Da det ble oppdaget at noen hadde tatt seg inn i datasystemene ved Universitetet i Tromsø i desember 2020 gikk alarmen.
Universitetet karakteriserte hendelsen som «alvorlig og uavklart», og saken ble anmeldt til politiet.
Det som hittil ikke har vært kjent er at saken etter kort tid ble overført fra lokalt politi til PST.
Årsaken var at man mistenkte spionasje mot Norge.
Nå har PST avsluttet etterforskningen sin.
Påtaleansvarlig Per Niklas Hafsmoe i PST forteller at de så en avansert aktør i hvilke metoder og hvilke personer som var valgt ut som mål.
Foto: Hallgeir Aunan / NRK– Det ligger i PSTs mandat å undersøke om det kan ha vært spionasje mot Norge, sier påtaleansvarlig Per Niklas Hafsmoe i Politiets sikkerhetstjeneste (PST).
– Har det vært det?
– Ut fra de metoder og teknikker som vi har avdekket, og fra de personene som fikk e-postkontoene sine kompromittert har det vært et forsøk på det i det minste, svarer Hafsmoe i PST til NRK.
Digitale angrep fra Russland
Angrepet mot Universitetet i Tromsø var avansert.
De som tok seg inn i systemene kom på innsiden og beveget seg mellom ulike servere og løsninger som brukes av ansatte og forskere på universitetet.
Etter hvert tok de seg inn i e-postsystemet. Der rettet de seg mot ledelsen og en spesiell gruppe.
– Inne på e-postsystemet har de skaffe seg tilgang til en rekke brukerkontoer, men kun et fåtall av disse har de faktisk gått inn på. Det dreier seg om noen i toppledelsen, noen med utvidede rettigheter i systemet og en håndfull personer som er ansatte og forsker på blant annet nordområdene, sier den påtaleansvarlige i PST.
Basert på opplysninger erfarer NRK at Russland står bak datainnbruddet på UIT.
Russland har over lengre tid hatt fokus på forhold knyttet til nordområdene i sin etterretningsvirksomhet – og Norge har vært et mål for russisk hacking.
NRK har bedt om en kommentar fra Russlands ambassade i Norge, men ambassaden har ennå ikke svart på NRKs henvendelse.
Både PST, Etterretningstjenesten og Nasjonal sikkerhetsmyndighet har trukket fram Russland som en trusselaktør i sine siste trusselvurderinger.
Nasjonal sikkerhetsmyndighets eget digitale sikkerhetssenter overvåker situasjonen og de digitale truslene fortløpende.
I forbindelse med Russlands nye framferd i Ukraina og verden sendte de ut et varsel på torsdag 24. februar:
Utsatt for digitale trusler
Universitetet i Tromsø (UiT) kaller seg Norges arktiske universitet og har både en geografisk plassering og et fagmiljø som fokuserer på nordområdene.
Der ble det hektisk aktivitet da de via samarbeidspartnere i kunnskapssektoren og myndighetene fikk vite at de var utsatt for angrep.
– Det førte til veldig stor aktivitet. Vi måtte bruke mye ressurser på å få oversikt over situasjonen og sette inn mange sikkerhetstiltak, forteller universitetsdirektør Jørgen Fossland til NRK.
Universitetsdirektør Jørgen Fossland ved UiT er gjort kjent med resultatet fra PSTs etterforskning.
Foto: Pål Hansen / NRKHendelsen har påvirket alle ansatte og studenter ved universitetet fordi rutiner har måttet legges om. Blant annet har man strammet inn systemer og rutiner knyttet til pålogging.
Universitetsdirektøren forteller samtidig at angrepet ikke kom ut av det blå. Også på Universitetet i Tromsø hadde de fått med seg den økte trusselen for dataangrep.
– Det er ikke overraskende at vi blir utsatt for angrep. Hvis man ser på de årlige trusselvurderingene som PST kommer ut med er det der tydelig at det er en rekke aktører, både statlige aktører og kriminelle nettverk, som har som mål å ramme universiteter, sier Fossland.
– Hva tenker du om at de har rettet seg mot nordområde-forskning?
– De truslene som vi står overfor er til dels knyttet til at vi er et universitet på samme måte som andre universitet. Så er vi veldig oppmerksomme på at en av de tingene som spesielt kan være interessant er at vi selv ligger i nordområdene og at vi har forskningsmiljøer som jobber innen de feltene, svarer universitetsdirektøren.
Samtidig som det blir offentlig kjent at Universitetet i Tromsø skal ha blitt angrepet digitalt av Russland pågår det en debatt om en spesiell æresdoktortittel. Russlands utenriksminister Sergej Lavrov fikk tittelen æresdoktor i 2011 ved UiT sammen med Jonas Gahr Støre i forbindelse med delelinjeavtalen.
– Kunne angrepet vært avverget av UiT f.eks. med bedre datasikkerhet?
– Dette angrepet har vært knyttet til at sikkerheten på noen områder ikke har vært god nok. Så vi har måttet iverksette sikkerhetstiltak, og vi må jobbe videre med å bedre sikkerheten. Aktørene som truer oss utvikler stadig bedre metoder. Derfor må også vi ruste opp, innrømmer Fossland ved UiT.
Saken henlegges
Universitetsdirektøren vil ikke gå inn på detaljer om hva angriperne fikk med seg fra e-postsystemene eller andre systemer ved Universitetet i Tromsø.
PST opplyser at de ikke har etterforsket i detalj alle spor om innholdet som angriperne fikk fatt. For fokuset har vært å se på lovbrudd og om noen kunne straffes.
– For vår del i påtalemyndigheten holder det å se hvor de har vært i datasystemene, og hvem de har vært inne på, sier påtaleansvarlig Per Niklas Hafsmoe i PST.
– Hvorfor velger dere nå å henlegge saken?
– I etterforskningssporet finner vi ikke ut hvilke konkrete personer som står bak. Da stopper den påtalestyrte etterforskningen, og vi må derfor henlegge saken, sier Hafsmoe.
I Tromsø har de fått vite om henleggelsen.
Det kom ikke som noen overraskelse. Universitetet har hele tiden visst at slike avanserte angrep også er vanskelige å etterforske.
– Gitt hvilke aktører som har kapasitet til å gjennomføre et angrep som dette er det ikke overraskende at saken blir henlagt. Det forteller om både hvor krevende det er å beskytte seg, og hvor begrensede virkemidler man har for å få straffet noen for slikt, sier universitetsdirektør Fossland.
Utenriksdepartementet ønker ikke å kommentere NRKs opplysninger om Russland som aktør bak innbruddet.
Den russiske ambassaden har ennå ikke svart på NRKs henvendelse.
Universitetsdirektør Jørgen Fossland forventet egentlig henleggelse.
Foto: Torbjørn Krane / NRK
