HENGER SAMMEN: De ugraderte og graderte nettverkene henger mer og mer sammen, blant annet med noe felles infrastruktur. Det gjør NSM bekymret. (Bilde: Espen Zachariassen)

NSM slår alarm om it-sikkerheten

  • IT

Truslene i 2011

NSM regner med en økning i alvorlige it-hendelser fremover.

  • Selv robuste IKT-systemer vil ikke være fullt sikret mot ukjente tekniske trusler og de avanserte aktivitetene som utgjør de alvorligste utfordringene mot vitale nasjonale interesser.
  • Fremveksten av skadelig programvare som angriper prosesskontrollsystemer kan i fremtiden bli en av de største sikkerhetsutfordringene som det moderne samfunnet står overfor.
  • Spredning av skadevare over mobile enheter som mobiltelefoner, særlig smarttelefoner og nettbrett
  • Misbruk av og infisering av smartkort og smartkortlesere
  • Målrettede angrep mot lukkede nett. Det har vist seg at de ikke er immune, særlig med uforsiktig bruk av minnepinner.
  • Mer profesjonell utvikling av ondsinnet programvare.
  • Forsøk på å infiltrere prosesskontrollsystemer.


Derfor er NSM bekymret

Her er noen av hendelsene i 2010 som får NSM til å slå alarm:

  • I februar 2010 ble nettsidene til flere offentlige myndigheter, herunder NSM, utsatt for et distribuert tjenestenektsangrep (DDoS). Flere andre nettsteder har opplevd det samme i løpet av 2010, blant annet nettsidene til aviser, bedrifter og interesseorganisasjoner.
  • 7. april 2010 oppdaget en ansatt i en norsk bedrift en e-post som utga seg for å være fra en ansatt i NASA. E-posten inneholdt et dokument som forsøkte å laste ned en trojaner fra Internett. Denne trojaneren var et verktøy for fjerninnlogging som ville gitt angriperen full kontroll over kompromitterte maskiner.
  • 9. juli 2010 ble det oppdaget mistenkelig nettverkstrafikk fra en datamaskin tilhørende en ansatt i et departement. På datamaskinen ble det oppdaget flere trojanere. Den ene samlet inn alle dokumenter opprettet den siste uken og klargjorde disse til å bli sendt ut på Internett tilbake til angriperen.
  • Forsvarsbedriften Nammo oppdaget fem målrettede angrep mot seg med trojanere i 2010. Emnene i e-postene var relatert til forsvarsindustrien. Trojanerne var ulike versjoner av fjerninnloggingsverktøy som ville gitt angriperen full kontroll over kompromitterte maskiner.

– Det er grunn til en fortsatt bekymring for sikkerhetstilstanden i Norge. Datasikkerheten er ikke god nok, og sikkerhetsarbeidet blir ikke prioritert, lyder dommen fra direktør Kjetil Nilsen hos Nasjonal sikkerhetsmyndighet (NSM).

I dag legger etaten frem sin årsmelding for 2010, og her kommer direktøren med krass kritikk av sprikende regler og mangelfull lederkultur i det norske samfunnet.

Les også: Vil styrke cyberforsvaret





Økt fare - mindre fokus

I meldingen skriver NSM at sikkerhetsrisikoen på nettet øker, med stadig mer skreddersydd og avansert skadelig programvare. Samtidig er det for lite fokus på datasikkerhet.

Derfor svekkes it-sikkerheten, konkluderer NSM.

Nytt dataangrep mot regjeringen

Lederne dårlige på it-sikkerhet





Farlig kobling

Utgangspunktet til Nasjonal sikkerhetsmyndighet er å ha oversikt over samfunnets kritiske sårbarheter og hjelpe virksomhetene til å motvirke eller tette sårbarhetene.

De som håndterer sikkerhetsgradert informasjon i Norge i dag har relativt sikre it-systemer, som er underlagt strenge krav i sikkerhetsloven.

Men koblingen mot mindre sikre systemer øker risikoen.

– Vi har i flere år sagt at vi er bekymret for grunnsikringen i samfunnet, utenfor de graderte nettverkene som vi har et ansvar for. Det er fordi de ugraderte og graderte nettverkene henger mer og mer sammen. De er blant annet avhengig av den samme infrastrukturen, påpeker NSM-sjefen.

ROBUST: NSM-direktør Kjetil Nilsen ønsker seg en grunnleggende sikkerhet som gjør hele samfunnet mer robust mot nettangrep. NSM





Sprikende regler

Nilsen mener at uklare og sprikende regler bidrar til svekket it-sikkerhet.

Forvaltningen må forholde seg til mange ulike krav til informasjonssikkerhet, blant annet i:

  • personopplysningsloven
  • ekomloven
  • sikkerhetsloven
  • lover og forskrifter om informasjonssikkerhet i helsesektoren




Uklare mål

– Selv om det stilles krav, så er det sjelden formulert klare mål for sikkerheten. Og offentlig forvaltning har ingen helhetlig tilnærming til hvilke tekniske krav samfunnet skal stille. Og det er ulike oppfatninger av hvilken risiko samfunnet ønsker å ta. Mange ulike regelverk og krav vanskeliggjør integrasjon og samarbeid, og det går ut over effektivitet og verdiskapning, sier Kjetil Nilsen.

I praksis handler det om at man ofte ikke vet hvem som sitter med ansvaret eller hva som er akseptabelt sikkerhetsnivå.

– Er det individet som skal ta stilling til sikkerheten, er det virksomhetene, er det departementene eller er det andre? Er det greit om våre dokumenter og e-poster kan leses av uvedkommende? Er det greit om dokumenter og e-poster vi mottar kan være manipulerte eller forfalsket? Er det greit at vi ikke får tilgang til kritiske systemer når vi trenger det? Er det greit om andre kan utgi seg for å være oss?

– Når vi stiller denne typen spørsmål skjønner vi risikoen vi står overfor, og hva vi er villig til å akseptere. Og det er en reell fare for dette i mange datasystemer i Norge i dag, advarer NSM-sjefen.

Farlig trojaner på frifot i ett år





Grunnleggende sikkerhet

Han mener det er behov for å etablere det han kaller ”en helhetlig robust grunnsikring”, som er basert på et felles sikkerhetsnivå for offentlig forvaltning og andre som eier eller drifter kritisk infrastruktur.

– Dette er viktig for å redusere risikoen for at sensitiv informasjon kommer på avveie, eller at noen kan manipulere kritisk informasjon. Vi må sørge for at de ulike regelverkene innen informasjonssikkerhet blir såpass harmoniserte at vi får et felles sikkerhetsnivå i Norge, sier NSM-direktøren.

Les også: – Dataangrep kan stoppe Olje-Norge