Et brutalt urovekkende cyberangrep. Nå haster det!
Om og hvordan det har rammet Norge, er så langt ikke kjent.
I desember ble vi klar over det mest omfattende og skremmende cyberangrepet verden har sett. Det er gjennomført på en måte som er svært vanskelig å beskytte seg mot, og det er bekreftet at det har rammet sentrale institusjoner sentralt i USA. Om og hvordan det har rammet Norge, er så langt ikke kjent.
The New York Times oppgir at 18.000 organisasjoner verden rundt er rammet. På listen finner vi en lang rekke føderale departementer i USA, deler av Pentagon og Homeland Security, selskaper ansvarlig for strømforsyning og laboratorier som utvikler kjernevåpen.
Hvilke institusjoner utenfor USA som er rammet, har det vært mindre oppmerksomhet rundt, men omfanget gjør at få land vil være uberørt.
Ofre blant statsetater og private virksomheter i Nord-Amerika, Europa, Asia og Midtøsten er blitt varslet. Hvem som står bak angrepet, er ikke fullt avklart, men det hevdes at mange piler peker i retning av Russland.
Programvare med bakdør
Men hvordan kunne så mange som 18.000 organisasjoner bli rammet? Det er fordi angrepet er gjennomført på en måte vi ikke har sett tidligere.
En programvareleverandør som heter Solarwinds, ble hacket, slik at de – uten å vite det – laget programvare med en farlig bakdør i.
Denne programvaren ble, gjennom programvareoppdateringer, installert hos 18.000 kunder. Dette skjedde uten at hverken Solarwinds' kunder, ledelse eller ingeniører var klar over hva som foregikk.
Det fortelles at dette angrepet pågikk i over et halvt år før det ble oppdaget, og at amerikanske sikkerhetsmyndigheter måtte bli gjort oppmerksom på det av et privat sikkerhetsfirma.
Dette er ikke fordi amerikanske myndigheter gjør en dårlig jobb. Det finnes nemlig ingen tilfredsstillende løsninger for hvordan vi kan forsvare oss mot angrep gjort av – eller gjennom – utstyrsleverandøren vår.
Brannmurer nytteløse
For tradisjonelle cyberangrep er det annerledes. De som forsvarer systemene mot angrep, har brannmurer og sikkerhetsbarrierer for å hindre at en uønsket kode kommer inn i dem. Videre har de metoder for å skanne systemer for kodesekvenser som ikke skulle ha vært der.
For denne nye typen angrep er imidlertid dette nytteløst.
Dersom bakdøren inn i systemet ditt kom med produktet da du kjøpte det, gir det ingen verdi å hindre noen i å legge den inn etterpå. Dersom alle produkter fra leverandøren har samme bakdør, vil ikke skanning av systemet ditt oppdage noe unormalt.
Om vi ikke kan oppdage at bakdørene finnes i systemene våre, kan vi i noen tilfeller oppdage at angriperne benytter seg av dem.
Alle kritiske installasjoner blir overvåket kontinuerlig for å oppdage uønsket aktivitet. Dette gjøres både av dem som eier infrastrukturen selv, av sikkerhetsmyndigheter og i mange land av etterretningstjenester som overvåker fiberkabler som krysser landegrenser.
Når uønsket aktivitet oppdages, vil imidlertid skaden i mange tilfeller allerede være skjedd. Informasjon som er lekket ut, kan ikke kalles tilbake, svindel og sabotasje vil faktisk ha funnet sted.
Og dersom noen er blir satt under press gjennom et cyberangrep, hjelper det lite at de får vite om at cyberangrepet faktisk finner sted.
Utfordrer rådende tenkning
Det er brutalt urovekkende å se at noen har lykkes med denne typen angrep.
Det utfordrer rådende tenkning knyttet til hvordan vi forbereder oss på cybertrusler både i fred, krise og krig.
Ved tradisjonelle cyberangrep vil det i løpet av relativt kort tid vil være mulig å gjenopprette systemer, slik at for eksempel kritisk infrastruktur igjen vil fungere slik som produsenten opprinnelig planla at det skulle fungere.
Det er derfor ikke vanlig å planlegge for at noen er i stand til å sette det digitale utstyret vårt permanent ut av spill.
Men dersom produsenten selv har ment at utstyret ikke skal virke lenger, vil det å sette utstyret tilbake til den opprinnelige tilstanden som produsenten la til grunn, ikke kunne hjelpe oss.
For å håndtere en slik situasjon må man gå inn og gjøre endringer på systemet selv, og uten støtte av produsenten. Situasjonen vil ligne litt på det å forsøke å få Word til å fungere uten å ha kjøpt lisens fra Microsoft, men løsningen vil være langt vanskeligere å finne.
Dette vil sjelden være mulig innenfor tidsrammen gitt av en internasjonal krise.
Det haster med å gjøre mottiltak
At angrep gjennom det vi kaller «den digitale verdikjeden» kan skje, har vært diskutert lenge. Og når myndigheter i den vestlige verden har vært redde for å la Huawei bygge 5G-nettene sine, er det av frykt for denne typen angrep.
Det vestlige land er redde for, er at kineserne selv kan kontrollere utstyret i 5G-nettet, selv etter at vi har kjøpt og overtatt det. Vi har imidlertid ikke sett denne typen angrep gjennomført i stor skala tidligere. Ikke før nå.
Som et lite land er det lite vi kan gjøre for å hindre slike angrep. Noen tiltak peker seg likevel ut.
Først bør vi skaffe oss en oversikt over de digitale verdikjedene som kritisk infrastruktur og kritiske installasjoner bygger på. Slik får vi vite hvem som er i posisjon til å skade oss.
Dernest bør vi arbeide mot en kontrollert variasjon i hvem som leverer utstyr til sentral infrastruktur, slik at ingen enkeltleverandør kan ramme hele landet.
Til sist bør vi tenke grundig igjennom om vi har satt våre sikkerhetsmyndigheter i stand til å håndtere slike trusler. Viktig arbeid er allerede satt i gang på alle disse områdene, men med dette angrepet fikk vi en wake-up call.
Nå haster det.
Innleggsforfatteren er leder av de to regjeringsoppnevnte Lysne-utvalgene som kartla samfunnets digitale sårbarhet og utredet behovet for digital grensekontroll i Norge.
Du kan følge utviklingen i denne saken på https://www.securityweek.com/continuous-updates-everything-you-need-know-about-solarwinds-attack . Der legges det fortløpende ut pekere til nyhetsartikler om saken.
