Hopp til innhold

NSM bekymret: – En fjerdedel har fortsatt ikke installert sikkerhetsoppdatering

– Alle virksomheter må selv sjekke om de er utsatt for angrep, sier Bente Hoff i Nasjonal sikkerhetsmyndighet (NSM). De er bekymret over at det fortsatt er mange i Norge som ikke har oppdatert sikkerhetssystemene sine.

Operasjonsrommet i NSM

Operasjonsrommet i NSM

Foto: Tormod Strand / NRK

– Vi har kartlagt norske virksomheter som har programvaren for å finne ut hvor mange som er sårbare for angrepet. Det er fremdeles i underkant av en fjerdedel som fortsatt ikke har installert sikkerhetsoppdatering, slik at hullene hos disse ikke er tettet.

Det sier avdelingsdirektør Bente Hoff i Nasjonal sikkerhetsmyndighet (NSM) til NRK.

– Når tiltak og analyse er gjort i virksomhetene, så er vi ikke bekymra lenger, sier Hoff.

Hun vil ikke utdype hvilke virksomheter i Norge som har igangsatt tiltak, eller om Stortinget har gjort det.

Hullet i sikkerhetssystemet til Microsoft Exchange ble kjent 2. mars.

Alle er potensielle mål

– Vi ser på dette som svært alvorlig. Det er derfor vi gikk så tydelig ut og advarte.

Hoff understreker at dette ikke er noe hver enkelt bruker skal gjøre.

Bente Hoff, digital sjef i NSM

Bente Hoff, avdelingsdirektør i NSM

Foto: Anne Cecilie Remen / NRK

– Microsoft Exchange er noe som først og fremst brukes av bedrifter og virksomheter, så her er det IT-avdelingen i virksomheten som må gjøre dette.

– Det er så stor aktivitet på dem som forsøker å bryte seg inn i systemene, at alle virksomheter må se på seg selv som et potensielt mål, enten målrettet eller tilfeldig.

NSM fikk vite om sikkerhetshullet i Microsoft tirsdag for en uke siden. Onsdag ble det kjent at Stortinget er blant dem som er utsatt for dataangrep.

– Vi varslet en rekke virksomheter, og la det ut på websidene våre, om at det er viktig å oppdatere, sier Hoff.

Frykter løsepengekrav

Aktørene bak angrepet kan ha laget en såkalt bakdør. Høgskolen i Østfold er en av dem som er rammet av angrepet. De ser tegn til dette i sine servere.

Gjennom bakdører kan trusselaktører stenge ned virksomheters IT-systemer, og kreve løsepenger for å åpne dem igjen.

– Vi er også bekymra for at sikkerhetshullet vil bli utnytta av aktører som driver med løsepengevirus og dermed gjøre it-systemene utilgjengelige, sier Bente Hoff.

– Dette sikkerhetshullet som har vært i Microsoft Exchange, kan ha blitt brukt for å komme seg på innsiden av systemet, og deretter lage en bakdør som bare aktøren kjenner til, sier Hoff.

Hun sier de ikke er bekymret for at Stortinget kan bli rammet av løsepengevirus i forbindelse med angrepet.

Ikke over

Ennå vet ikke NSM om angrepet er over, eller om aktører fortsatt er inne i systemene til de angrepne virksomhetene. Stortinget er blant disse.

– Det man nå jobber med er å finne ut av og analysere hva som har skjedd, og være sikker på at ingen trusselaktører fortsatt er på innsiden av systemene. Dette er et stort arbeid som tar tid.

– Hvor lang tid anslår dere at det vil ta?

– Det kan jeg ikke kommentere, sier Hoff.

Hoff ønsker heller ikke å spekulere i hvem som kan stå bak angrepet, men sier hun har registrert at Microsoft selv peker på en kinesisk hackegruppe.

– Dette er måten man globalt har sett at trusselaktører har utnyttet sikkerhetshullet, og lage en bakdør. Så det er et kjent mønster tilknytta denne serveren, sier Hoff.

Samtidig påpeker Hoff at man forventer at det er flere aktører som nå benytter seg av sårbarheten til Microsoft Exchange.

NSM ser ingen mønstre i hva slags virksomheter som er angrepet, ifølge Hoff.

– Jeg kan si at det er flere ulike sektorer, offentlige og private, sier hun.

Den kinesiske ambassaden i Norge avviser at de har noe med datainnbruddet å gjøre.

– Kina er en sterk støttespiller for datasikkerhet, og tar sterk avstand fra og bekjemper alle former for dataangrep, skriver ambassaden i en pressemelding.

– Så spor av bakdør

I tillegg til Stortinget og Høgskolen i Østfold, er Øksnes kommune blant virksomhetene som er rammet av angrepet.

– Det eneste vi har er noen indikasjoner på. er at det har vært automatiserte script som kan ha vært på serveren. Vi har ingen indikasjoner på at fysiske personer er kommet inn, og derfor har vi heller ikke noe på avveie. Vi analyserer alt nå, sier informasjonssjef Tore Petter Engen ved Høgskolen i Østfold til NRK.

Han sier de ikke har spor på at noe er hentet ut fra serveren, og at Høgskolen har satt opp alt på nytt.

– Vi så spor av at folk har prøvd å legge igjen en bakdør, og det er derfor vi logget av nettet da vi oppdaget det, sier Engen.

Ordfører John Danielsen i Øksnes kommune sier kommunen jobber for å finne ut om noe er hentet ut av deres server.

– Vi oppdaget på tirsdag at vi antakelig var angrepet, da vi kjørte en rapport i systemet. Det er sikkerhetshullet i Microsoft Exchange, og sannsynligvis et globalt angrep, sier Danielsen til NRK.

Kommunen har politianmeldt angrepet og gjør videre undersøkelser.

– Per i dag tror vi at vi har reddet alt, men vi er ikke sikre. Vi får se de neste dagene. Men det har vært aktivitet inne på våre servere, sier Danielsen til NRK.

Skanner hele internettet

Det har kommet fram at det har vært flere hendelser før sårbarheten ble rapportert til Microsoft av en sikkerhetsforsker i begynnelsen av januar.

– Blant annet ble det meldt om et dansk selskap som ble hacket i januar. I undersøkelsen fant de ut at det var den samme sårbarheten som ble utnyttet da. Også et annet selskap meldte fra om at de var blitt hacket i samme periode. Det sier Marie Moe til NRK. Hun er førsteamanuensis ved NTNU, og seniorkonsulent i IT-sikkerhetsselskapet Mnemonic.

Når det oppdages hull i systemet som det som har skjedd med Microsoft Exchange i dette angrepet, begynner alle trusselaktørene å skanne nettet etter sårbare Exchange-servere.

– Hackerne søker gjennom alle ip-adressene over hele internettet og ser etter disse serverne. Finner de en port som er åpen og ser en sårbar server, benytter de tilgangen til å gå videre inn i systemet. De kan stjele brukernavn og passord, installere hackerverktøy og finne dataene de er ute etter å stjele, sier Moe.

Hun sier det blir et kappløp med tiden.

– Man må være lynraskt ute med å installere sikkerhetsoppdateringen før den storstilte skanningen begynner.

Så fort sårbarheten blir kjent i miljøet begynner aktørene å skanne.

– I dette angrepet kan de ha skannet nettet i storstilt skala siden slutten av februar, sier Moe.

– Har man hatt sårbarhetsservere, og leter etter tegn, bør man lete så langt tilbake som 1. september, sier Marie Moe.

AKTUELT NÅ