Å ikke oppgradere er som å åpne døren for datainnbrudd. I august var redningen tidlig varsling. Les om hvorfor og hvordan bedrifter og privatpersoner bør beskytte seg mot hacking i denne artikkelen jeg skrev for Sikkerhet nr 4, 2014.
Den siste uken i august ropte Nasjonal sikkerhetsmyndighet (NSM) varsko: Olje- og energinæringen var under angrep. Totalt 550 virksomheter ble varslet, minst 50 av disse var bekreftet angrepet av hackere.
Oppgrader
– Virksomhetene får konkret informasjon der vi ber dem se etter spesifikke ting i egne logger. Dette er den største varslingen vi har gjennomført, sa Hans Christian Pretorius, direktør for operativ avdeling i NSM, til Dagens Næringsliv.
Overfor Sikkerhet understreker han hvor viktig det er å oppgradere.
– Det er veldig sjelden disse hackerne bruker sårbarheter som er ukjente. Oppgradering ville stoppet 90 prosent av angrepene.
Hackerne utnytter feil og hull i programvare og operativsystem som er velkjente og som leverandørene har lansert oppgraderinger for å fikse. Derfor er det å oppgradere første punkt på NSMs gode-råd-liste.
– Rådene vi gir koster ikke penger å følge og de er effektive, likevel er det mange som ikke prioriterer sikkerhet. Dessverre er nok en del bedrifter mer opptatt av nye løsninger, kontra å sørge for trygg drift, sier Pretorius.
Han ber folk være forberedt på nye bølger. Alle maskiner som er tilkoblet nett blir stadig forsøkt angrepet, men målrettede angrep som dette har vært sjeldne – til nå.
– Angrepet i august var ikke enestående. Vi forventer en ny stor runde med målrettede eposter mot samme bransje.
Statnett rammet
NSM samarbeider tett med andre myndigheter i slike saker.
– Et dataangrep rettet mot kraftbransjen kan få alvorlige konsekvenser, uttalte Arthur Gjengstø, leder for beredskapsseksjonen i Norges vassdrags- og energidirektorat (NVE) til NRK.
Hensikten med slike angrep kan være å stjele informasjon, drive spionasje eller sabotasje.
– I dette angrepet var hensikten å spionere og kartlegge, ikke sabotere. Hackere har tidligere klarte å hente ut store mengder informasjon fra norske bedrifter, men vi har ingen bekreftede kompromiteringer denne gangen, sier Pretorius.
Han forteller at det likevel kan ha skjedd.
– Mange bedrifter evner ikke å se etter det vi ber om, de har ikke skrudd på logging eller mangler kompetansen.
Angrepsprogrammet som ble benyttet er identifisert som «Crouching Yeti» og kan brukes til å sabotere industrielle systemer. Til Dagens Næringsliv uttalte Gjengstø:
– Vi sitter ikke med noen informasjon om at kraftforsyningen på noen tidspunkt har vært truet, men det er viktig at man er våken. Verre angrep kan komme senere.
En årvåken ansatt gjorde at Statnett oppdaget angrepet selv.
– En av våre medarbeidere fikk en epost. Vedkommende syntes innholdet og avsender var mistenkelig, og videresendte den til sikkerhetsfolkene våre som fikk avverget trusselen, fortalte konserndirektør Peer Olav Østli til NRK Dagsnytt.
Nøkkelpersoner
Tidligere har høyteknologibedrifter som Telenor vært hackernes mål, denne gang var det energibransjen. Felles for angrepene er at hackerne prøver å komme inn via nøkkelpersoner.
– De har gjort undersøkelser i forkant og gått etter nøkkelfunksjoner i de forskjellige bedriftene, sa Pretorius i NSM til Dagens Næringsliv.
Personen får en epost med et vedlegg, som begge deler virker legitimt. Åpnes vedlegget vil skadeprogrammet sjekke mottagerens system for en rekke kjente sikkerhetshull.
– Målsetningen er å få på plass en trojaner eller et virus på maskinen. Den første skadevaren oppretter bare kontakt ut – så kan angriper sitte på utsiden og laste inn skadelig kode, fortalte Pretorius.
Internasjonale angrep
I fjor håndterte NSM 51 svært alvorlige hendelser og forsøk på å infiltrere norske datanettverk, og så langt i år er antallet doblet. Angrepene er internasjonale og bølgen som traff Norge i august har truffet andre europeiske land tidligere i år.
Gruppen bak «Crouching Yeti» går under en rekke forskjellige navn, som «Energetic Bear», «Havex» og «Dragonfly», og har tidligere angrepet energisektoren i en rekke land.
– Etterretningstjenesten har sett økt aktivitet fra Russland og Kina, men for oss i NSM er det underordnet hvem hackerne er. Det er tydelig at de har store ressurser, men vi spekulerer ikke i hvem de er eller hvor de er fra. For oss er det å hindre dem viktigst, sier Pretorius til Sikkerhet.