Skoleoppgaver og undervisningsmateriell er flyttet til NUPI Skole

Hvor hender det?

NUPIs artikkelserie om internasjonal politikk
Tegning: politicalcartoons.com

Nye sikkerhetstrusler: cyberangrep

Publisert: 8. mai 2011

De siste to tiårene har vi sett en virtuell revolusjon – en voldsom økning i bruken av IKT-verktøy (IKT: informasjons- og kommunikasjonsteknologi). Fordelene ved bruk av denne teknologien er mange og åpenbare. Men den økte bruken av og avhengigheten av disse verktøyene innebærer også en økt sårbarhet for moderne samfunn. Nye utfordringer er skapt – ikke minst på sikkerhetssiden. I 2010 tok NATO faren for cyberangrep inn som en del av sin sikkerhetsstrategi. Samme år ble Irans atomprogram utsatt for et målrettet cyberangrep – høyst sannsynlig fra en stat.

Forfatter: hans Inge Langø, forsker ved NUPI

2: Hva er cyberspace?

Med framveksten av internett og mobiltelefoner har cyberspace blitt et allment kjent begrep. Vi vet ennå ikke fullt ut hva denne revolusjonen vil bety for samfunnet. Denne usikkerheten skyldes at vår forståelse av cyberspace er utilstrekkelig. For hva er egentlig cyberspace? Enkelte omtaler cyberspace som et «sted» – et domene – på lik linje med fysiske størrelser som sjø, luft, land og verdensrom. Så enkelt er det ikke. Det er både noe håndfast (for eksempel PC-en din og fiberlinjene som binder sammen nettverk) og noe abstrakt(ikke-fysisk, virtuell kommunikasjon og samhandling).

De fleste forbinder cyberspace med internett, men det er mye mer enn det. Det inkluderer også radiobølger, telenettet og andre typer datanettverk som behandler informasjon. Den kanskje viktigste egenskapen ved cyberspace er at det går på tvers av landegrenser og sømløst knytter sammen folk fra alle verdens kroker.

Opprørene i Midtøsten har illustrert noe av det positive potensialet ved cyberspace. Aktivister i Egypt organiserte store demonstrasjoner gjennom Facebook og fortalte hele verden om kampen for frihet og demokrati gjennom Twitter. Da myndighetene i Egypt skrudde av internettilgangen i landet, spredte aktivistene istedet budskapet sitt gjennom fasttelefonlinjer og fakser. Slik kunne hele verden følge med på demonstrasjonene ved Tahrir-plassen i Kairo minutt for minutt. Det påfølgende internasjonale presset hjalp demonstrantene til å velte president Hosni Mubarak.

Cyberspace og datanettverk har utvilsomt mange positive sider, men de siste årene har vi også sett at nye farer truer i dette nye domenet. Kriminelle har lenge brukt internett til å svindle til seg penger og sensitive opplysninger fra enkeltindivider og bedrifter. Denne virksomheten krever mye ressurser fra politiet og er  svært uheldig for de som blir rammet.

Disse «enkle» formene for nettkriminalitet er likevel en trussel av begrenset art. . Det rammer som oftest bare få personer og har ikke som mål å skape store samfunnsmessige problemer. Penger er oftest motivet – ikke ødeleggelse og konflikt. De siste årene har vi imidlertid sett konturene av nye trusler som kan ramme samfunnet i mye større grad.

Internett og opprørere i Midtøsten.

3: Metoder og aktører

Etter hvert som vi har blitt mer avhengig av IKT og cyberspace, har vi blitt mer sårbare for angrep på datanettverk. Oslo Børs er i dag fullstendig nettbasert. Viktig infrastruktur som strømnettet er styrt av datanettverk, og Forsvaret baserer seg mer og mer på såkalt nettverksbasert forsvar. Sentrale samfunnsinstitusjoner er med andre ord i de siste årene blitt atskillig mer sårbare for inntrengere som ikke vil dem vel. Frykten er at fiendtlige aktører skal utnytte denne sårbarheten for å skade samfunnet. Dette kan gjøres på forskjellige måter, og de vanligste formene for cyberangrep og -innbrudd er:

  • Denial of Service (DoS): Angriperen sender et stort antall forespørsler eller utnytter svakhetene til et nettverk ved å overvelde nettverkets kapasitet og dermed forhindre at andre får tilgang til nettverket.
  • Distributed Denial of Service (DDoS): En variant av DoS-angrep hvor angriperen bruker et stort antall slavedatamaskiner (som angriperen har tatt virtuell kontroll over) for å sende et samordnet angrep mot et nettverk.
  • Skadevare: Samlebetegnelse for ormer, virus, trojanske hester og lignende som inneholder skadelig kode. Skadevaren kan bli injisert i et nettverk gjennom epostvedlegg, USB-minnepinner eller hacking. Deretter kan skadevaren samle inn sensitiv informasjon, sette nettverk ut av drift, eller få et datasystem til å utføre destruktive handlinger (logiske bomber).

Kanskje like viktig som hvordan disse handlingene utføres, er hvem som utfører dem. Det finnes en rekke aktører i cyberspace som bruker disse metodene for å nå sine økonomiske, politiske eller militære mål. De kan grovt sett deles inn slik:

  • Kriminelle: Bruker fisking (også kalt phishing) og andre metoder for å lure informasjon fra enkeltindivider og bedrifter for å svindle til seg penger
  • Hacker-aktivister: Hacker og vandaliserer nettsider for å skape politisk oppmerksomhet rundt en sak, eller for «gøy»
  • Terrorister: Ønsker å lamme viktige deler av cyberspace for å skape frykt og panikk i befolkningen og tvinge gjennom politisk forandring
  • Stater: Bruker cyberspace hovedsakelig til spionasje og for å finne mulige svakheter i datanettverk hvis en større konflikt skulle blusse opp. Disse svakhetene kan da utnyttes gjennom cyberangrep for å skaffe en stat en fordel på slagmarken.

4: Motiver

Trusselbildet i cyberspace er komplekst.  Det er derfor ikke alltid like lett å skille mellom forskjellige aktører. I cyberspace er det lett å skjule sine spor, og derfor er det vanskelig å vite hvem som utfører angrep eller bryter seg inn i datasystemer.

 Et godt eksempel på det er cyberhendelsen som rammet Google i januar 2010. Kinesiske hackere brøt seg inn i datasystemene til søkegiganten og en rekke andre internasjonale selskaper. Der stjal de sensitiv informasjon, inkludert opplysninger om kinesiske dissidenter som brukte Google Mail. Det er fremdeles uklart nøyaktig hvem som brøt seg inn i systemene, men ifølge en amerikansk rapport var det en gruppe bestående av privatpersoner og offentlige ansatte i Kina som samarbeidet for å få tak i viktige opplysninger.

For å forstå truslene i cyberspace må vi kjenne til motivene de ulike aktørene har for å drive med inntrenging. Mange omtaler alle typer uønskete hendelser i cyberspace som «angrep». Dette er upresist og i mange tilfeller galt. Det som skjedde med Google, var heller en form for industriell spionasje. Hackerne ønsket ikke å ødelegge Googles datasystemer. De var ute etter informasjon som de  kunne dra nytte av senere.

Slik informasjonsinnhenting er typisk for de fleste cyberhendelser. En fremmed stat eller gruppe bruker skadevare for å skape hull i et nettverks sikkerhetssystemer og slik få adgang til sensitiv informasjon. Forvekslingen med regelrette angrep oppstår når inntrengingen blir oppdaget. De sikkerhetsansvarlige må da tette igjen sikkerhetshullene, og ofte betyr det at datanettverket må skrus av og at man må foreta dyre oppgraderinger. Dermed oppstår en reell kostnad ved inntrengingen, selv om inntrengeren «bare» var ute etter å stjele informasjon.

I 2008 ble den amerikanske militære sentralkommandoen (Centcom) utsatt for en avansert PC-orm. 14 måneder tok det å kvitte seg med denne, som etter mye å dømme var satt ut av en stat. Det har selvsagt kostet en hel del.

Estland - Russland i klickskrieg

5: Angrep i cyberspace

Det finnes få eksempler på cyberangrep mot stater. Datanettverk tilknyttet myndighetene i Estland ble utsatt for DDoS-angrep i 2007, og det samme skjedde i Georgia i 2008 under krigen mellom Russland og Georgia. Dette var begrensete angrep som overveldet datanettverkene. Hensikten var likevel ikke  å skade infrastrukturen i landene permanent. Disse hendelsene viser også at angrep i cyberspace ikke nødvendigvis er tegn på konflikter i seg selv. De er gjerne en liten del av en større konflikt.

 Angrepet på Estland kom trolig som et resultat av at landet kranglet med Russland om rivingen av et russisk krigsminnesmerke i hovedstaden Tallinn (Estland har en stor russisk minoritet). Angrepet på Georgia kom samtidig med konvensjonell krigføring. I så måte er cyberangrep bare ett verktøy av mange for å få overtaket i en politisk eller militær konflikt.

Cyberspace kan brukes mer direkte i krigføring, men foreløpig er denne delen av cybersikkerhet mest på planleggingsstadiet. Det første offentlig kjente eksempelet på et såkalt destruktivt angrep, hvor noen forsøker å ødelegge noeved bruk av et cyberverktøy, var Stuxnet-ormen. Den ble oppdaget sommeren 2010 på en rekke datasystemer rundt om i verden. Ormen var mer sofistikert – og derfor vanskeligere å oppdage – enn noen annen orm dataeksperter hadde sett før. Den var også litt av et mysterium. Ingen kunne med sikkerhet si hvem som hadde laget den. Men den var altfor avansert til å ha blitt laget av kriminelle, eller  av ungdommer på gutterommet.

Flere eksperter i Europa, Russland og USA studerte ormen nøye i flere måneder, og i september kom gjennombruddet. En datasikkerhetsekspert i Hamburg fant spor i ormen som tydet på at den var designet for å ødelegge sentrifuger som blir brukt i Irans atomprogram. Dette var helt nytt innen cybersikkerhet. I motsetning til mange tidligere ormer, var  Stuxnet ikke sendt ut i verden for å vandalisere nettverk eller stjele sensitiv informasjon. Den var programmert til å ødelegge et helt bestemt mål og en helt spesifikk type teknologi.

Selv om vi ikke vet alt om Stuxnet ennå, er det åpenbart at den representerer en betydelig utvikling innen cybersikkerhet. Så langt har cybertrusler hovedsakelig vært begrenset til spionasje og forstyrrende angrep (for eksempel, DDoS-angrep). Fiender har enten forsøkt å stjele informasjon uten å bli oppdaget, eller så har de lammet motstanderes nettverk i en kort periode for å skape forvirring. Stuxnet viser at man kan bruke ormer til å ta over datasystemer og lure dem til å gjøre handlinger som ødelegger dem selv.

Cyberhendelsene de siste årene har vakt stor bekymring hos myndighetene i mange land, inkludert Norge. Truslene som allerede finnes, er alvorlige. Det som vekker størst bekymring, er likevel det som ennå ikke har skjedd. Fordi cyberspace – tross rivende utvikling – er et relativt nytt fenomen, kjenner vi ikke godt nok til mulige trusler og sårbarheter i dette domenet. Derfor er oppdagelsen av Stuxnet viktig; den kan bidra til å gjøre det enklere å forutsi hva slags farer som kan dukke opp.

Stuxnet - en riktig framstilling?

6: Hvordan forsvarer vi oss?

En stor utfordring med å bygge et solid cyberforsvar er at truslene går på tvers av tradisjonelle skillelinjer mellom det sivile og det militære og mellom det offentlige og det private. Fiendtlige aktører kan ramme private bedrifter, sivile myndigheter og militæret. Og et angrep på en av dem kan ha konsekvenser også for de andre. En fiende kan angripe Telenors datasystemer  for å ramme offentlige myndigheters datanettverk.

Videre kan et angrep på infrastruktur (som telenett eller strømnett) eid av private selskaper ramme Forsvarets evne til å beskytte landet. Avhengig av alvorlighetsgraden og hvem som utfører angrepet, kan slike anslag anses som krigshandlinger. Per i dag finnes det likevel ikke etablert normer for hva man anser som krigshandlinger i cyberspace.

På grunn av disse koblingene mellom det private og det offentlige og det sivile og det militære, er det avgjørende at de forskjellige samfunnsaktørene samarbeider. I Norge er man derfor i ferd med å utarbeide en nasjonal cyberstrategi. Det er  Nasjonal sikkerhetsmyndighet (NSM) som har det overordnete ansvaret for samordning og forebyggende arbeid innen cybersikkerhet. Dette skjer i samarbeid med private aktører og Forsvaret. Utkastet til en nasjonal cyberstrategi er fremdeles på høring, og et av forslagene er å etablere et nasjonalt cybersenter som koordinerer arbeidet med å sikre Norge i cyberspace. Rent konkret består et cyberforsvar av flere komponenter:

  • Oppdatering og sikring av nettverk: Jevnlig oppdatering av programvare (software) gjør det vanskeligere for fiendtlige aktører å utnytte sikkerhetshull. I tillegg er det viktig å innføre gode sikkerhetsrutiner som hindrer ansatte i å spre skadevare ved uvøren bruk av epost, nettsurfing og minnepinner.
  • Koordinering og overvåking: God oversikt over cyberspace gjør det mulig å oppdage angrep og inntrenginger tidlig og dermed lettere å handle raskt.
  • Etterretning: Innsamling av informasjon om mulige trusler gjør det lettere for myndighetene å forutse og treffe tiltak mot mulige trusler.
  • Angrepsevne: Ved alvorlige angrep må myndighetene ha evnen til å gå til motangrep og sette motstanderens nettverk ute av spill.

Utviklingen av et cyberforsvar, i Norge og ellers i verden, er en krevende oppgave. Domenet er fremdeles veldig nytt, og det er vanskelig å vite hva slags trusler som lurer der. Til sjøs og i lufta vet vi relativt godt hvilke fiender vi står overfor. Forståelsen er ikke god nok når det gjelder cyberspace. Det er vanskelig å spore opp hvem som utfører angrep og inntrenginger, og teknologien utvikler seg så raskt at dagens forsvar ikke nødvendigvis er godt nok til å stoppe morgendagens trusler.

På tross av disse utfordringene er det høyst nødvendig å bygge opp en forsvarsstruktur, fordi cyberspace har blitt en sentral del av samfunnet. Vi kan vanskelig tenke oss et moderne Norge hvor all post kommer i postkassa, forsvarsledelsen må sende ordrer med bud og all handel skjer i butikker. Utfordringen framover er å bedre forståelsen av cyberspace, sårbarhet der og hvem som kan bruke det for å ramme Norge.

Deretter må vi også finne ut av hvem som skal være ansvarlig for hva i cyberspace. Rollefordelingen mellom det offentlige og det private og det sivile og det militære er viktig for å kunne bygge et effektivt og passende forsvar mot de trusler vi står overfor i et domene som går på tvers av alle disse skillelinjene.