Cyberangrep – hvem har ansvaret?

Datasikkerhet er en viktig oppgave for statlige myndigheter. Det betyr ikke at bedrifter og organisasjoner kan skyve fra seg ansvaret for sin egen sikkerhet.

Russia Putin Vladimir Putin

Russland og Kina trekkes fram av både PST og E-tjenesten som de mest aktive etterretningsaktørene i Norge, men cyberangrep kommer i mange utgaver. Alle har et ansvar for sin egen datasikkerhet, skriver kronikkforfatterne. Her er president Vladimir Putin gjest i et russisk TV-show.

Foto: Mikhail Klimentyev / Ap
Lilly Muller. Norsk Utenrikspolitisk Institutt.
Forsker, Norsk Utenrikspolitisk Institutt (NUPI)
Karsten Friis byline
Gruppeleder, NUPI
Forskningsassistent, NUPI
Kronikkvignett Ytring

Digitale angrep er den mest sannsynlige trusselen mot Norge. Det var konklusjonen fra både Etterretningstjenesten og PST da de med kort tids mellomrom nylig offentliggjorde sine trusselvurderinger. Kort tid etter avslørte PST at hackere, høyst sannsynlig med russisk tilknytning, har angrepet Forsvaret, Utenriksdepartementet og Arbeiderpartiet.

Angrepene ligner veldig på angrepet mot demokratenes e-postserver i USA i høst, både i måten de ble utført på og hvem som er mistenkt for å stå bak. Frykten for russisk innblanding risikerer nå å skygge over den ubehagelige sannheten, nemlig at cybersikkerhet i altfor liten grad blir tatt på alvor og forstått.

Et stort våpenarsenal

Å snakke om digitale våpen som en enhetlig trussel er en grov forenkling. Digitale våpen er svært forskjellige, både med tanke på hvordan de er laget og hva de kan brukes til. Når man snakker om cybersikkerhet er det viktig å ha dette klart for seg. Med så mange ulike trusler, finnes det heller ikke én enkel løsning.

De mest kompliserte digitale angrepene involverer noen av de mest innviklede og sofistikerte våpnene vi har. Det klareste eksempelet på et slikt angrep er fortsatt Stuxnet-angrepet på en av Irans kjernefysiske installasjoner, som ble kjent i 2010. Skadevaren som ble utviklet var 20 ganger større og mer komplisert enn noen tidligere kjent skadevare. Den var i stand til å operere selvstendig og finne fram til en helt spesifikk del av anlegget, iverksette skjulte angrep som saboterte anrikningsprosessen av uran, i tillegg til å dekke over sporene sine underveis.

Med så mange ulike trusler, finnes det heller ikke én enkel løsning.

Dette er angrep som krever lang tids forberedelse, er svært kostbare, og det er bare en håndfull stater i verden som er i stand til å gjennomføre dem.

På motsatt side av skalaen finner vi angrep av den typen som rammet Arbeiderpartiet og demokratene i USA: utsending av e-poster med skadelige vedlegg utformet på en måte så de skal virke troverdige. Slike angrep er enkle, billige og krever få ressurser å utvikle, og de som står bak kan angripe mange mål og stjele mye informasjon.

Slike digitale angrep kan brukes til spionasje, utpressing og til å legge inn skadevare som kan ødelegge programvare og installasjoner. Å forsvare seg mot så ulike trusler krever ulike virkemidler og ulik tilnærming.

Hvem eller hva utgjør trusselen?

Både Etterretningstjenesten og PST trekker frem Russland og Kina som de mest aktive digitale etterretningsaktørene i Norge, og det er dette som stjeler overskriftene. Faren er likevel at vi ser oss blinde på hvem som står bak angrepene, og ser for lite på hvordan angrepene utføres.

Norge er sårbar for digitale angrep.

Det er langt flere stater enn disse som gjør internett utrygt, og det er ikke minst en rekke kriminelle og kommersielle aktører som i stadig økende grad (mis)bruker nettet til egne formål. Å bare peke finger dekker over et mer grunnleggende problem: Norge er sårbar for digitale angrep. Så lenge denne svakheten finnes kan vi anta at noen vil forsøke å utnytte den.

Et digitalt grenseforsvar?

Lysne II-utvalgets evaluering av hvorvidt E-tjenesten bør få tilgang til de digitale kablene som krysser Norges grenser (såkalt digitalt grenseforsvar), konkluderte positivt. Det kan være mange gode argumenter for en slik tilgang. Imidlertid synes e-sjef Lunde å hevde overfor NRK nylig at et digitalt grenseforsvar også vil kunne stanse målrettede angrep som phishing via e-post. Det er det liten grunn for å tro. I det hele tatt er ideen om et «grenseforsvar» misvisende, da det ikke er snakk om å stoppe digitale trusler ved grensen.

Et digitalt grenseforsvar vil gi Etterretningstjenesten (etter å ha fått tillatelse fra en domstol) nye muligheter til å slå fast hvem som blir angrepet og hvor angrepene kommer fra, men å faktisk forhindre infiltrering av nettverk vil i like stor grad som i dag være opp til oss.

Brorparten av alle digitale angrep faller uansett utenfor det offentliges ansvarsområde. Noen tall fra det norske cybersikkerhetsselskapet Mnemonic kan illustrere dette: I 2014 opplevde selskapet en trillion hendelser. 14300 av disse var regnet som angrep, 150 av disse som kritiske. Det er kun en liten brøkdel av de 150 som utgjør en trussel på et nivå man realistisk kan tenke seg at skal være statens ansvar.

Cybersikkerhet blir i altfor liten grad tatt på alvor og forstått.

Ansvaret alle har

Når man skal skissere måter å forsvare seg mot digitale angrep på, er det viktig å huske hvor ulike angrepene kan være. Cybersikkerhet innebærer alt fra enkeltpersoners ansvar for å ikke laste ned skadelig programvare til beskyttelse av nasjonal sikkerhet og kritisk infrastruktur. Dette er et massivt problemområde.

Etterretningstjenester og digitalt grenseforsvar alene kan ikke beskytte oss mot dette. Angrepene på norske interesser, som e-posten til Arbeiderpartiet, er angrep man ikke kan forvente at etterretning skal ha ansvar for. Norske bedrifter og organisasjoner må derfor ta et hovedansvar for sin egen cybersikkerhet.

Det er en lang rekke enkle tiltak og forholdsregler man kan innføre som avverger brorparten av alle angrep, slik som oppdatert programvare, antivirus systemer, bedre passord, mer bruk av tofaktorautentisering (slik som nettbanken), og generell forsiktighet.

Norske bedrifter og organisasjoner må ta et hovedansvar for sin egen cybersikkerhet.

Dette er selvfølgelig ikke nok til å stoppe de største og mest kompliserte angrepene. Her må staten ta et hovedansvar for å oppdage, beskytte og respondere på angrep. Dette gjelder ikke minst digital kritisk infrastruktur, for eksempel i telekommunikasjon og energisektoren, der samarbeid med de store operatørene i privat sektor vil være avgjørende.

Debatten om cybersikkerhet må klare å følge to spor samtidig: Staten må ta ansvar for å oppdage, forsvare og respondere på de store angrepene hvis de kommer, mens bedrifter, organisasjoner og individer må ha et hverdagsfokus på sikkerhet som forhindrer majoriteten av angrep.

Cybersikkerhet er en massiv politisk utfordring. Da er utydelighet om hva vi står overfor er en unødvendig ekstra bør å bære.

Følg debatten: @NRKYtring på Twitter og NRK Debatt på Facebook