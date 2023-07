Hvem hacket de norske departementene? Eksperter tror ikke det er amatører

Ukjente aktører har utnyttet en sårbarhet i et datasystem som 12 departementer bruker. Det er ikke kjent hva slags informasjon de kan ha sikret seg.

F.v.: Kommunal- og distriktsminister Sigbjørn Gjelsvik (Sp) og Geir Arild Engh-Hellesvik i NSM på pressekonferansen mandag der de orienterte om dataangrepet på departementene. Vis mer

En felles IKT-plattform som de fleste norske departementer benytter seg av for saksbehandling, er utsatt for et alvorlig dataangrep.

Til sammen er 12 av 16 departementer rammet. Det kom frem da kommunalminister Sigbjørn Gjelsvik (Sp) mandag morgen holdt pressekonferanse.

– Vi tar denne hendelsen svært alvorlig, sa Erik Hope, sjef for Departementenes sikkerhets- og serviceorganisasjon (DSS).

Fakta Følgende departementer er rammet: Norge har 16 departement. 12 av disse er rammet i dataangrepet mot IKT-plattformen som departementene benytter seg av. Følgende departement er ikke rammet: Statsministerens kontor.

Forsvarsdepartementet.

Justisdepartementet.

Utenriksdepartementet. Årsaken er at disse har sin egen IKT-plattform. Det betyr at disse departementene er rammet: Arbeids- og inkluderingsdepartementet

Barne- og familiedepartementet

Finansdepartementet

Helse- og omsorgsdepartementet

Justis- og beredskapsdepartementet

Klima- og miljødepartementet

Kommunal- og distriktsdepartementet

Kultur og likestillingsdepartementet

Kunnskapsdepartementet

Landbruks- og matdepartementet

Nærings- og fiskeridepartementet

Olje- og energidepartementet Vis mer

Etterforskningen pågår

Saken etterforskes av politiet. Det er ikke kjent hvem som sto bak angrepet. Angrepets omfang og hvilke programvarer eller systemer som er rammet, er foreløpig ukjent.

Det vi vet, er at det dreier seg om et «nulldagsangrep», eller «zero day attack». Det bekreftet Geir Arild Engh-Hellesvik i Nasjonal sikkerhetsmyndighet (NSM) på pressekonferansen.

NSM har bekreftet til Aftenposten at programvaren brukes av andre enn departementene. Foreløpig finnes det ingen generell oppdatering som fikser sårbarheten.

Den utvidede utenriks- og forsvarskomiteen er varslet i saken, sa kommunalminister Sigbjørn Gjelsvik på pressekonferansen mandag. Han minnet om at norske myndigheter og selskaper de siste årene har vært utsatt for flere alvorlige dataangrep:

– Dette er en påminnelse om at cybertrusselen er høyst reell og en betydelig del av den nye sikkerhetspolitiske situasjonen som vi lever i.

Nulldagsangrep kan få store konsekvenser

Et nulldagsangrep får navnet sitt av følgende:

Det finnes en svakhet i en programvare som ikke er kjent for leverandøren eller produsenten.

Hackere oppdager svakheten og forsøker å utnytte den.

Begrepet «Null dager» spiller på at sårbarheten akkurat er oppdaget, og at leverandøren har hatt null dager på å fikse svakheten.

Frem til svakheten er oppdaget, kan den utnyttes av ondsinnede aktører. Hvis et «nulldagsangrep» får pågå i lengre tid før sikkerhetshullet blir tettet, kan konsekvensene bli store.

– Når det er en nulldagssårbarhet så finnes det ikke noen umiddelbar fiks når den blir oppdaget, sier Lars-Georg Paulsen til Aftenposten.

Paulsen er Chief Technology Officer (CTO) ved datasikkerhetsselskapet River Security.

Lars-Georg Paulsen i River Security mener det foreløpig er vanskelig å dra slutninger om hvem som kan ha stått bak dataangrepet på departementene. Vis mer

Han forteller at sårbarheten kan ha vært der fra programmet ble laget, eller at den kan ha blitt introdusert ved en feil i en oppdatering.

De siste årene har det vært flere store og avanserte nulldagsangrep mot bedrifter og organisasjoner over hele verden. Kjente eksempler er nulldagssårbarheter i Microsofts programvare, som er blitt utnyttet av hackere i en rekke alvorlige angrep.

Forbes meldte tidligere i juli at russiske hackere med bånd til landets etterretning nylig kan ha utnyttet noen av disse sårbarhetene. Microsoft publiserte 11. juli informasjon om en rekke sårbarheter i Windows og Office. De skriver at de er kjent med målrettede angrep for å utnytte disse svakhetene. Angriperne har brukt spesialtilpassede Microsoft Office-dokumenter. Vi vet ikke om det er denne sårbarheten som er utnyttet hos de norske departementene.

På pressekonferansen mandag sa Erik Hope i DSS at de ble klar over sårbarheten 12. juli etter at det ble oppdaget unormal aktivitet på serverne. Sårbarheten er nå lukket.

DSS-direktør Erik Hope på mandagens pressekonferanse om dataangrepet mot departementene. Vis mer

– Tviler på at det er amatører

– Du kan ha en nulldagssårbarhet som er superkompleks, teknisk kjempevanskelig å finne og som du må være en statlig aktør for å utnytte, sier Paulsen.

– Men så finnes det også nulldagssårbarheter som gutteungen på 14 i en kjeller et sted også kan oppdage.

Henrik Dvergsdal er amanuensis i informasjonsteknologi ved Handelshøgskolen ved Nord universitet. Han mener at det ikke er helt enkelt å finne og utnytte ukjente svakheter i en programvare.

– Avdekking av sårbarheter i datasystem krever generelt høy kompetanse, skriver Dvergsdal i en e-post til Aftenposten.

Han forteller at et nulldagsangrep er vanskeligere enn å for eksempel overvelde serverne gjennom såkalte tjenestenektangrep (også kjent som ddos-angrep).

– Det er selvfølgelig også en fordel å ha innsideinformasjon, for eksempel i form av brukertilgang på systemene, kontakt med utviklere og kildekoder, skriver Dvergsdal.

– Så jeg tviler på at det er amatører som står bak, forteller han.

Dvergsdal understreker at det nå er viktig å kartlegge hva slags informasjon hackerne har fått tilgang til – og hvor lenge de har fått tilgang til systemene.

Runa Sandvik, sikkerhetsekspert, mener det er snakk om en aktør med store ressurser og kunnskap. Vis mer

– En aktør med store ressurser og tålmodighet

Runa Sandvik er en New York-basert sikkerhetsekspert, som fokuserer på journalister og høyrisikogrupper.

– Det er viktig å frem at det er snakk om en aktør med store ressurser og tålmodighet. Du må ha kunnskap om systemet du skal angripe. Du må vite hva slags kode du kan kjøre på systemet. Hvordan du får installert den uten at den blir oppdaget av sikkerhetssystemer, sier Sandvik.

Hun understreker at det er for tidlig å si om dette er en statlig aktør. Det kan også være noen som er støttet av en stat. En aktør som kan få bestilling på å skaffe informasjon, uten at oppdragsgiveren bryr seg om hvordan de skaffer den.

– Det er veldig viktig at norske myndigheter har gått ut og sagt noe om dette i dag. Det blir spennende å se hva de kan fortelle etter hvert – om de kan si noe om hvem som står bak, sier Runa Sandvik.

Datatilsynet mottok varsel

– Hvis personopplysninger har kommet på avveie og datasikkerhet er brutt, skal det sendes en avviksmelding til oss.

Det sier fagdirektør for kommunikasjon i Datatilsynet, Guro Skåltveit, til Aftenposten. Hun forteller at Datatilsynet mottok en slik melding fra DSS i etterkant av dataangrepet. Hun kjenner ikke innholdet i den.

Pressesjef i DSS, Liv Nodeland, bekrefter at de varslet Datatilsynet.

– Betyr det at dere varslet at persondata er kommet på avveie?

– Vi ber om forståelse for at vi ikke kan gå ut med detaljert informasjon om innhold og omfang av dette angrepet nå, sier Nodeland.