Forsvarskommisjonen og Totalberedskapskommisjonen tegner et bilde av et sårbart samfunn som ikke har tatt innover seg endringene i trusselbildet de siste tiårene. Med den russiske invasjonen av Ukraina som bryter med vår internasjonale rettsorden og den strategiske trusselen fra et mer autoritært og selvhevdende Kina, som to av de sentrale driverne. Som følger blir restanse-listen av sårbarheter som vi i Norge ikke har lukket de siste tiårene, mer kritisk. Spesielt ved en høy-intensitets konflikt.
Dette gjelder også for det digitale domenet, noe NSM understreker i sitt sikkerhetsfaglige råd.
At Norge befinner seg i et mer krevende digitalt trusselbilde nå sammenliknet med tidligere, er ingen nyhet. Etterretningstjenesten og PST har i flere år påpekt utfordringene i sine trusselvurderinger. I et hybrid trusselbilde hvor trussel-aktiviteten ikke kun er av militær karakter, men hvor sårbarheter som kan utnyttes befinner seg innenfor mange ulike samfunnssektorer – blir det å involvere resten av samfunnet gjennom totalforsvaret, desto viktigere. Krigen i Ukraina kan sies å ha illustrert viktigheten av at hele samfunnet stiller opp for å bekjempe ‘motstanderen’. Selv om det norske totalforsvaret er re-vitalisert fra og med starten av 2000-tallet og på den måten har fremtvunget økt sivil-militært samarbeid , har vi begrenset med erfaring på å håndtere konflikt-scenarioer i den øverste delen av krise-spekteret på norsk territorium. Slike scenarioer vil både påvirke og involvere aktører langt utenfor kun forsvars- og justissektoren. Spesielt gjelder dette i det digitale domenet hvor tjenester leveres og infrastruktur eies av private aktører. Aktører som ofte også er underleverandører til staten.
Et angrep mot en underleverandør kan utføres med hensikt å ramme en av våre statlige aktører. Som for eksempel Forsvaret eller politiet. I tillegg er det godt kjent at flere statlige aktører har betydelige sårbarheter innad i egne virksomheter, herunder også i deres IT-systemer. Riksrevisjonen, Stortingets eget kontrollorgan, har de fire siste årene blant annet gitt Forsvaret , politiet , oljedirektoratet , kraftsektoren og helsevesenet kritikk for mangelfullt arbeid med digital sikkerhet. Sårbarhetene er i mange tilfeller godt kjent, men det kan være ulike årsaker til at de ikke er forbedret. Manglende styring, utdaterte systemer og teknisk gjeld, samt behov for ressurser, bevilgninger og kompetanse. Sårbarhetene som Riksrevisjonen og kommisjonsrapportene nevnt innledningsvis dokumenterer, kan bli en utfordring for Norge og norske virksomheter ved en mer krevende høy-intensitets konflikt. I så måte er det verdt å merke seg at cyberaktører tilknyttet den russiske etterretningstjenesten GRU, i stor utstrekning har benyttet wiper-skadevare med hensikt å slette data hos Ukrainske myndigheter. Wiper-skadevare er en form for sabotasje som kan føre til at IT-systemer blir utilgjengelige. De fleste kan forestille seg hvordan det er å koordinere aktivitet i dagens digitale samfunn, uten IT-systemer.
Sikring er virksomhetenes eget ansvar
Utgangspunktet som følger av flere lovverk i Norge, herunder blant annet sikkerhetsloven, er nemlig at virksomhetene selv står ansvarlig for å sikre egen virksomhet og dermed også sine IT-systemer mot trusselaktivitet og angrep. Helsesektoren sikrer egne systemer og Forsvaret sikrer sine. Dette er et naturlig utgangspunkt ettersom det er den enkelte virksomhet som selv konfigurerer og definerer hva som er tillatt aktivitet og ikke. Det er derfor den enkelte virksomhet som best kan foreta en fornuftig avveining av risiko. Når et IT-system først er tilkoblet internett, eksisterer det nemlig en angrepsvei som er tilgjengelig fra hvor som helst i verden. Denne angrepsveien utnyttes av trusselaktørene og det er virksomhetens egne sikringstiltak som primært skal bidra til å holde angriperen ute. Dette til forskjell fra den fysiske verden hvor vi har grensekontroller på territoriet samt overvåkning av sjø- og luftrom som driftes av justis- og forsvarsmyndighetene. I cyberdomenet eksisterer ikke tilsvarende grenser som muliggjør effektiv statlig kontroll av nettverkstrafikk inn- og ut av det norske territoriet. Datatrafikken går riktignok gjennom fysiske kabelforbindelser som krysser landegrensen, noe som Etterretningstjenesten nå har anledning til å innhente gjennom «tilrettelagt innhenting». I beste fall vil dette gi E-tjenesten et bedre grunnlag for å avdekke cyberaktivitet i ettertid, men det vil ikke nødvendigvis stanse aktører i deres forsøk på å komme seg inn i norske virksomheters IT-systemer.
Det finnes nemlig ikke noe som heter risikofri bruk av IT. Spesielt ikke om IT-systemene er tilkoblet internett. Spørsmålet er alltid hva som er å anse som akseptabel risiko for enhver virksomhet og hvilke tiltak som bidrar til å oppnå et slikt nivå. Ett konkret eksempel knyttet til vurdering av risiko, er om man skal ta i bruk skytjenester levert av en amerikansk leverandør, herunder de «tre store» som Microsoft, Amazon eller Google. På den ene siden kan amerikanske etterretningsmyndigheter etter FISA-lovgivningen be om innsyn i data som er lagret i skytjenestene til amerikanske selskaper. Dette er årsaken til Schrems II-dommen og at europeiske Datatilsyn formidler en restriktiv praksis til bruk av skytjenester fra land utenfor EU. Virksomheter i EU skal nemlig kunne garantere for sikker behandling av personopplysninger etter GDPR. Dette er svært krevende å oppnå blant annet som følger av den amerikanske FISA-lovgivningen. På den andre siden gir bruk av Microsoft sine skytjenester tilgang på sikkerhetsfunksjonalitet som kontinuerlig, automatisk og i sanntid oppdateres basert på selskapets omfattende trussel-etterretning og innsyn i datatrafikk, verden over. Dette kan også være etterretning som kommer fra amerikanske politi, sikkerhets- og etterretningstjenester slik som FBI, CISA eller til og med NSA. Med andre ord kan sikkerhetsgevinsten av å ta i bruk en skytjeneste for enkelte være stor. Dette til tross for utfordringene som følger av FISA, GDPR og Schrems II-dommen.
Den risikobaserte tilnærmingen tilsier nemlig at enhver virksomhet selv må foreta en avveining mellom flere ulike, noen ganger motstridende hensyn. Slik som i eksempelet over. Men selv om utgangspunktet er at hver enkelt virksomhet selv står ansvarlig for å sikre egne IT-systemer, er ikke dette alene tilstrekkelig for å oppnå et sikkert digitalt samfunn. Ei heller en sikker stat. Det krever mer.
Verdi-sentrert og trussel-sentrert tilnærming til beskyttelse
For å skape et tilstrekkelig robusthet kreves en «forsvar i dybden» tankegang. Det vil si at det eksisterer flere lag med beskyttelse hvor trusselaktøren må forsere flere barrierer i kombinasjon for å oppnå urettmessig tilgang til en virksomhets IT-systemer. De fleste av barrierene er virksomhetens eget ansvar å forvalte. Det er med andre ord verken Forsvaret (herunder også Etterretningstjenesten) eller politiet (herunder også PST) som i utgangspunktet sikrer IT-systemer i cyberdomenet. De to nevnte etatene har, ulikt andre virksomheter, likevel lovhjemler, ressurser og kompetanse som gir dem anledning til å jakte på trusselaktørene gjennom å innhente etterretning, utføre offensive aktiviteter og cyberoperasjoner eller etterforskningsskritt mot kriminelle aktører og stater. Vi må altså skille mellom den verdi-sentrerte og sårbarhetsreduserende aktiviteten som hver enkelt virksomhet selv er ansvarlig for å utføre – og den trussel-sentrerte aktiviteten som politiet og Forsvaret er ansvarlig for å utføre, på statens vegne. Som stat har vi imidlertid behov for begge tilnærmingene.
Likevel vil den trussel-sentrerte tilnærmingen i mange tilfeller kunne være reaktiv. For eksempel når politiet etterforsker et allerede utført angrep med løsepengevirus mot en norsk bedrift. Eller når Etterretningstjenesten avdekker en fremmed statlig aktør som allerede har skaffet seg tilganger til IT-systemer som drifter det norske strømnettet. Eller som er inne i Stortingets e-post servere. I slike tilfeller kan det argumenteres for at man allerede er på etterskudd. Derfor er det først og fremst den enkelte virksomhet som selv må sette i verk proaktive forebyggende tiltak. De som forhindrer angriperen i å komme på innsiden av systemene, og som bidrar til skadebegrensning dersom trusselaktøren likevel kommer seg inn. Dette er førstelinjeforsvaret i det digitale totalforsvaret og det er slike tiltak som Riksrevisjonen peker på at mangler hos flere sentrale norske virksomheter. Samtidig kan det inntreffe tilfeller der virksomheten selv ikke er klar over at trusselaktørene allerede er på innsiden, og politiet, sikkerhets- eller etterretningstjenestens operasjoner avdekker ‘angriperen’.
I slike tilfeller vil et varsel fra politi, sikkerhets- eller etterretningstjenestene kunne være å anse som proaktivt. Og som følge av varselet kan den angrepne virksomheten fjerne trusselaktøren fra egne systemer. Ett eksempel på en hendelse hvor sikkerhetsmyndighetene varslet en virksomhet om at de var blitt kompromittert, finner vi i forbindelse med datainnbruddene mot Stortinget i februar og mars 2021. Nasjonal sikkerhetsmyndighet (NSM) varslet at de hadde oppdaget «unormal aktivitet» inn mot Stortingets systemer. NSM drifter varslingssystem for digital infrastruktur (VDI) som er et sentralisert varslings- og deteksjonssystem utplassert hos samfunnskritiske virksomheter i Norge. Dette fører til at NSM kan bistå virksomheter med å avdekke trusselaktivitet i de delene av IT-systemet som er underlagt overvåkning med VDI-sensorer. Liknende deteksjonssystemer leveres også av en rekke private sikkerhetsaktører i Norge. I Stortingets tilfelle var det imidlertid noe sent da den kinesiske trusselaktøren som stod bak operasjonen allerede hadde aksessert flere e-post kontoer, herunder hentet ut over 4000 e-poster tilhørende Høyres stortingsrepresentant, Michael Tetzschner. Nettopp derfor blir sikringstiltakene som bidrar til å holde trusselaktøren ute fra systemene, desto viktigere.
For IT-systemer som er sikkerhetsgodkjent med hjemmel i sikkerhetsloven, er kravene til beskyttelse standardisert og nivået av sikring, relativt høyt. For øvrige IT-systemer i den norske forvaltningen og i privat sektor, er nivået på sikringen mer variabel. Dette fordi kravene som stilles til sikkerhet varierer fra sektor til sektor og fra lovverk til lovverk. Forsvaret er en unik sektor i så måte med utbredt tilgang på sikkerhetsgodkjente systemer. Men som nevnt innledningsvis er det flere sektorer enn bare Forsvaret som må kunne fungere under en høy-intensitets konflikt, i et mer hybrid-trusselbilde.
Sårbarhetsreduksjon er som en forsikring
Som sagt har vi i Norge en lang restanse-liste over sårbarheter eierne av de respektive systemene er klar over, men som ikke har blitt utbedret. Primært kan det sies å være fordi vi har befunnet oss i en situasjon med et relativt stabilt trusselbilde over tid. Sekundært kan det sies å være fordi investering i sikkerhet, herunder reduksjon av sårbarhet, ofte fungerer som en forsikringspremie. En forsikringspremie som det ikke er like attraktivt å betale før krisen – som etter at den har inntruffet. Problemet er bare at da er det litt i seneste laget. Forsikring bør som alle vet, tegnes før hendelser.
Fremover vil det derfor bli enda viktigere hvordan vi jobber aktivt for å redusere sårbarhet. I forkant av den russiske invasjonen flyttet ukrainske myndigheter store mengder data fra servere plassert på det ukrainske territoriet til skytjenester utenfor Ukrainas territorielle grenser. Dette ble blant annet gjort i samarbeid med Microsoft. Hensikten var å gjøre ukrainske IT-systemer og data vanskeligere tilgjengelig for russiske invasjonsstyrker. Et datasenter på Ukrainsk okkupert område kan saboteres av konvensjonelle militære styrker. Det er vanskeligere hvis dataene er lagret i en skytjeneste som benytter IT-infrastruktur og systemer som befinner seg i flere ulike land, utenfor Ukraina. En skytjeneste kan riktignok rammes av cyberoperasjoner utført av russiske angripere, men som tidligere nevnt har blant annet Microsoft et omfattende apparat som kan bistå med trusseletterretning og deteksjon. Dette i tillegg til kapabilitetene som Ukrainske myndigheter med bistand fra andre stater, herunder USA, stiller til rådighet for å motvirke russiske forsøk på kompromittering av IT-systemene.
Det vil ta tid å følge opp anbefalingene fra kommisjonene nevnt innledningsvis. Sikre virksomheter og et robust samfunn bygges over tid. Å redusere sårbarhet fremsto muligens som dyrt når vi befant oss i en sikkerhetspolitisk situasjon med dyp fred. I dag vil vi nok helst betale forsikringspremien.
FOTNOTER
[1] NOU 2023:14. (2023). Forsvarskommisjonen av 2021 – Forsvar for fred og frihet. Forsvarsdepartementet
[2] NOU 2023: 17. (2023). Nå er det alvor – Rustet for en usikker fremtid. Justis- og beredskapsdepartementet.
[3] NOU 2023:14. (2023). Forsvarskommisjonen av 2021 – Forsvar for fred og frihet. Forsvarsdepartementet
[4] NSM. (2023). Sikkerhetsfaglig råd – Et motstandsdyktig Norge.
[5] Norheim-Martinsen, P. (2019). Det nye totalforsvaret. Gyldendal. Oslo.
[6] Riksrevisjonen. (2022). Riksrevisjonens undersøkelse av Forsvarets informasjonssystemer for kommunikasjon og informasjonsutveksling i operasjoner. https://www.riksrevisjonen.no/globalassets/rapporter/NO-2022-2023/forsvarets-informasjonssystemer-ugradert-versjon.pdf
[7] Riksrevisjonen. (2019a). Undersøkelse av angrep mot IKT-systemer i politiet. https://www.riksrevisjonen.no/rapporter-mappe/no-2019-2020/undersokelse-av-angrep-mot-ikt-systemer-i-politiet
[8] Riksrevisjonen. (2019b). Undersøkelse av sikring mot dataangrep i Oljedirektoratet. https://www.riksrevisjonen.no/rapporter-mappe/no-2019-2020/undersokelse-av-sikring-mot-dataangrep-i-oljedirektoratet/
[9] Riksrevisjonen (2021). Undersøkelse av NVEs arbeid med IKT-sikkerhet i kraftforsyningen. https://www.riksrevisjonen.no/rapporter-mappe/no-2020-2021/undersokelse-av-nves-arbeid-med-ikt-sikkerhet-i-kraftforsyningen/
[10] Riksrevisjonen. (2020). Undersøkelse av helseforetakenes forebygging av angrep mot sine
[11] Microsoft Threat Intelligence. (2023, 15. mars). A Year of Russian hybrid warfare in Ukraine. Microsoft. https://www.microsoft.com/en-us/security/business/security-insider/wp-content/uploads/2023/03/A-year-of-Russian-hybrid-warfare-in-Ukraine_MS-Threat-Intelligence-1.pdf
[12] Sikkerhetsloven. (2018). Lov om nasjonal sikkerhet (LOV-2018-06-01-24). Lovdata. https://lovdata.no/dokument/NL/lov/2018-06-01-24
[13] Datatilsynet. (u.å). Overføring av personopplysninger ut av EØS – Tilleggskrav. https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overforing-av-personopplysninger-ut-av-eos/tilleggskrav-til-overforingsgrunnlag-schrems-ii/
[14] Microsoft (u.å). Threat intelligence. https://www.microsoft.com/en-us/security/blog/topic/threat-intelligence/?sort-by=newest-oldest&date=any
[15] The Lawfare Podcast. (2023, 7. april). Rob Joyce, NSA Director of Cybersecurity. https://www.lawfareblog.com/lawfare-podcast-rob-joyce-nsa-director-cybersecurity
[16] Gausen, S., Knutsen, T., Ruud, S., Strandberg, T. (2021, 10. mars). Stortinget utsatt for IT-angrep: «Et angrep på vårt demokrati». Aftenposten. https://www.aftenposten.no/norge/i/PRnGRX/stortinget-utsatt-for-it-angrep-et-angrep-paa-vaart-demokrati
[17] Nasjonal sikkerhetsmyndighet. (2020, 3. juni). Varslingssystem for digital infrastruktur (VDI). https://nsm.no/tjenester/varslingssystem-vdi
[18] Rønneberg, K., Lysberg, M. & Sørenes, K. (2021, 9. september). Stortingstopp fikk frastjålet minst 4000 e-poster. Mistanken rettes mot kinesiske hackere. Aftenposten. https://www.aftenposten.no/verden/i/nWG8RB/stortingstopp-fikk-frastjaalet-minst-4000-e-poster-mistanken-rettes-mo
[19] Microsoft. (2023, 20. januar). How technology helped Ukraine resist during wartime. https://news.microsoft.com/en-cee/2023/01/20/how-technology-helped-ukraine-resist-during-wartime/
Foto: Torgeir Haugaard / Forsvaret