Ekspertene venter på det store dataangrepet - Generalmajor: For mange kokker i det norske dataforsva
Det er kun et tidsspørsmål før dataterror får alvorlige konsekvenser, hevder amerikanske forskere. Norsk general etterlyser bedre koordinering blant mange ansvarlige enheter her hjemme. Norges evne til å stå i mot denne typen angrep vil bli testet under en egen cyberøvelse mot slutten av 2008.
Digitaliseringen av den vestlige verden gjør oss sårbare for en ny type krigføring. Amerikanske eksperter mener det bare er et tidsspørsmål før denne svakheten utnyttes i et «kritisk øyeblikk i historien». Et elektronisk angrep kan slå ut både telekommunikasjon, strømforsyning og tilgangen til nær sagt samtlige digitale tjenester.
Det digitale angrepet på Estland i vår er blitt et symbol på hva vi kan vente oss. I 22 dager lå esterne under kontinuerlig bombardement fra titusenvis av datamaskiner i Russland og en rekke andre land. Bakgrunnen var estiske myndigheters flytting av et russisk krigsminnesmerke i hovedstaden Tallinn.
Men ekspertene fremhever at det estiske angrepet ikke var spesielt kraftig eller teknologisk avansert. «Det er mange angrep med lignende dimensjon som aldri er kommet frem i mediene, fordi det ikke lå et politisk budskap bak angrepet,» sier Christophe Birkeland, leder for avdelingen som håndterer alvorlige dataangrep mot Norge, Norcert. Et lignende angrep kan når som helst ramme Norge, mener ekspertene. Men ingen vet når, hvor eller hvordan. Dette bildet bekreftes av generalmajor, Arnvid Løvbukten, sjef for Forsvarets fellesstab og for tiden midlertidig leder for Forsvarets informasjonsinfrastruktur. Han beskriver truslene som betydelig større enn det politikere og folk flest hittil har forstått. Den sivile delen av samfunnet er sårbart, og dette får følger den norske for forsvarsevnen, mener Løvbukten.
Denne sårbarheten bekreftes av rapporter både fra Riksrevisjonen og Forsvarets forskningsinstitutt som påpeker at ansvaret for den nasjonale datasikkerheten er fragmentert og for dårlig samordnet.
Avdelingsleder Birkeland fremhever imidlertid at Norge er i bedre stand til å motstå denne typen angrep enn Estland.
«Vår infrastruktur er mer robust, og vi i Norcert er dessuten forberedt på å håndtere og koordinere denne typen hendelser,» sier Birkeland. Han erkjenner imidlertid at det er umulig å sikre seg fullstendig mot denne typen angrep, og at dette vil bli testet i en nasjonal cyberøvelse mot slutten av 2008.
* Savner sterkere samordning: Generalmajor Arnvid Løvbukten etterlyser sterkere samarbeid for å styrke norsk informasjonsinfrastruktur.
* Russere og kinesere på cybertokt: Vestlige kilder spekulerer i om russiske myndigheter godkjente cyberangrepet på Estland i vår. Nylig er det også blitt kjent at datamaskiner sporet til det kinesiske forsvaret har forsøkt å komme inn i tyske, britiske og amerikanske myndigheters datasystemer.
* Cyberøvelse i 2008: Nasjonal Sikkerhetsmyndig-het planlegger en egen cyberøvelse i 2008, for å øke forsvarsevnen mot cyberangrep.
Krever sterkere samordning
Sist uke la Forsvarssjefen frem sin studie av Forsvarets fremtid, og for kort tid siden lanserte Forsvarspolitisk utvalg sin rapport om Forsvarets fremtid. Ingen av disse rapportene tar for seg de digitale utfordringene annet enn i bisetninger. Men fra Forsvarsdeparte-mentet understrekes det at trusselen om dataangrep tas svært alvorlig, både i Norge og i Nato.
«Dataangrep mot et lands kritiske infrastruktur kan påføre store skader. Og det kan være svært vanskelig å identifisere hvem som står bak. Derfor er det viktig å bygge opp robuste systemer som er forberedt på slike angrep, sier poltisk rådgiver,» Ragnhild Mathisen i Forsvarsdepartementet. Temaet er også på dagsorden i Nato. På toppmøtet i Riga i november i fjor ba stats- og regjeringssjefene om at det måtte arbeides med å forbedre beskyttelsen av de sentrale informasjonssystemene i alliansen mot dataangrep. «Dette arbeider Nato med nå. I tillegg er Estland i ferd med å bygge opp et kompetansesenter for Nato innenfor området. Det stiller vi oss svært positive til,» sier Mathisen til Mandag Morgen.
Forsvarssjefen anbefaler i sin studie å plassere ansvaret for informasjonsstrukturen hos en egen generalinspektør. Dette innebærer både utvikling av nettverksorganisasjoner ute i felten og overordnet ansvar for forsvar mot cyberangrep.
Den amerikanske forskningsinstitusjonen Defense Science Board Task Force skriver i en ny rapport at det bare er et tidsspørsmål før en motpart utnytter svakhetene innen informasjonsteknologi av nasjonal betydning på et kritisk tidspunkt i historien. «Dette er en spissformulering, men vi forventer også at det vil komme større dataangrep. Vi vet imidlertid ikke hvor, når og hvordan det vil arte seg,» fremhever Christophe Birkeland, i Norcert. Norcert er en del av Nasjonal sikkerhetsmyndighet (NSM), og har hovedansvaret for Norges forsvar mot cyberangrep, og rapporterer både til Forsvarsdepartementet og til Justisdepartementet.
Birkelands vurdering er at denne typen angrep sannsynlig vil ramme sivile systemer der ansvaret for beredskapen ligger hos Justisdeparte-mentet.
Generalmajor Løvbukten fremhever imidlertid at Forsvaret er avhengig av den sivile infrastrukturen, og at de savner en sterkere samordning mellom det vell av aktører som har ansvar på dette området. Den økende sårbarheten både på sivilt og militært område bidro til at Sårbarhetsutvalget, som la frem sin rapport i 2000, anbefalte å opprette et eget sikkerhetsdepartement. Dette forslaget er senere lagt i skuffen, men både Forsvarets forskningsinstitutt og Riksrevisjonen har senere påpekt at arbeidet med sikkerhets-samordningen går på tomgang.
Løvbukten vil bruke Totalforsvarsnemda for å skape mer fremdrift på området: «For meg er det ikke viktig å få opprettet et eget sikkerhetsdepartement, slik Sårbarhetsutvalget foreslo, men å få koordinert innsatsen mellom de ulike enhetene bedre enn i dag,» sier Løvbukten. Han peker på at Forsvaret ønsker å bruke den samme innfallsvinkelen i arbeidet med å utvikle et nettverksbasert forsvar. «Jeg trenger ikke å eie avdelingene, men må kunne koordinere dem. Det krever bedre regler og andre prosedyrer enn dem vi har i dag,» sier Løvbukten.
Estland: 22 dager i krig
I 22 dager i april-mai 2007 var Estland under angrep fra fiendtlige datamaskiner. Angrepet startet etter at estiske myndigheter fjernet et russisk krigsminnesmerke i hovedstaden Talinn.
At esterne fjernet minnesmerket skapte sterk harme i Russland og i Estlands russiske minoritetsbefolkning. Protestene tok nye former: Fra 27. april til 18. mai 2007 var Estland under konstant angrep fra datamaskiner spredd over hele verden, men flest befant seg i Russland. En rekke diskusjonsfora ble brukt til å rekruttere flere deltakere til angrepene mot Estland.
Oppfordringene ble fulgt opp av instruksjoner for hvordan enhver datamaskin med internettilgang kunne brukes i angrepet, ledsaget av programmer som lot tilhengere overgi kontrollen av sin egen maskin til angrepsnettverkene. I tillegg tok nettverket kontroll over «intetanende» maskiner gjennom virus.
Denne fremgangsmåten gjør det svært vanskelig å finne ut hvem som egentlig stod bak angrepene. Derfor har Estland aldri svart på angrepene: «Hvordan skulle vi vite hvem vi ville treffe med et motangrep,» spør Rain Ottis, ekspert på temaet fra det estiske forsvarsakademiet. Et angrep mot maskinene som angrep Estland kunne like gjerne rammet en norsk jentunge med en virusinfisert PC, som en av de virkelige opphavsmennene, understreket han under konferansen Paranoia 2007 i Oslo sist uke.
Flere kilder spekulerer i at russiske myndigheter var innblandet i, eller stilltiende godtok, angrepet. Dette inntrykket forsterkes gjennom at russiske myndigheter ikke har ønsket å samarbeide om å finne gjerningsmennene bak angrepet.
Ofte politisk motivert
Det estiske eksemplet er verken det første eller hittil siste. Daglig rammes tusenvis av selskaper av denne typen angrep. Ifølge magasinet Der Spiegel, koster det bare noen få hundre dollar å få gjennomført et slikt angrep mot en konkurrent. Det er langt rimeligere enn å økt markedsføringsbudsjettene. I Russland er det ikke uvanlig at bedrifter går offline som følge av angrep, og flere ganger har dette også rammet russiske opposisjonspartier og kritiske medier, noe som ytterligere forsterker inntrykket av at russiske myndigheter ikke er helt uten kjennskap til det som skjer på området. Men de russiske myndighetene er i så fall ikke alene:
«De fleste stormaktene er i ferd med å utvikle både offensive og defensive forsvarsevner på dette området,» sier sikkerhetsguruen Kent Anderson som sist uke deltok på Paranoia 2007. Han var på 1990-tallet med på å fange kanskje verdens hittil mest kjente hacker, Kevin Mitnick, som blant annet sto bak flere innbrudd i Pentagons datanettverk.
Anderson deler motivene bak angrepene inn i fire kategorier; de nasjonalistiske, de regjeringsstøttede, kampanjer ledet av aktivister, og terrorisme (se tekstboks). I det estiske eksemplet dreier det seg sannsynligvis om nasjonalisme, et hackerområde som er blant de raskest voksende.
Forskjellen mellom angrep utført av myndigheter og et angrep gjennomført av private nasjonalister og aktivister, viser seg ofte i målet med angrepet. Statsstøttede angrep har i mindre grad behov for medieeksponering enn angrep foretatt av aksjonister og nasjonalister.
«De fleste aktivistangrepene bringer ikke systemene i kne. De kan få systemene til å gå litt saktere, men de forstår ofte ikke det de gjør godt nok til å gjøre virkelig skade,» sier Anderson. Men medieoppmerksomheten rundt angrepene har bidratt til at aktivistene ofte har vunnet frem likevel. Den siste tiden er Kina blitt beskyldt for cyberspionasje blant annet av den tyske e-tjenesten: «I våre øyne står den kinesiske stats interesser bak disse angrepene. Dette vises gjennom intensiteten, bredden og strukturen på angrepene, og gjennom målene for angrepene, som inkluderer tyske myndigheter og selskaper,» sa Hans Elmar Remberg, assisterende direktør i den tyske etterretningstjenesten, til Die Welle. Utsagnet kom to måneder etter at spioner, med forbindelse til den kinesiske hæren, angrep datamaskiner tilhørende den tyske regjeringen. Senere har både USA og Storbritannia bekreftet at de har opplevd angrep som er forbundet med de kinesiske myndighetene.
Cyberøvelser og regulering
Christophe Birkeland, som leder dette sikkerhetsarbeidet her hjemme, mener Norge har så god kontroll på området som vi bør og kan ha med dagens forutsetninger. Han viser til at Norge blant annet er én av ni nasjoner som deltar i det operative europeiske samarbeidet om datasikkerthet, European Government CERT Group (EGC).
Denne typen samarbeid kombinert med defensive tiltak i Estland, begrenset skadevirkningene av datangrepet på Estland. Samarbeidet baserte seg blant annet på at esterne ga beskjed om hvilke maskiner som angrep, slik at de nasjonale certene kunne følge disse sporene helt frem til avsender og blokkere maskinen fra å delta videre i angrepet.
Dette begrenset skadevirkningene slik at for eksempel Estlands største bank, Hansapank, var utilgjengelig i Birkeland mener eksemplet fra Estland viser at denne typen utfordringer i stor grad vil være på sivil side av samfunnet. På dette området er det Norcert som har ansvaret, med direkte rapportering til Justisdepartementet.
«Jeg tror mye av dette vil håndteres på sivil side, men forsvarsdepartementet vil selvfølgelig bli informert,» sier Birkeland til Mandag Morgen.
Det betyr ikke at han tar lett på oppgaven. Den nye typen angrepsformer gjør det tilnærmet umulig å vurdere trusselbildet. Angriperne kan dukke opp fra intet og være basert på vanlig forbrukerelektronikk i de tusen hjem. Frykten for at noe skal skje, er vel så viktig som de fysiske problemene som vil oppstå, fremhever ekspertene.
Det uoversiktlige trusselbildet er én av årsakene til at NSM er i ferd med å planlegge en egen cyberøvelse mot slutten av 2008. En liknende øvelse er allerede gjennomført i USA, hvor de også vil arrangere en ny øvelse rett over nyttår. Denne øvelsen vil bli brukt som læringsarena for planlegging av den norske øvelsen.
Tekstboks
To måter å angripe på
Angrepet på Estland klassifiseres som et såkalt «tjenestenektangrep». Dette gjøres ved at angriperen sender et stort antall forespørsler til en nettside eller tjeneste slik at denne går i stå, og blir utilgjengelig for vanlige brukere. Denne typen angrep er det umulig å skåne seg mot, men jo større båndbredde tjenesten har tilgjengelig, jo vanskeligere er den å lamme.
En annen type angrep handler om å skaffe seg tilgang til informasjon og maskiner som en ellers ikke har rettigheter til. Tilgangen kan så benyttes til å tappe datasystemet for informasjon, eller som plattform for angrep mot andre datasystemer. En vanlig form for denne typen angrep kan være såkalte «defacements» der en nettsides innhold erstattes med et annet budskap. Mer avanserte eksempler dreier seg om regelrett spionasje.
Tekstboks
«Umulig å vite hva som er nok»
Trusselen om cyberangrep mot Norge er reell, men umulig å forsikre seg mot. Det mener sikkerhetseksperter Mandag Morgen har snakket med.
«Dette er som å spå om orkaner i Karibia. Du vet at det vil komme, men ikke når og hvor kraftig,» sier Stein Møllerhaug i Watchcom Security Group til Mandag Morgen. Han forteller at Watchcom finner sikkerhetshull nesten hver gang de går inn og vurderer sikkerheten i bedrifter. «Slik risiko og sårbarhet er ikke noe problem inntil noen utnytter den,» fremhever Møllerhaug. Han sammenligner spørsmålet om datasikkerhet med terrorisme.
«Det alle er redd for, er terroranslag. Men samtidig dør det flere i trafikken i USA årlig enn det gjorde i angrepet på World Trade Center. Dette handler ofte om å få folk til å frykte,» sier Møllerhaug og viser til at svarene på om vi gjør en god nok jobb kommer først når angrepet utløses. Utfallet av angrepet avgjør om tiltakene som er gjort vurderes som gode nok, eller om det startes en jakt på en syndebukk. Det finnes nemlig ingen objektiv måte å sikre seg på, verken mot angrep eller virkningene av dette. Ettersom enhver datamaskin utgjør en potensiell trussel – kan angrepets styrke bli enorm – og umulig å forsvare seg mot.
Tekstboks
Windows må slutte å kræsje
Nøkkelen for å kunne leve med sikkerhetsproblemene på internett, er å øke forståelsen og kunnskapen om temaet og få programvareselskapene til å lage bedre programmer. Det mener sikkerhetsekspert Kent Anderson.
Han bruker bilindustrien som eksempel, og viser til hvordan økte krav til sikkerhet har presset frem sikrere biler – der føreren ofte er det svake punktet. Og bedre utdannelse av førere kan gi økt sikkerhet i trafikken.
Programvareselskapene, med Microsoft i spissen, har imidlertid ikke satset like hardt på sikkerhet. I stedet har programvareselskapenes så langt hatt fokus rettet mot utvikling av funksjonalitet og brukervennlighet.
Fremover vil dette fokuset måtte flyttes til sikkerhetssiden, mener Anderson. Han har likevel liten tro på at programvareindustrien vil kunne klare dette alene. På samme måten som bilbransjen har fått stadig strengere krav til sikkerhet, trenger også programvarebransjen flere dytt bak, mener Anderson.
«Uten offentlige reguleringer ville aldri bilbransjen ha kommet så langt som den er innen sikkerhet, mener Anderson.
Tekstboks
Fire motiver bak cyberangrep
Sikkerhetsekspert Kent Anderson deler angripernes motiver inn i fire grupperinger:
Nasjonalistiske
Individer eller grupper som handler uavhengig uten økonomisk støtte fra noen stat.
Gruppen øker både i antall angrep og i virkningen av angrepene.
Kina og Japan – ofte basert på følelser knyttet til 2. verdenskrig
Serbia og Kosovo
Palestina, Israel og USA
Sverige og Tyrkia – publisering av muhammed-karikaturer
Tyrkia og USA – basert på interesser knyttet til Armenia
Estland og Russland
Regjeringsstøttede
Vanskelig å analysere, ettersom mesteparten av informasjonen er konfidensiell
Ofte vanskelig å se grensen mellom nasjonalistisk og regjeringsstøttede angrep.
Spionasje gjennom hacking har eksistert siden 1980-tallet
Enkelt å utvikle offensiv slagkraft, men vanskelig å beskytte seg mot.
Gjengjeldelse gir stor risiko for å ramme uskyldige
Aktivister
Elektronisk sivil ulydighet
Sterk utvikling i angrepenes metode og hvordan de rettferdiggjøres siden 1990-tallet.
Svært mangfoldige beveggrunner for aksjonene, og kan ofte kombineres med fysiske protester.
Ofte liten slagkraft
Terrorisme
Brukt av både IRA og FARC-geriljaen i Columbia.
Al-Quida støttespiller opererer på 6000 websider, der de rekrutterer og planlegger angrep