I november 2018 startet PST etterforskning av et omfattende nettverksangrep mot flere fylkesmannsembeter.
Noen hadde angrepet datasystemene til fylkesmennene – statens representant rundt i landet med et utstrakt beredskaps- og koordineringsansvar.
NRK vet nå at minst tre fylkesmannsembeter rundt om i landet er blant ofrene for dataangrepet.
– Vi arbeider nå blant annet med å få oversikt over omfanget og hvor mange fylkesmannsembeter som er rammet. Foreløpig ser det ut som i hvert fall tre embeter er rammet, sier PSTs kommunikasjonsrådgiver Martin Bernsen til NRK.
Martin Bernsen hos PST forteller at de nå jobber med å finne ut av omfanget av nettverksangrepet.
Foto: Knut-Martin Løken / NRKAngrep kjent i begynnelsen av november
Nøyaktig når ondsinnede aktører angrep datasystemene til fylkesmennene er ennå uklart.
NRKs undersøkelser av dokumenter og journaler hos flere offentlige etater og virksomheter som er involvert, viser at angrepet var kjent så tidlig som den 9. november 2018.
Dokumentsporene viser også at fylkesmennene manglet et sentralt mottrekk mot slike dataangripere.
Fylkesmennene hadde ikke fått utplassert sensorer fra Nasjonal sikkerhetsmyndighet da angrepet ble oppdaget.
Sensorene (VDI) er laget for å kunne avdekke forsøk på datainnbrudd mot kritisk infrastruktur, og overvåkes av det nasjonale overvåkingssenteret NorCERT.
– Sensorene er veldig viktige i kritisk infrastruktur. De gir oss helt uvurderlig informasjon. Både om hva som skjer hos en enkelt virksomhet, og de gir oss også et helhetlig bilde, sier avdelingsdirektør Bente Hoff hos Nasjonal sikkerhetsmyndighet (NSM) som driver NorCERT.
– Hvis det skjer en hendelse – hva har det å si å ha en slik sensor på plass?
– Det er veldig nyttig. Uten en slik sensor kan man sitte i mørke og ikke være i stand til å se hva som skjer rett og slett, sier Hoff.
Avdelingsdirektør Bente Hoff hos NSM sier sensorene er viktige i arbeidet med å avdekke dataangrep.
Foto: Øyvind Bye Skille / NRKDepartementet: – Reagerte raskt etter hendelsen
NRK har forsøkt å få svar fra flere fylkesmenn og også overordnet ansvarlig departement – Kommunal- og moderniseringsdepartementet.
Fylkesmannen har et spesielt beredskapsansvar rundt om i landet, og sitter derfor på store mengder sensitiv informasjon. Blant annet store mengder beredskapsplaner for håndtering av kriser i samfunnet, og fylkeslegene håndterer klagesaker fra helsevesenet med helseopplysninger.
Ingen av de berørte virksomhetene ønsker å gi noe intervju, og departementet sender et skriftlig svar fra øverste ansvarlige byråkrat.
– Dette er en hendelse vi tar på største alvor, uttaler departementsråd Eivind Dale skriftlig via sin kommunikasjonsavdeling.
Samtidig vedgår departementsråden at sensorer ikke var utplassert før hendelsen inntraff.
– Fylkesmannsembetene var ikke inkludert i dette nettverket før denne hendelsen, ut fra en løpende vurdering av prioriterte behov. Vi reagerte raskt da hendelsen inntraff. I løpet av kort tid hadde NSM plassert ut VDI-sensorer som bidrar til å analysere og avgrense hendelsen, skriver Dale.
NRK har også spurt hva angriperne kan ha fått tak i av informasjon, og i hvilken grad nettverksangrepet kan ha rammet beredskapsarbeidet uten å få svar.
– Fordi saken er under etterforskning av PST har vi ikke kommentarer eller ytterligere opplysninger om saken, skriver departementsråden i Kommunal- og moderniseringsdepartementet i e-posten som besvarer NRKs henvendelse.
PST etterforsker saken med henvisning til lovparagrafen om fremmed etterretning mot norske interesser (§ 121 i straffeloven). De opplyser at etterforskningen kan komme til å ta en del tid, og at de også da vil forsøke å finne ut hvilke aktører som står bak angrepet.
NSM bistår både PST med etterforskningen, og fylkesmennene og departementet med håndteringen.
– Vi bistår fylkesmennene og departementet med råd og hjelp og sensorteknologien vi sitter på. Vi ser også på elektroniske spor for å finne ut omfanget av saken – hvor langt det har kommet. Deretter gir vi råd om tiltak, sier Bente Hoff hos NSM.
Bistanden innebærer derfor blant annet, at det etter at angrepet ble oppdaget, fikk flere fylkesmenn installert slike sensorer i sine nettverk. NSM opplyser at det også er naturlig i slik saker at de bistår i jakten på elektroniske spor ved logganalyse og hendelseshåndtering.
