Dataangrepet skal ha skjedd fordi nokon har utnytta sårbarheiter hos Microsoft Exchange sine system, opplyser Stortinget.
Det er sett i verk fleire tiltak i datasystema, og Stortinget har fått stadfesta at det har blitt henta ut data.
– Trusselbiletet er i rask endring og er stadig meir krevjande. Eit slikt angrep viser også at våre demokratiske prosessar er utsette, seier stortingspresident Tone Wilhelmsen Trøen (H) til NRK.
Trøen seier dei er klar over dei risikoane som er knytt til dei digitale trugsmåla.
– Dette angrepet er større og meir avansert enn det vi såg i haust, seier Trøen.
Ho meiner det er ekstra alvorleg at dette skjer no like før eit Stortingsval.
Andre på eit halvår
Også i september i fjor haust blei Stortinget utsett for eit dataangrep. Då blei fleire av e-postkontoane til stortingsrepresentantane utsette for angrep.
Fleire andre norske verksemder blei angripe. Den gong blei saka lagt bort, men PST peika på hackarar i den russiske etterretningstenesta. Russland har avvist skuldingane.
Stortinget seier at dei ikkje ser nokon samanheng mellom angrepet i haust og angrepet som no er avdekt.
– Vi ser at data er henta ut, men vi har enno ikkje full oversikt. Situasjonen er uavklart, og vi kjenner ikkje det fulle skadepotensialet, seier direktør Marianne Andreassen.
Stortingets direktør Marianne Andreassen seier at data er henta ut i angrepet, men at dei ikkje kjenner omfanget.
Foto: Torstein Boe / Torstein Boe- Les:
Andreassen seier det er snakk om såkalla 0-dags sårbarheiter. Det vil seie svakheiter som leverandøren ikkje har vore klar over, og som aktørar kan utnytte.
– Stortinget kunne difor ikkje ha hindra dette angrepet, og vi er heller ikkje aleine, seier ho.
Andreassen forklarer tidslinja for korleis angrepet blei oppdaga slik:
- 2. mars: Microsoft orienterer om sårbarheitene i programmet
- 3. mars: Sikkerheitsoppdateringa blei gjort tilgjengeleg. Systema på Stortinget blei oppdatert.
- 5. mars: Stortinget fekk varsel frå NSM om uvanleg trafikk inn mot systema på Stortinget. NSM orienterte offentleg om svakheitene ved Microsoft Exchange.
- 8. mars: Stortinget fekk stadfesta at data var henta ut frå systemet.
Stortinget vil ikkje seie kva type informasjon som er henta ut, men Andreassen seier dei samarbeider tett med NSM om å avdekke omfanget og avgjere kva tiltak som skal settast inn.
– Vi har sett i gang passordskifte for alle tilsette og representantar. Dette er vurdert som eit viktig tiltak, seier Andreassen.
Ho seier situasjonen framleis er uavklart, og utelukkar ikkje at det kan kome nye tiltak dei komande dagane. Serveren med gradert informasjon skal ikkje vere omfatta av angrepet.
Datainnbrotet er meldt til politiet, som no skal etterforske hendinga.
Omfattar fleire verksemder
Nasjonal sikkerheitsmyndigheit gjekk før helga ut og åtvara mot sårbarheita i servarar som ingen visste om før Microsoft sjølve fortalde om det. NSM varsla straks om dette, seier avdelingsdirektør Bente Hoff i for Nasjonalt cybersikkerhetssenter i NSM.
– Vi gjekk ut med eit varsel med ein gang til norske verksemder om at dei måtte oppdatere programvara. I tillegg bad vi dei om å sjekke om nokon allereie hadde utnytta svakheita.
Ho seier dei foreløpig ikkje veit kven som kan stå bak, og vil heller ikkje spekulere i det.
– Vi har fokus på å hjelpe så godt vi kan, og hjelpe andre verksemder til å få oppdatert slik at dei ikkje blir ramma.
Avdelingsdirektør Bente Hoff i Nasjonalt cybersikkerhetssenter i NSM seier dei varsla straks dei blei merksame på svakheita.
Foto: Terje Bendiksby / NTBI tillegg til Stortinget er det fleire både små og store verksemder som er ramma, både i offentleg og privat sektor. NRK er kjent med at Høgskolen i Østfold, Øksnes kommune og kollektivselskapet AtB er blant dei som er ramma.
Det at det no kjem eit nytt stort angrep så kort tid etter det førre, viser at det er viktig å vere på vakt, seier Hoff.
– Vi lever med ein auka digital risiko der det er mange trusselaktørar der ute som vil utnytte dei moglegheitene som oppstår. Denne sårbarheita hos Microsoft blir brukt av mange, og vi ser at trusselaktørane er på hogget.
– Ubehageleg
På Stortinget er tilsette og representantar i ferd med å tilpasse seg dei nye tiltaka som er innført.
Stortingsrepresentant Christian Tybring-Gjedde (Frp) synest det er ubehageleg at Stortinget nok ein gong er ramma, men han håper det ikkje er henta ut informasjons frå hans konto.
– Ikkje det at eg har så mange hemmelegheiter der, men det er ubehageleg dersom folk er inne og les alt ein har lagra frå dokument til privatinformasjon, det er veldig ubehageleg, seier han.
Stortingsrepresentant Christian Tybring-Gjedde (Frp) synest det er ubehageleg at Stortinget nok ein gong er ramma av eit datainnbrot.
Foto: Ole Berg-rusten / NTBEmilie Enger Mehl (Sp) seier ho er nøgd med den informasjonen ho har fått frå administrasjonen på Stortinget, og har stor tiltru til at dei gjer det som skal til for å kartlegge angrepet.
Ho meiner rutinane på Stortinget er skjerpa sidan det førre angrepet i haust.
– Eg opplevde at ein gjorde ein grundig jobb for å skjerpe sikkerheita etter det, blant anna det som gjekk på passordreglar.
Stortingsrepresentant Ketil Kjenseth (V) synest også det er leitt at Stortinget nok ein gong er mål for datainnbrot, og meiner det er på tide å tenke nytt.
– Vi må få ein diskusjon om rutinar, og vurdere om vi skal halde oss med fleire e-postsystem. Vi bør også vurdere å ha separate lagringseiningar som ikkje er kopla til internett for den mest sensitive informasjonen, seier han.
Uvisst kva formålet har vore
Det er uvisst kva type informasjon som kan ha blitt henta ut. Men det kan dreie seg om e-postutvekslingar, oppføring i kalendrar og kontaktopplysningar.
Partnar i rådgjevingsselskapet Otte, Torgeir Waterhouse, seier angrepet er alvorleg for Noreg.
– Kva informasjon som er teke ut, veit vi ikkje. Og vi veit ikkje om dette er skadeleg for nasjonen eller ikkje. Det er bra å sjå kor på NSM har vore i denne saka, og korleis dette blir handtert, seier han.
Det er også uvisst kva som har vore formålet med angrepet.
– Det kan vere snakk om tradisjonell spionasje, eller det er nokon som ønsker å skape uvisse og støy. Det kan vere forsøk på å finne informasjon som ein kan bruke til å presse staten, statlege etatar eller enkeltpersonar, seier Waterhouse.
Det er også uvisst kven som kan stå bak angrepet. Microsoft peikar på gruppa «Hafnium», som dei meiner er statsfinansiert og basert i Kina. Dei baserer dette på framgangsmåte, taktikk og prosedyrar, skriv dei i ein e-post til NRK.
Men Microsoft skriv også at dei trur andre vondsinna aktørar også deltok i angrepet mot dei norske verksemdene.
Kan få store konsekvensar
Den siste tida har mange verksemder kjempa ein kamp med klokka for å få oppdatert tryggingssystema sine på grunn av sårbarheita til Microsoft Exchange.
Nasjonal sikkerheitsmyndigheit (NSM) kom med åtvaring om at dei naudsynte oppdateringane burde vere på plass innan onsdag i førre veke.
Søndag kveld var det minst 269 servarar i Noreg som mangla oppdateringar, ifølge tryggingsselskapet Defendable.
– Det spesielle med denne sårbarheita er at den som angrip får tilgang til all e-post for alle brukarar, seier Håkon Lønmo i Defendable til NRK.
– Dersom dei utnyttar sårbarheita og får administrasjonsrettar på e-postserveren, er vegen kort til å kompromittere heile verksemda, åtvarar han.
Dersom ein inntrengar først får fotfeste, kan dei legge inn fleire bakdører, noko som gjer det vanskeleg å kaste dei heilt ut av systema.
