En rekke forsvarskommuner ble rammet av dataangrep

Hopp til innhold

– Det vi opplever nå er at kommunene har fått et større ansvar for nasjonal sikkerhet. Men dette klarer ikke små kommuner som Vadsø å håndtere alene, sier ordfører Wenche Pedersen (Ap).

Det som var kjent som et dataangrep mot Vadsø i februar i år, var i realiteten et angrep mot flere kommuner i Nord-Norge.

Ordføreren mener de må få hjelp fra nasjonale myndigheter.

– Det var en vekker, for dette handler ikke bare om Vadsø kommune. Det var flere kommuner som ble rammet i samme smeisen, sier Pedersen.

De er ikke alene. NRK har stilt 45 kommuner i Nord-Norge spørsmål om hvordan de sikrer at viktig informasjon ikke havner på avveier.

Svarene viser at flere mangler kontroll av hvem som slipper til på innsiden av kommunens systemer. Flere har opplevd angrep i løpet av det siste året.

Lekket passord på det mørke nettet

Det var på kvelden den 26. januar at alarmen gikk hos et revisjonsfirma i Nord-Norge.

Firmaet leverer tjenester til over 10 kommuner, blant dem flere forsvarskommuner. Det er kommuner som blant annet huser viktige militære installasjoner, havner og som skal sikre sensitive opplysninger om flere titusen innbyggerne.

En slik leverandør, som revisjonsfirmaet, er ifølge Nasjonal sikkerhetsmyndighet (NSM) et typisk mål for fremmed etterretning.

De har mange kommuner som kunder og når frem til mange datasystemer samtidig.

Myndighetene frykter blant annet at noen skal få tak i informasjon som kan brukes til å lamme samfunnet vårt.

Det kan være alt fra datasystemer som styrer vannforsyning, til angrep som setter hele kommunen ut av drift.

Hos revisjonsfirmaet i Finnmark hadde e-postadressene til ansatte havnet på det mørke nettet. Lederen sier de hadde gode sikkerhetsrutiner, med to-faktor pålogging og passord for hvert system. Likevel skjedde det.

På morgenen dagen etter stenger stengte firmaet sine systemer. Men de meldte ikke fra til sine kunder. Tanken hadde ikke slått dem da – at et angrep kan kunne ha gått videre til innsiden av flere kommuner i Troms og Finnmark.

Revisorfirmaet hadde adgang til kommunenes systemer gjennom pålogging.

Lederen i firmaet forteller til NRK at hackerangrepet skjedde i den mest hektiske tiden på året. Kommunene skulle levere årsregnskapet.

En uke etter at revisjonsfirmaet stengte ned, gikk alarmen på nytt. Noen hadde brukt passordene til å logge seg inn hos Vadsø kommune.

Det var IKT-sjef Eirik Andreassen i Vadsø kommune som oppdaget at det var unormal aktivitet på kommunens systemer.

Fra loggene kunne han se at noen hadde kommet seg inn natt til 2. februar. Da var de inne på systemene og Andreassen fant spor av dem flere steder.

– Heldigvis ble de stoppet på rekognoseringsstadiet. Vi så at de lette etter noe. Men kommunen klarte å stenge ned nettet før de fikk hentet ut data, forklarer IKT-sjefen.

Sporene peker mot en gruppe som driver med datainnbrudd og pengeutpressing ved hjelp av løsepengevirus.

Gruppa skal ifølge flere medier støtte Russlands annektering av Krim og skal ha angrepet flere vestlige institusjoner.

Det er gjerne gjennom leverandører og underleverandører av IKT-tjenester at angriperne kommer seg inn.

– Politiet banket på døra vår 8. februar. Først da skjønte vi at det var snakk om et større hackerangrep. Før dét trodde vi at det var noe som bare vedrørte oss, sier lederen for revisjonsfirmaet.

Sju kommuner ble angrepet

Vadsø og Sør-Varanger ble direkte angrepet og måtte stenge ned det kommunale nettet for å undersøke hvor kraftig de ble rammet.

Flere av de andre kommunene valgte å stenge ned sine systemer i frykt for angrep. I tillegg ble det gjort forsøk i Porsanger, Hammerfest og Alta.

Senere samme måned ble også forsvarskommunene Målselv og Fauske rammet av et annet dataangrep. Her utnyttet hackere at kommunens e-postserver ikke var oppdatert, og kom seg inn i systemene.

I mars kunne avisa Nordlys melde om et dataangrep mot Tromsø kommune.

IKT-sjef Eirik Andreassen i Vadsø mener at angrepsforsøkene særlig kommer fra to land.

– Vi ser det i loggen hver dag. Det kommer fra alle mulige land, men særlig Russland og Kina. Før konflikten i Ukraina skjulte de opprinnelsen med VPN. Nå kan vi se at de kommer rett fra St. Petersburg og Moskva, samt en rekke kinesiske byer.

I Alta har IKT-sjefen registrert det samme.

– Hvert sekund er det noen som forsøker å komme seg inn døra til våre systemer. Det er mye rart, men vi vet lite om intensjonen, sier IKT-sjef Kjell Magne Gabrielsen.

Noen dager etter angrepet mot Vadsø og Sør-Varanger i februar, satt ordføreren i Vardø i møte med Vadsø, Sør-Varanger og Statsforvalteren i Troms og Finnmark. Temaet var IKT-sikkerhet i kommunene.

Vardø kjøper revisortjenester fra et annet selskap og var ikke rammet av angrepet. Men ordfører Ørjan Jensen sier de registrerer mange forsøk.

– I dette teamsmøtet målte vi antall hackingforsøk. Vi målte 400 i løpet av en time, sier Jensen.

Vardø grenser til Russland i sørøst og har i likhet med Vadsø en etterretningsstasjon. Det er grunnen til at Vardø har skjerpet sikkerheten.

– Vi er klar over at kommunen vil være gjenstand for utenlandske aktører. Da Russland invaderte Ukraina gjorde Vardø betydelige investeringer i programvare, hardware og software. Det skal ikke være mulig å komme inn porten. Vi har også stengt ned porter fra naboland.

Dette svarer Russland og Kina

Både den russiske og kinesiske ambassaden har fått mulighet til å kommentere at flere av dataangrepene skal ha blitt sporet til Russland og Kina.

Dette svarer pressekontakt Timur Chekanov ved den russiske ambassaden i Oslo.

– Hackerangrep tilskrives rutinemessig den russiske siden uten bevis.

– Vi har flere ganger foreslått til den norske side å samarbeide med Det russiske nasjonale koordineringssenter for datahendelser.

– Dette senteret blokkerer regelmessig ondsinnede nettsider i Russland etter anmodning fra vestlige kollegaer. Likevel ser norske myndigheter bort fra våre forslag, skriver Chekanov.

Dette svarer presseavdelingen ved den kinesiske ambassaden i Oslo:

– Kina er også offer for cyberangrep. Kinesiske myndigheter og selskaper opplever massive angrep daglig. Vi er sterkt imot enhver form for cyberangrep. Samtidig motsetter vi oss enhver urimelig beskyldning og antydning mot at Kina bruker cybersikkert som en unnskyldning for å tjene til politiske formål.

– Cybersikkerhet er en global utfordring som krever samarbeid i det internasjonale samfunnet. Hvis det finnes konkrete bevis kan den norske siden dele det med oss, og vi vil gjerne jobbe sammen med Norge for sikkerhet på nett, gjennom dialog og samarbeid, på grunnlag av gjensidig tillit, respekt og noe begge land tjener på.

Har ansvar for nasjonal sikkerhet

Lenger sør er Fauske er et knutepunkt. Her går E6 forbi og en av de siste stoppene for Nordlandsbanen.

I tillegg ligger de like i nærheten av Forsvarets operative hovedkvarter (FOH) på Reitan. Kommunen har også tre lytteantenner som tilhører forsvaret rett utenfor sentrum.

IKT-sjef Tom Erik Holteng i Fauske sier de ikke har samme mulighet til bakgrunnssjekk av eksterne konsulenter, som fylkeskommune og stat. De må stole på at de innleide firmaene klarerer konsulentene som de henter inn.

– Dette er et dilemma, fordi ansvaret for sikkerheten ligger hos oss, sier Holteng.

Forsvarskommune har kun en IKT-konsulent

De er ikke de eneste som har det dilemmaet.

NRK har gått gjennom rapporter, hentet inn tall og stilt en rekke spørsmål til 45 kommuner i Nord-Norge. 24 av dem har svart. Vi har også intervjuet flere IKT-ledere.

En forsvarskommune opplyser at de kun har én IKT-konsulent og har derfor ikke engang muligheten til å svare på NRKs spørsmål.

En felles utfordring for de som svarer er at de mangler kompetanse på IKT. Løsningen for mange av dem er å hyre eksterne firmaer.

Det er et stort omfang. Tall fra Kommunal Rapport sin Leverandørdatabase viser at landets ti største leverandører av IKT fikk utbetalt til sammen 6 milliarder kroner av kommunene i 2021.

Flere av IKT-leverandørene kommunene kjøper tjenester fra, har ikke konsulenter selv. De hyrer konsulenter fra underleverandører.

NRKs undersøkelse viser at et fåtall av kommunene setter krav til IKT-sikkerhet i anbudene og kontraktene. Et fåtall sjekker underleverandørene og bakgrunnen til disse konsulentene.

– Vi har ikke satt noen krav tidligere. Det eneste som har havnet på bordet på kommunalt nivå er dette med TikTok og Telegram. Den øvrige geopolitikken har ikke vært dagsaktuell for oss, sier IKT-sjefen i Alta, Kjell Magne Gabrielsen.

De er en av flere kommuner som blir med i NSMs varslingssystem for digital infrastruktur (VDI). Det betyr at de får en sensor på nettet som skal fange opp unormal aktivitet til og fra Alta havn. Det er fordi den er såkalt kritisk infrastruktur.

Dersom forsvaret skal flytte sine styrker nordover, er Alta viktig for å sette disse på land.

– Det er en ny verden. Vi må begynne å tenke på sikkerheten fra det geopolitiske perspektivet.

NSM er Norges ekspertorgan for IKT-sikkerhet. De gir også råd og veiledning til private og offentlige virksomheter som er ofre for hacking. Flere kommuner oppgir at de følger NSMs grunnprinsipper for IKT-sikkerhet.

– Men det er ikke nok, mener ordfører Wenche Pedersen i Vadsø.

– NSM sier de kan hjelpe til. Det er ikke noen hjelp at NSM ringer IKT-folkene etter et dataangrep og skal ha ditt og datt når de sitter og jobber. Da bør de sitte stille og vente til de har gjort jobben. Jeg hadde forventning om at de skulle bidra med noe praktisk.

Hun mener NSM må styrkes, slik at dem kan hjelpe til når kommunene står i ei krise.

– Vi kan ikke ha 350 kommuner som alle skal ha sine egne greier, dette må være noe vi gjør sammen.

Flere kommuner reagerer i likhet med Pedersen på at små kommuner sitter alene med ansvaret for å forsvare landet mot inntrengere.

– Bildet er nå så komplekst og små kommuner har ikke kompetanse til å håndtere dette. Vi småkommuner savner mer statlig styring, sier IKT-sjefen i Måsøy kommune.

– Dette er kommunenes ansvar

Det at kommunene mangler kontroll på leverandører, underleverandører og konsulenter utgjør ifølge NSM en betydelig risiko for rikets sikkerhet.

– Kommunene må være bevisst sitt ansvar, og det krever ressurser. Vi har også påpekt at kontrollen med underleverandørene er for dårlig. Det er viktig at kommunene stiller krav til eksterne tjenester, sier Martin Albert-Hoff.

Han er avdelingsdirektør ved NSM sitt cybersikkerhetssenter. Han understreker at det ikke er noe galt i å leie inn ekstern kompetanse, tvert imot. Kommunene kan få både god og riktig bistand.

Han medgir at det kan være vanskelig å gjøre egen kontroll av underleverandører når kommunen i utgangspunktet mangler kompetansen selv.

– Man må forstå leverandøren, hvilke tjenester som blir levert og hvilke underleverandører som brukes,

I likhet med Albert-Hoff i NSM, mener statssekretær Hans-Petter Aasen i Justisdepartementet, at dette er kommunenes ansvar.

– I et sikkerhetsperspektiv krever økt tjenesteutsetting bedre oppfølgning av leverandører, herunder at virksomhetene har god nok kompetanse om bestillinger og at det gjøres tilstrekkelig sikkerhetsfaglige vurderinger. Dette er spesielt viktig i den skjerpede sikkerhetspolitiske situasjonen vi står i, skriver Aasen.

Han legger til at trusselaktører kan utnytte sårbarheter i verdikjedene, og dette er avgjørende for kommunenes evne til å levere viktige tjenester til befolkningen.

Aasen understreker at de i 2022 ga 50 millioner kroner som skulle gå til arbeid med digital sikkerhet i kommunen.

Dersom disse pengene skulle bli fordelt på de 356 kommunene her til lands, ville det blitt rundt 140.000 kroner til hver.

De fleste kommuner i NRKs undersøkelse sier de allerede har skjerpet sikkerheten, eller er i ferd med å gjøre det. Men de ber om mer hjelp og mer penger.

– Vi er klar over at vi har ansvar, men ansvaret er begynt å bli ganske stort i den sikkerhetspolitiske situasjonen vi står i nå, påpeker Vadsø-ordfører Wenche Pedersen.

Men regjeringen kan ikke love mer penger.

– Ansvaret for å ha tilstrekkelig digital sikkerhet ligger hos kommunene. Sentrale myndigheter gir nasjonale råd, anbefalinger og informasjon om trussel- og risikobildet, så kommunene kan vurdere hvilke tiltak som er nødvendige, skriver Aasen.

Dette er saken

NRK har gått gjennom rapporter, hentet inn tall og stilt spørsmål til 45 kommuner i Nord-Norge. 23 har svart. Undersøkelsene avdekker at:

Kommunene, inkludert forsvarstunge kommuner, mangler kompetanse innen informasjons- og kommunikasjonsteknologi (IKT) og sliter med å tiltrekke seg spesialister. Derfor hyrer de inn ekstern kompetanse.
Et fåtall av kommunene i undersøkelsen setter krav til IKT-sikkerhet i anbudene og kontraktene.
Kun et par kommuner svarer at de sjekker underleverandører og bakgrunnen til konsulentene som får innsyn i datasystemene. For eksempel om konsulentene har en nasjonalitet knyttet til land Norge ikke har et sikkerhetspolitisk samarbeid med. Og de sjekker ikke underleverandører.
Flere av kommunene, særlig forsvarstunge kommuner, opplever stadige forsøk på inntrengning. Forsøkene kommer fra ulike land, men flest fra Russland og Kina.
I de siste rapportene fra myndighetene som har ansvaret for sikkerheten i landet kommer det frem at etterretningstrusselen fra land som Russland og Kina har økt. Og det er i nord denne trusselen er størst.
Kommunenes fibernett og IKT-system er blant de fremste målene for utenlandsk etterretning. PST, NSM og Etteretningstjenesten skriver at overvåking og nettverksoperasjoner kan bli brukt både til å innhente viktig informasjon – og til sabotasje.
Det finnes flere måter å komme seg på innsiden av kommunens systemer.
Det er angrep mot kommunenes leverandører og underleverandører sikkerhetsmyndighetene er særlig bekymret for.
I Nasjonal sikkerhetsmyndighet (NSM) sin rapport «Risiko 2023» skriver de blant annet:
«Viktige samfunnsfunksjoner er avhengige av leverandører og underleverandører. Disse kan ha potensielt ukjente og alvorlige sårbarheter. Vi er ikke sikrere enn det svakeste ledd. Dette krever at vi evner å oppdage og avverge sikkerhetstruende virksomhet også i leverandørkjedene vi er avhengige av».
Og:«Lange og uoversiktlige leverandørkjeder utgjør fortsatt en sårbarhet som trusselaktører vet å utnytte. De siste årene har vi sett mange eksempler på at leverandørkjedeangrep mot leverandører av IKT-tjenester med svært store kundebaser får omfattende konsekvenser».

Hei!

Har du noen tips til oss etter å ha lest denne saken?

Jeg og mine kolleger har tidligere skrevet saken om Tromsø kommune som har gjort ulovlige IT-avtaler for over 100 millioner kroner. Vi har også skrevet om at flere kommuner frykter store dataangrep – Nasjonal sikkerhetsmyndighet overvåker trafikken. I en forsvarskommune sier ordføreren at de har observert mer russisk etterretning.

Vi har også fortalt om Bredbåndsfylket som avtalte å legge fiberkabel med russiske Megafon og at eierkommunene ikke fikk vite om at selskapet hadde signert avtale med det russiske teleselskapet.

Vi skrev også en sak om dataangrepet på Nordland fylkeskommune, som kostet 11,7 millioner kroner, og hvordan inntrengerne klarte å komme seg inn.

Takk for at du leste, og send meg gjerne ei melding!

Lisa Rypeng

journalist

Send meg en e-post

Dette er de vanligste formene for dataangrep:

Datainnbrudd

Datainnbrudd er å skaffe seg tilgang til hele eller deler av et datasystem uten lov. Dette kan en angriper for eksempel gjøre ved å utnytte svakheter i en programvare eller ved å misbruke brukernavn og passord.

Løsepengevirus

Løsepengevirus er en type programvare som låser eller krypterer hele eller deler av innholdet på et datasystem eller en datamaskin. Angriperen krever en løsepengesum for å låse opp innholdet. Infeksjon av løsepengevirus, eller ransomware, kan skje på ulike måter. Ett eksempel er at angriperen først skaffer seg tilgang til offerets system for deretter å installere løsepengevirus i offerets nettverk.

I flere saker har det blitt observert at angriper har hatt tilgang til nettverket i lang tid før løsepengeviruset starter å kryptere systemet. I nyere tid har det blitt vanlig med en påfølgende utpressing i saker hvor offeret er rammet av løsepengevirus. Angriperen truer ikke kun med å miste tilgang til kryptert data, men også med publisering eller salg av data hentet ut fra nettverket.

Tjenestenektangrep (DoS)

Tjenestenektangrep (DoS) er et angrep på internett som innebærer at informasjon, ressurser eller tjenester blir helt eller delvis utilgjengelige. Det finnes ulike varianter av tjenestenektangrep, Denial of Service. Fellesnevneren er at angrepet hindrer en person eller et system i å få tilgang til informasjon, ressurser eller tjenester.

Distribuert tjenestenektangrep

Distribuert tjenestenektangrep, eller Distributed Denial of Service, kan gjennomføres på ulike måter. Eksempler kan være å overbelaste en nettverksforbindelse, en ruter, en brannmur og/eller en server. Angrepet kan benytte seg av kompromitterte datamaskiner som er organisert i et nettverk. En datamaskin kan bli kompromittert ved at den blir infisert med skadevare. De kompromitterte datamaskinene vil, uten å vite det, sende så mye data til offeret at legitim trafikk ikke kommer igjennom.

Den senere tid har man også sett eksempler på utpressing i kombinasjon med distribuerte tjenestenektangrep, Ransom DDoS. Det trues som oftest med nye eller større tjenestenektangrep hvis en løsepengesum ikke betales.

Skadevare

Skadevare er en samlebetegnelse for en rekke type programmer og koder som brukes til kriminelle formål. Dette kan for eksempel være å stjele informasjon, gjøre skade på datasystemer eller tilrettelegge for løsepengevirus.

Det er en stadig utvikling innen ulike typer skadevare som kan misbrukes til kriminelle formål. Flere typer skadevare er kjent for politiet, men for å være oppdatert på hva som rammer den norske befolkningen er vi avhengig av å motta informasjon og tips. Skadevare kan for eksempel bli spredt gjennom ondsinnede filer i epost. Enkelte typer skadevare kommuniserer med kommando og kontrollinfrastruktur og benyttes til å spre annet ondsinnet innhold eller annen skadevare.

Bedrageri ved hjelp av data

Dette kan være svindel som CEO-bedrageri, fakturabedrageri og datingsvindel.

Kilde: Politiet