Sikkerhetsrådgiver imponert over Stortingets IT-sikkerhet

– Dersom gevinsten og innsatsen er høy nok, er det umulig å sikre seg 100 prosent mot et angrep, mener teknologidirektør i Bouvet Simen Sommerfeldt. Han tror hackerangrepet mot Stortinget var målrettet.

Stortinget-epost

INNBRUDD: Ukjente gjerningspersoner har fått tilgang til e-postene til flere stortingspolitikere fra minst tre partier.

Foto: Skjermdump

I går kom nyhetene om et datainnbrudd i Stortingets datasystemer. Politikere fra Arbeiderpartiet, Høyre og Senterpartiet er rammet. Data er hentet ut.

Stortinget har anmeldt angrepet til PST. Foreløpig vet man ikke hvem som står bak og hvilke motiver gjerningspersonene har.

– Veldig gode på IT-sikkerhet

Teknologidirektør i konsulentselskapet Bouvet Simen Sommerfeldt har tidligere bistått et politisk parti med IT-sikkerhet. Den gang jobbet han også opp mot Stortingets datasystemer.

– Etter det jeg erfarer fra den gang, så er Stortinget veldig gode på IT-sikkerhet. De har to-faktor-autentisering som standard. Jeg var ganske imponert over hvor god sikkerhet de hadde, sier Sommerfeldt til NRK.

To-faktor-autentisering betyr at man i tillegg til brukernavn og passord, også må tilkjennegi seg selv på en annen måte for å få tilgang. Det kan skje ved hjelp av en kodekalkulator, en mobilapp eller på andre måter.

Angriperne har dermed måttet forsere flere hindre for å kunne nå inn til det aller helligste. Sommerfeldt tror det sannsynligvis dreier seg om et målrettet angrep.

– Stortinget er et veldig attraktivt hackermål. Man kan aldri verne seg 100 prosent mot et angrep hvis gevinsten og innsatsen er høy nok, sier han.

Akseptert risiko

Sommerfeldt sier dog at det alltid vil være svakheter i ethvert sikkerhetsopplegg. Han tror Stortinget har jobbet ut fra det han kaller en «akseptert risiko».

– Det betyr at de må ha sikkerhetstiltak som er gode nok, uten å gjøre det for vanskelig for politikerne å få utført arbeidet sitt, sier Sommerfeldt.

President i Tekna Lise Lyngsnes Randeberg sier til NRK at hun ikke ble spesielt overrasket over angrepet mot Stortinget.

– Jeg er mer overrasket over at det ikke har skjedd før. Det skjer hundretusenvis av digitale angrep hver dag mot norske virksomheter, etater og myndigheter, sier Randeberg.

– Det at det ikke har skjedd før mot Stortinget, betyr jo enten at de har en svært oppegående sikkerhetsstab og IT-personell. Eller så har det skjedd, men de har rett og slett ikke oppdaget det før.

«Kardemomme by»

Marianne Andreassen, direktør for Stortinget

ANGREPET: Stortingsdirektør Marianne Andreassen vet ikke hvem som brøt seg inn i datasystemene.

Foto: Torstein Bøe / NRK

Randeberg mener bevisstheten rundt datasikkerhet fortsatt ikke er god nok her til lands.

– I Norge er vi vant til at alt er veldig trygt. Vi bor alle sammen i Kardemomme by. Da er det vanskelig å bygge god, digital sikkerhetskultur. Dataangrep handler om mer enn bare teknologi. Det handler veldig mye om mennesker og om kulturen man bygger rundt de tekniske systemene.

Hun tror vi vil se flere lignende angrep oftere i fremtiden. Som Sommerfeldt tror også hun at Stortinget ikke var et tilfeldig mål.

– Det kan være et politisk angrep fra fremmede makter. Men det kan også være økonomiske interesser. Vi kan heller ikke se bort fra at der er noen som ønsker å tappe informasjon fra stortingsrepresentanter som kan brukes til å angripe andre – for eksempel norske virksomheter, sier Randeberg.

– Nå er det viktig at man har åpenhet rundt angrepet slik at andre kan lære av det og unngå i samme fella på et tidligere tidspunkt.

Stortingsdirektør Marianne Andreassen sier de fortsatt ikke vet hvem som står bak angrepet.

– Vi er i en tidlig fase med å analysere skadeomfanget. Vi samarbeider med sikkerhetsmyndighetene, har anmeldt saken og må analysere det videre, sier Andreassen til NRK.

NRK forklarer

Hvorfor er e-post så interessant for hackere?

E-post på mange måter nøkkelen til vårt digitale liv. Der finner man ofte samtaler som går flere år tilbake i tid og sensitive dokumenter.

 

Ved å få tilgang til en e-postkonto, kan man også få tilgang til andre tjenester på nett. Man kan oppgi på en nettside at man har glemt passordet. Da kommer det en lenke til e-postkontoen, og man får tilgang til nettstedet. 

Hvordan får hackere tilgang til noens e-post?

Det er ganske vanlig at folk bruker det samme passordet flere steder. Enkle passord kan en hacker gjette seg til. Mange har også passord på avveie fra tidligere datainnbrudd, noe hackere flittig bruker i nye angrep.

Er vanlige folks e-post utsatt?

De siste årene har det blitt stadig mer populært å angripe bedrifter og organisasjoner med såkalte løsepengevirus. Slike virus stenger alle datamaskiner de får tilgang til. Mange av disse angrepene starter med en tilsynelatende uskyldig epost sendt til en eller flere ansatte i bedriften.

 

Det er også vanlig at kriminelle angriper private e-postkontoer til personer med en viktig rolle i et selskap. Disse hackerne har gjerne finansielle motiver for angrepet.

Når private kontoer blir angrepet, er det fordi eieren på en eller annen måte er interessant for angriperen. 

Hvordan kan jeg sikre meg mot å bli hacket?

Det viktigste du kan gjøre er å få deg tofaktor på e-postkontoen du har på jobb og privat. Med tofaktor får du en unik og midlertidig kode på sms eller i en app. Det gjør det mye vanskeligere for en angriper – nå må de vite både passordet ditt og den unike koden for å bryte seg inn.

 

Eksperter anbefaler også at man skaffer seg en såkalt passord manager. Det er et program som lagrer alle passordene dine på ett sted. Slik kan du ha forskjellige passord på alle nettsider, samtidig som du bare trenger å huske ett passord.  

AKTUELT NÅ

SISTE NYTT

Siste meldinger