Hackingen av Stortinget og svakheten det representerer

«En ny hverdag for alle som jobber med datasikkerhet»

Kjære leser, denne uken har nasjonen blitt rystet av et hacker-angrep på Stortinget. I dette innlegget vil jeg dele litt av de tankene som de siste dagene har blitt diskutert blant noen av landets fremste på hacking. Jeg snakker om etiske hackere som er tilknyttet virksomheten vår i RCIS der jeg er styreleder. Vi har nemlig drøftet angrepet på Stortinget i detalj, og resultatet av våre konklusjoner kan ha betydning også for deg.

De fleste forstår hvilke konsekvenser et branntilløp kan få for drift i en bedrift eller organisasjon. For å redusere risiko installerer de røykvarslere, og skulle brann først inntreffe har de tilgjengelig slukkeutstyr og en plan for hvordan de skal redusere konsekvensene og sikre videre drift. Hvordan ser sammenliknbare tiltak ut for trusler i den digitale verden? La meg utdype.

I fjor høst ble stortinget rammet av en nettverksoperasjon der trusselaktøren fikk tilgang til flere e-postkontoer. Etterforskningen konkluderte med at sikkerheten ikke var i henhold til faglige anbefalinger fra NSM, og «at vanlige sikkerhetsmekanismer kunne avverget vellykket kompromittering«. Tilbake til brannanalogien tilsvarer dette at det elektriske anlegget ikke var i henhold til dagens standard, og at det var påregnelig at det før eller senere ville oppstå en brann.

Det nyeste datainnbruddet i stortinget er bemerkelsesverdig fordi det kunne inntruffet til tross for at alle mulig sikkerhetstiltak var på plass. Angriperen har benyttet seg av såkalte zero-day sårbarheter, og angriperen har vært aktiv i lang tid før de ble oppdaget eller det ble gjort tilgjengelig en oppdatering fra leverandøren. Med andre ord er det ikke lenger tilstrekkelig å forebygge datainnbrudd, man må også ha en plan for hva man skal gjøre hvis det inntreffer og et system som fanger opp at man er blitt kompromitert. Rotter i lasten må fanges opp når uhellet først er ute.
Den ferske hendelsen på stortinget er bemerkelsesverdig fordi over 30000 andre organisasjoner er rammet av den samme sårbarheten. Det betyr at selv om man følger alle anbefalingene fra NSM så er det fortsatt en risiko for at man opplever et innbrudd, på samme måte som at brann kan inntreffe selv om man følger alle rådene i veiledning til forskrift om brannforebygging fra DSB. Det betyr også at verktøy som tidligere var reservert for bruk mot high-value targets som offentlige etater eller store børsnoterte firmaer nå også tas i bruk mot små og mellomstore bedrifter. I enkelte tilfeller kan de også brukes mot privatpersoner om oppsiden for bakmennene er stor nok.

Konsekvensene av et slikt angrep som det som nå pågår mot Exchange servere rundt i verden er at all informasjon som du eller bedriften din har lagret kan komme på avveie og den kan ofte også blir kryptert og gjort utilgjengelig for deg. Det vil for mange bety kroken på døra, og ettersom sannsynligheten for at det inntreffer fortsetter å øke er det ikke en risiko man kan fortsette å unnlate å forholde seg til.

Nettopp derfor er det to ting som gjelder når sikkerheten skal ivaretaes. Gode analyser og dybde kunnskap om angrep i forkant og klare rutiner når det først smeller. Det er nemlige som regel ikke et spørsmål om “hvis” men når.

Mvh

Kjell-Ola Kleiven

Styreleder Raven Cyber Intelligence Solutions As

Styreleder Risk Information Group As

Hør mer om kriminalitet og svindel i podcasten Tjuvstart

Skriv en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *