Nasjonal sikkerhetsmyndighet fortsetter å undersøke utsatte virksomheter for sikkerhetshull etter internasjonalt virusangrep

Så langt har Nasjonal sikkerhetsmyndighet (NSM) skannet 60 sårbare virksomheter etter at datasystemer i hele verden ble rammet av løsepengeviruset WannaCry.

Operasjonsrommet i Nasjonal sikkerhetsmyndighets (NSM) lokaler. De har ikke mottatt meldinger i dag om at flere norske virksomheter er rammet.

– Vi fortsetter arbeidet med å overvåke markedet sammen med våre norske og internasjonale samarbeidspartnere. Så langt ser det ikke ut til at flere norske virksomheter er rammet, sier kommunikasjonsdirektør Mona Strøm Arnøy i Nasjonal sikkerhetsmyndighet (NSM).

Enheten i NSM som står for «inntrengningstesting» fortsatte tirsdag med å lete etter sårbarheter i utsatte virksomheter. Antallet har kommet opp i 60.

– Målet er å dekke alle offentlige etater i Norge, som direktorater og departementer, sier hun. Teamene driver en slags «legitim hackling» for å kartlegge sikkerhetshull.

– NSMs ønske er å nå alle offentlige virksomheter og eiere av kritisk infrastruktur, og oppfordrer virksomheter til å ta kontakt for å få gjennomført skanning av sine systemer, sier Arnøy.

Også hos såkalt «kritisk infrastruktur» leter NSM etter svake punkter – det kan for eksempel være private tele- og internettselskaper som Telenor, eller energi- og oljeselskaper.

Kommunikasjonsdirektør Mona Strøm Arnøy forteller at mange i NSM jobber med dataangrepet, men at det ser ut til at kontrollen er god i Norge.

– Dette gir oss en pekepinn om sårbarheten, og vi kan hjelpe virksomhetene med å lukke åpne porter, påpeker hun.

Har funnet få svake punkter i Norge - foreløpig

Så langt ser det ikke ut som det er mange hull i datasystemene til norske virksomheter som gjør det lett for løsepengevirus å trenge inn.

– Vi i har gjort funn i kun i én av hundre tusen IP-adresser så langt. En slik åpen port er en åpning i brannmuren som brukes til å sende filer mellom datamaskiner, og en potensiell sårbarhet. Men det kan være gode grunner til å ha en slik port også, det kommer an på hvilke tjenester virksomheten leverer, sier Strøm Arnøy.

NSM må innhente samtykke og få godkjennelse fra den enkelte virksomhet til å gjennomføre tiltaket.

Derfor er det tidkrevende å få skannet alle, selv om vi jobber så raskt vi kan, sier Arnøy. Antallet øker hele tiden etter hvert som samtykker mottas. Hvor mange virksomheter som kontaktes totalt, har hun ikke oversikt over.

Virksomheter og enkeltpersoner i nærmere 100 land er blitt rammet av det massive WannaCry-angrepet. Ofrene har fått krav om å betale fra 300 dollar og oppover for å få tilgang til filer som er blitt låst av hackerne.

I helgen ble det opplyst at minst fire norske virksomheter så langt var berørt av angrepet.

Dette omfatter hotellkjeden Choice, billettsalget til flere norske fotballklubber og parkeringsselskapet Q-Park.

Aldri så galt ...

– Fører et slikt angrep til økt årvåkenhet om datasikkerhet blant bedrifter og offentlige virksomheter?

– Ja, når slike hendelser inntreffer, ser vi at bevisstheten øker. Folk blir raskere på labben til å iverksette tiltak, og ser behovet for oppdatering og backup, sier hun.

– Ellers kan det være tungt å komme gjennom med budskapet om forebygging mot hacking.

Tidligere i dag forklarte NSM at Norge går klar av flere angrep fordi vi har moderne maskiner og oppdatert programvare.Bølgen man fryktet ville komme mandag morgen, ble ikke noe av.

– Men dette stemmer dårlig med det som har kommet frem tidligere om utdaterte datasystemer i det offentlige?

– Det er stadige utfordringer i datasystemene til offentlige virksomheter, det er det skrevet mye om. Det viser seg likevel at vi har god kontroll når vi sammenligner oss med andre land. Mange er for eksempel ikke i nærheten av å ha like moderne PC-er som oss, sier hun.

Seniorrådgiver Vidar Sandland i NorSIS mener bevisstheten om datasikkerhet i Norge er høy.

Eldre systemer ikke nødvendigvis mindre sikre

Norsk senter for informasjonssikring (NorSIS) arbeider med å øke bevissthet om informasjonssikkerhet - særlig rettet mot den enkelte innbygger, kommunesektoren og små eller mellomstore private virksomheter.

– Selv om det stemmer at mange kommuner og mindre virksomheter i Norge har gamle datasystemer, betyr ikke det nødvendigvis at sikkerheten er dårlig. Man må ikke ha de aller siste versjonene av Windows så lenge systemene sikkerhetsoppdateres, sier seniorrådgiver Vidar Sandland i NorSIS.

Han understreker at det ikke stemmer at viruset ble spredt via en e-post med vedlegg, slik det først ble opplyst.

– Det er to scenarier som må inntreffe for å få dette viruset: å ikke følge Microsofts programvare-oppdateringer, og å ha en «feil» konfigurert brannmur som tillater trafikk fra Internett til den sårbare tjenesten, sier han.

På hjemme-PCer med ruter og trådløst nettverk er dette som regel godt ivaretatt og sikkerhetsoppdatering skjer normalt automatisk.

– I bedrifter er det litt annerledes, forklarer han.

- Der kan man bli hengende etter i sikkerhetsoppdateringen fordi enkelte applikasjoner i bedriften for eksempel kan være avhengig av at visse versjoner er installert. Dermed vil man vente med å rulle ut oppdateringer til nødvendig testing er gjort.

I NSM jobber flere avdelinger fortsatt med å motta informasjon om mulig angrep, analysere hva som skjer og skanne virksomheter.

Norge blant de flinke i klassen

Men stort sett er ikke dette et problem, ifølge Sandland:

– Norge ligger på 3. plass i verden når det gjelder sikkerhetsoppdatering, ifølge en Microsoft-undersøkelse. Bevisstheten om informasjonssikkerhet i Norge er høy sammenlignet med andre land, påpeker han.

– Vi har bare fått én henvendelse fra en mindre virksomhet som var utsatt for angrepet, og de hadde ikke gode nok rutiner for sikkerhetsoppdatering, påpeker han.

Han mener det skumleste som kan skje fremover med nye angrep er at hackerne finner en sårbarhet ingen kjenner til, og som det ikke finnes sikkerhetsoppdatering for.

– Da vil det spre seg som ild i tørt gress, sier Sandland, som oppfordrer alle til å ha gode backupløsninger - som ikke lar seg kryptere selv om du skulle bli infisert. – På et eller annet tidspunkt må du regne med at harddisken kræsjer, den bærbare maskinen blir stjålet eller dataene ødelagt på annen måte. Da gjelder det å ha en kopi.

Ny versjon av «WannaCry»

Dataviruset som har rammet hele verden i løpet av helgen, er allerede oppdatert flere ganger, opplyser selskapet Bitdefender og flere spesialmedier, ifølge NTB.

Den første versjonen av løsepengeviruset WannaCry, som låser datamaskiner og presser brukerne for penger, ble bremset av en 22 år gammel britisk IT-ekspert. Han fant en såkalt «kill switch», eller av-knapp, ved å registrere domenet.

Men nye versjoner av viruset har allerede rammet ved at angriperne har endret koden slik at av-knappen ikke lenger virker, opplyser Bogdan Dumitru, teknologidirektør hos Bitdefender.

Dermed kan flere datamaskiner som ennå ikke har fått installert de nødvendige sikkerhetsoppdateringene fra Microsoft, bli rammet.