Norge

Ny trend: Hackerne gjemmer virusene - mange norske bedrifter er ubeskyttet

Flere av Norges største selskaper har i dag ikke redskapene til avsløre «gjemte virus».

Lasse Rosenvinge er seksjonssjef for i Nasjonal sikkerhetsmyndighet (NSM). Her er han i kontrollrommet til Norcert, som er en del av NSM. Fordi Aftenposten var på besøk er all den hemmelige informasjonen som vanligvis flyter på skjermen, omgjort til tilfeldige tall og bokstaver. Olav Olsen

  • Arild Færaas
  • Fredrik Hager-thoresen (grafikk)

Lasse Rosenvinge er seksjonssjef for i Nasjonal sikkerhetsmyndighet (NSM). Her er han i kontrollrommet til Norcert, som er en del av NSM. Fordi Aftenposten var på besøk er all den hemmelige informasjonen som vanligvis flyter på skjermen, omgjort til tilfeldige tall og bokstaver. Olav Olsen

Lasse Rosenvinge er seksjonssjef for i Nasjonal sikkerhetsmyndighet (NSM). Her er han i kontrollrommet til Norcert, som er en del av NSM. Fordi Aftenposten var på besøk er all den hemmelige informasjonen som vanligvis flyter på skjermen, omgjort til tilfeldige tall og bokstaver. Olav Olsen

Olav Olsen

Olav Olsen

Vi står utenfor det som må kalles et anonymt og svært stygt bygg på Oslo øst. Innenfor flere dører med ulike sikkerhetsmekanismer sitter fem unge menn og overvåker mulige dataangrep mot norske virksomheter.

Lasse Rosenvinge er seksjonssjef i Nasjonal sikkerhetsmyndighet (NSM) og viser oss rundt i det som er Norcerts hovedkvarter - det nasjonale cybersikkerhetssenteret.

På en tavle tegner han opp hvordan dataangrep fungerer, og hvordan det kan stoppes. Blant annet hvordan SSL-inspeksjon, som denne saken handler om, fungerer.

– Det er helt vesentlig. Hvis man ikke har det, er det ikke synlig hva som skjer i nettet, sier Rosenvinge.

Helt kort er SSL-inspeksjon et verktøy bedrifter kan bruke for å avsløre virus eller skadevare som er sendt kryptert/gjemt. Lenger nede i saken får du en grafikk med flere detaljer.

Mer utsatt for dataangrep etter Snowden-saken

Varsler Edward Snowden skapte furore i 2013 da han lekket dokumenter som avslørte hvordan amerikanske og britiske myndigheter overvåker din og min data- og teletrafikk.

Dette har i årene etter ført til et mye større fokus på kryptert datatrafikk – beskyttelse av trafikken som gjør at uvedkommende ikke skal kunne vite hva du gjør på nettet.

Det er bra for personvernet at stadig mer trafikk på nettet går kryptert, og det har også gjort at hackere vanskeligere kan avlytte nettrafikken.

Men hackerne har tilpasset seg, og på en måte kan norske bedrifter være mer utsatt for dataangrep nå enn før Snowden-avsløringene. Det er fordi stadig flere hackere benytter seg av kryptert skadevare, forteller flere sikkerhetskilder til Aftenposten.

Det betyr at bedriftens brannmur, som er et forsvarsbol mot dataangrep, ikke nødvendigvis greier å sjekke om trafikken som går inn til de ansattes PC-er inneholder skadevare og virus.

Med mindre de bruker SSL-inspeksjon.

Saken fortsetter etter grafikken som forklarer SSL-inspeksjon. Les mer om SSL-inspeksjon lenger ned.

Sikkerhetsselskap: Kraftig økning av gjemte virus

Robert Arandjelovic er markedsdirektør i sikkerhetsselskapet Bluecoat, som blant annet selger løsninger for SSL-inspeksjon.

Han hevder at tall de sitter på viser at særlig det siste året har det vært en kraftig økning av angrep hvor hackere gjemmer skadevaren via kryptering.

– La oss si at halvparten av trafikken som passerer gjennom et selskaps server er kryptert.Da vil det ikke være mulig å søke etter skadevare i halvparten av trafikken, sier Arandjelovic til Aftenposten.

Robert Arandjelovic i Bluecoat. Pressebilde/Bluecoat

Store selskaper er ubeskyttet

Aftenposten har kontaktet en rekke av de største norske private selskapene og noen få store offentlige virksomheter om de bruker SSL-inspeksjon eller TLS-inspeksjon som det også blir kalt. Flere av selskapene bruker ikke dette.

Noen av selskapene vi har snakket med, vil ikke si noe om sin datasikkerhet. Av hensyn til selskapene som ikke har dette sikkerhetstiltaket, vil ikke Aftenposten fortelle hvem som har opplyst at de ikke bruker SSL-inspeksjon.

Flere bekrefter at de ikke bruker SSL-inspeksjon, mens noen er i gang, eller har planer om det.

DNB og Statoil har sikret seg

DNB er et av selskapene som bekrefter at de bruker dette sikkerhetstiltaket.

– Vi har naturligvis antivirus-løsninger, og SSL er en av disse, sier informasjonsdirektør Even Westerveld.

Også Statoil bekrefter at de har benyttet seg av SSL-inspeksjon i rundt ett år.

– Trafikk knyttet til myndighetskontakt, helse eller finansielle tjenester inngår ikke som en del av denne inspeksjonen, sier informasjonssjef Knut Rostad.

  • Utvalg: Sier ja til at E-tjenesten får overvåke innholdet i all internett- og telefontrafikk som krysser riksgrensen

Mener selskaper ikke bør fortelle åpent om dette

Lasse Rosenvinge i NSM mener at store norske selskaper ikke burde ha fortalt Aftenposten, eller noen andre, hvilke sikkerhetstiltak de har.

– Men internt i virksomheten bør det være åpent for brukerne at det er SSL-inspeksjon.

Han mener også at store selskaper absolutt bør bruke dette for å beskytte sine datasystemer.

– Jeg tror mange ser at hverdagen endrer seg. For mange bedrifter har andelen kryptert trafikk økt til over 50 prosent, sier Rosenvinge.

Også i NSMs brosjyre om hvordan bedrifter bør forebygge, oppdage og håndtere dataangrep, nevnes SSL-inspeksjon som et anbefalt tiltak.

Slik fungerer SSL-inspeksjon

Om du går inn på en side hvor det står http før nettadressen, og det ikke er noen hengelås, kan alle som har tilgang på datatrafikken din se hvilke undersider du besøker på en nettside, og hva du skriver i ulike felter.

Men om du for eksempel går på regjeringen.no, vil du se at det står «https» og ikke «http». Du vil også se en hengelås ved siden av nettadressen.

Det betyr at i utgangspunktet kan ingen se hva du gjør på regjeringen.no bortsett fra at du besøker regjeringen.no-universet.

Slik ser det ut i nettleseren Firefox om en nettside er kryptert. skjermbilde

Men når et selskap innfører SSL-inspeksjon, vil den krypteringen brytes hos bedriftens forsvarsmekanisme mot hackerangrep – i brannmuren.

Det vil si at det du gjør på regjeringen.no, er det ingen utenfor bedriften som kan se. Men IT-ansatte med tilgang har muligheten til å se hvilke undersider hos regjeringen du besøker, eller hva du skriver i søkefeltet.

Det er ikke lett å finne ut om dette skjer, og du bør alliere deg med noen som kan sjekke om sertifikatet (altså hengelåsen i nettleser-vinduet) hører til på regjeringens nettsider. Dersom det ikke gjør det, er det godt mulig bedriften driver med SSL-inspeksjon.

Se mer i grafikken over hvordan det fungerer.

PS! Det er ikke slik at dersom en bedrift bruker SSL-inspeksjon, er bedriften helt beskyttet mot dataangrep, hverken ukryptert eller kryptert. Men den har bedre grunnlag for å beskytte seg mot tyver og spioner.

Sikkerhetsekspert Per Thorsheim. Arild Færaas

Hva med personvernet når din krypterte info kan leses?

Aftenposten har vært i kontakt med flere fagforeninger, inkludert LO sentralt. Men ingen kan huske at de har hatt noen saker om SSL-inspeksjon.

Per Thorsheim er uavhengig sikkerhetsekspert, og mener at de siste årene har SSL-inspeksjon vært noe som er blitt markedsført som noe «du må ha» som bedrift.

– Det er et legitimt behov for å inspisere trafikken, men jeg mener at ansatte i bedrifter som gjør dette, må få ordentlig informasjon.

Thorsheim viser til at IT-ansatte kan sjekke hva du gjør på en side du tror er kryptert, og at folk skal være bevisste på dette.

På spørsmål om han har hørt om misbruk, kan han ikke vise til konkrete eksempler.

– Men jeg har definitivt hørt om folkene som har sett mye trafikk de ikke skulle ha sett.

– En balansegang

Lasse Rosenvinge i NSM mener at man noen steder i bedriften må ha betrodde folk.

– De som administrerer epostserverne kan ha tilgang til din e-post-konto, selv om eposten sendes kryptert, tar han som et eksempel.

Han anbefaler derfor at norske virksomheter har systemer som gjør at eventuelt misbruk kan bli sporet.

Robert Arandjelovic i Bluecoat, som selger SSL-inspeksjon, sier dette om faren for svekking av personvernet.

– Det er definitivt bekymring om personvernet, men det er alltid en balansegang mellom personvern og sikkerhet. Og dersom ikke trafikken blir dekryptert, er det en større fare for dataangrep, og dermed også risiko for personvernet til de ansatte, mener han.

Datatilsynet snudde i sak om DNB

Datatilsynet hadde en sak noen år tilbake om SSL-inspeksjon hos DNB Livsforsikring i 2012.

Først vedtok Datatilsynet at DNBs bruk av SSL-inspeksjon var ulovlig, og krevde at de skulle slutte med dette med mindre de ansatte samtykket. Tilsynet mente også først at DNB heller skulle blokkere for kryptert trafikk.

Etter at DNB protesterte og sa at å stoppe kryptert trafikk ville kunne ødelegge for sending av forretningsmessig kommunikasjon, snudde Datatilsynet.

De tillot at DNB driver med SSL-inspeksjon, gitt at de har en såkalt «whitelist» og «blacklist». Det betyr at enkelte nettsider er godkjent og ikke blir underlagt slik SSL-inspeksjon.

I tillegg viser tilsynet i sitt omgjøringsvedtak til at «den ansatte fritt kan avstå fra å benytte virksomhetens utstyr i forbindelse med sin private kommunikasjon.

Datatilsynet skriver også at de ansatte må bli informert om hva dette innebærer for at bedriften skal få lov.

Vi videreutvikler våre artikler.
Hjelp oss å forbedre, gi din tilbakemelding.
Gi tilbakemelding

Les mer om

  1. Personvern
  2. IT og telekom
  3. Nasjonal sikkerhetsmyndighet
  4. Datakriminalitet
  5. IT-sikkerhet
  6. DNB
  7. Equinor

Relevante artikler

  1. VERDEN

    Norske fotballklubber og bedrifter rammet av internasjonalt dataangrep

  2. NORGE

    Brannen på Statfjord A-plattformen i Nordsjøen slukket

  3. NORGE

    Georg Apenes (76) er død

  4. NORGE

    Barnehage har elektroniske kikkhull på toalettene for å forhindre overgrep

  5. NORGE

    Bratt fall for Schibsted etter Facebook-kunngjøring

  6. NORGE

    Arkivverket har lagt ut svært mange nordmenns personnumre på nettet