakteppe/scenario Nasjonalt teknisk scenario 1 2 3 4 Lokale scenarier avhengig av deltakerne Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 20
Planleggingen Nasjonalt teknisk scenario Tjenestenektsangrep (DDOS) mot kritisk infrastruktur Lokale scenarioer avhengig av planleggingen til de enkelte sektorer/virksomheter. Det ble øvd på kjente trusler og sårbarheter bl.a; Tjenestenektsangrep (DDOS) Trojanere Malware-håndtering/virusangrep Svindelforsøk/insidere Det var kun teoretiske angrep der utøverne skulle respondere på mulige hendelser og problemstillinger. Det ble ikke tilført noen av aktørene noen risiko i forbindelse med øvelsen, og ikke noe teknisk spill under øvelsen Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 21
Andre Tele Energi Finans Scenariotidslinje (intensitet) 1. des 2. des 3. des Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 22
Noen tilbakemeldinger ift scenarioet Scenarioet ble gjennomgående ansett som realistisk av deltakerne For både tele- og finanssektoren er de hendelsene som ble øvd sentrale i risikovurderingene. Hovedinntrykket fra evalueringsrapportene fra sektorene og deltakende virksomheter er at planverkene deres viste seg å være godt tilpasset det aktuelle scenarioet. Ved en reell situasjon ville problemene trolig rammet både bredere og dypere i samfunnet enn det som kunne modelleres i øvelsen. Et relativt stort antall journalister deltok i øvelsen. Mediebelastningen på aktørene ble tross dette likevel langt mindre enn det ville ha vært i en reell situasjon Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 23
Noen utfordringer i forhold til scenario Et samfunn som på myndighetssiden i stor grad er organisert i sektorer og geografiske enheter, skulle håndtere en krise som var tverrsektoriell og rammet uavhengig av geografi. Utfordring for gjeldende prinsipper for ansvar, likhet og nærhet og den tradisjonelle sektorielle håndtering av hendelser Medfører et langt større behov for samordning av sektorene Norge ble utsatt for kriminell virksomhet som var nettverksbasert, vanskelig identifiserbar og hadde sitt utspring utenfor landets grenser. Dette gjør at myndighetenes oppgaver blir annerledes enn om skadevolderne hadde befunnet seg på norsk jord. Fokus vil i større grad bli rettet mot skadereduksjon, omdømmebeskyttelse, informasjon til publikum og reetablering av tjenester Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 24
Håndtering på sentralt nivå En sektorovergripende IKT-krise ga andre utfordringer enn de krisene beredskapssystemene tradisjonelt er innrettet mot å håndtere. I komplekse krisesituasjoner er det behov for styrket strategisk koordinering mellom departementene gjennom Regjeringens kriseråd (RKR). Dette omfatter blant annet å vurdere spørsmålet om lederdepartement, sikre god koordinering av tiltak som iverksettes av ulike departementer og etater, og sikre koordinert informasjon til media, publikum og andre Vanskelig å øve på roller og avklaringer under øvelsen da departementene ikke var en del av øvelse IKT08. Det ble tidlig avdekket behov for koordinering, særlig i forhold til rollefordeling (samfunnsmessige konsekvenser) blant etatene og informasjonsdeling til publikum Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 25
Håndtering i NSM Utarbeidet 5 situasjonsrapporter til overordnede departementer (JD/FD) 1 situasjonsvurdering (H) med koordineringsgruppen for IKTtrusselbildet (NSM, E-tjenesten og PST) 1 rapport med risikovurdering og vurdering av mulige samfunnsmessige konsekvenser av hendelsene 2 pressemeldinger Koordinerte aktivt overfor sektormyndighetene Telefonkonferanser Rapportering Arrangerte 2 pressekonferanser Nasjonale og internasjonale TV-team Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 26
Håndtering i NorCERT Aktivitet mot NorCERT OPS: 576 registrerte kommunikasjoner i ticketsystemet 1 hvert 2. minutt Fordelt på 125 ticketnr/saker 7 situasjonsrapporter til Kolsås Videre distribusjon fra SITSEN Sikkerhetsvarsel (25/11): bakgrunnsinformasjon Sårbarhetsvarsel (1/12): MS + Cisco IOS sårbarheter Sikkerhetsvarsel (2/12): Spredning av epost-trojaner Pulsvarsel (2/12): Puls til nivå 4 Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 27
Noen erfaringer Viktig å kunne handle raskt og koordinert en utfordring når mange aktører ikke er operative til daglig NSM/NorCERTs rolle som nasjonalt senter for koordinering av alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon ble testet ut Koordinering av tiltak på strategisk nivå (NSM) og operativt nivå (NorCERT) Krevende med to lokaliseringer (Kolsås/Akershus) med to SITSer Krevende å holde et oppdatert situasjonsbilde En IKT-krise involverer mange aktører og genererer store mengder informasjon Samarbeid med andre enn normalkontakten - problem å få nok rapportering Det er mange aktører som har en flik av situasjonsbildet Behov for tett samarbeid mellom EOS-tjenestene Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 28
Noen erfaringer (forts) Uttesting av myndighetsroller og hjemler Testet prosedyrer for nedstengning av.no domener og IP-adresser som styrte angrep (Post -og teletilsynet og NSM) Etterforskning og hendelseshåndtering (POD/Kripos og NSM) Utfordringer knyttet til informasjonsdeling med forkjellige aktører Gradert samband fungerte dårlig i mange tilfeller Kunne ikke dele skjermingsverdig informasjon med viktige private aktører Flere virksomheter ga tilbakemelding om at Sivilt beredskapssystem (SBS) var generelt lite hensiktsmessig i forhold til hendelser som dette. Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 29
Anbefalinger: Et lederdepartement for sektorovergripende IKT-kriser bør forhåndsutpekes for å ikke tape verdifull tid NorCERTs funksjon som Hovedredningssentral for Internett bør hjemles bedre NSM v/norcert bør få fullmakt til iverksette en del forhåndsplanlagte tiltak når hensyn til rikets sikkerhet og vitale nasjonale sikkerhetsinteresser krever det. F.eks å kunne pålegge ISPer å iverksette tiltak og å rapportere Det er behov for å etablere et helhetlig rapporteringsregime knyttet til IKT-hendelser i Norge. Mangler etablerte maler for meldings- og rapporteringsrutiner Det bør forberedes for at NorCERT skal kunne understøtte alle departementer Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 30
Anbefalinger (forts.) Flere private virksomheter bør vurderes lagt inn under Sikkerhetsloven for å få tilgang til graderte sikkerhetsvarsler og trusselvurderinger Gradert samband bør oppgraderes for sivil sektor SBS bør revideres for å tilpasses til realitetene ved en IKT-krise Det bør gjennomføres hyppigere øvelser med flere myndighetsnivåer Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 31
Takk for oppmerksomheten! Nasjonal sikkerhetsmyndighet Sikre samfunnsverdier 32