.

Dybde

Umulig å sikre oss hundre prosent

Teknologi utvikler seg og sprer seg på tvers av landegrenser. Det samme gjør hackerne. Vi spør: Hvor farlig er egentlig den internasjonale hackingen?
  • Gunn Kvalsvik
  • Markus Spiske/Matthew Henry/NSM

For å få svar på dette har Samfunnsviteren tatt kontakt med fagdirektør i Nasjonal sikkerhetsmyndighet (NSM), Roar Thon. NSM er Norges ekspertorgan for informasjons- og objektsikkerhet, samtidig som de er det nasjonale fagmiljøet for IKT-sikkerhet.

 

Thon, som har erfaring fra både Politiet og Forsvaret, forteller at direktoratet ble etablert i 2003 og har forvaltningsoppdraget som nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre sikkerhetshendelser innenfor IKT.

 

– NSM er et tverrsektorielt direktorat som rapporterer både til Justis- og forsvarsdepartementet, forteller Thon.

 

Høy prioritet og stadig flere saker

I flere år på rad har faren for datainngrep stått høyt oppe på Politiets sikkerhetstjenestes (PST) liste over trusler landet vårt må vokte seg for. I Trusselvurderingen for 2017 presiserer PST følgende: ”Fremmede tjenester bruker både avanserte datanettverksoperasjoner og tradisjonelle metoder mot norske mål.” Thon, som har en tett timeplan og som samme dag som vi intervjuer ham, har vært på TV for å snakke om hacking i forbindelse med årets Stortingsvalg, forklarer at det er en økende interesse for datasikkerhet.

 

– Behovet for datasikkerhet er et resultat av at vi stadig tar i bruk ny teknologi. Altså jo mer teknologi, jo mer behov har vi for datasikkerhet, presiserer han. Han legger til at bare en svært liten del av cybersikkerheten handler om terrorisme og at dårlig sikring fører til fare både for nasjoner, bedrifter og enkeltpersoner.

 

– Datasikkerhet og hacking handler om at all teknologi i prinsippet er mulig å trenge inn i. Alt fra enkeltpersoners pacemakere til lands militære dokumenter kan «åpnes». Dette er teknologiens bakside, eller skyggeside om du vil, sier Thon.

 

– Hva er motivasjonen eller drivkreftene bak?

– Motivasjonen bak varierer og kan være styrt av mange faktorer. Viktige grunner kan være ønske om personlig økonomisk vinning, bedrifter som trenger informasjon om konkurrenter, spionasje mot nasjonale interesser eller sabotasje for å få frem et politisk budskap. Dette siste omtales som «hactivisme», sier han.

 

Roar Thon er enig i PSTs vurdering av at hacking og dataspionasje utgjør en sentral del av trusselbildet landet vårt må forholde seg til.

 

– Hacking gir utfordringer som skiller seg fra andre typer trusler fordi man ikke trenger fysisk tilstedeværelse. Handlingen kan komme fra en kontorpult i Sør-Afrika, fra maktfolk i Nord-Korea eller fra næringslivsfolk i Russland, sier han.

 

Lekkasjer og manglende kompetanse  

I sommer har Sverige fått erfare hvor viktig det er med god datasikring. Saken skriver seg tilbake til 2015 da Transportstyrelsen, som har ansvar for vei, luftfart, jernbane og sjøfart, inngikk en avtale med IBM om drift av IT-systemer. To år senere viser det seg at sentral informasjon har lekket ut, og to ministre måtte gå som følge av skandalen.

 

– Dette har lite å gjøre med dårlige IT-systemer. Det handler om dårlig ledelse og er et resultat av svært dårlige beslutninger. I prosessen besluttet nemlig Transportstyrelsen å dispensere fra kravene i lovene om sikkerhet, personopplysninger og offentlighet. Resultatet er at utenlandske medarbeidere uten sikkerhetsklarering har hatt tilgang til graderte og beskyttede personopplysninger.

 

– Hvorfor tar offentlig ansatte slike sjanser, og hvordan kan vi unngå at slikt skjer også her til lands?

– Både politikere og offentlige instanser har en sterk iver etter å digitalisere. Noen ganger går det kanskje for raskt. Operasjonene koster penger, og det å «flagge» tjenestene ut eller å gå for den som gir best anbud, er fristende. Vi snakker ofte om store innsparingspotensialer. Jeg tror, uten at jeg vet det, at Transportstyrelsen ble blendet av økonomi og gamblet dermed på at det ville gå greit, sier han.

 

– Kunne det samme skjedd i Norge?

– Ja, det kunne det. Men når det er sagt, så har vi et litt annerledes lovverk og annerledes kontrollmekanismer. Så i praksis tror jeg at slike avtaler, som i tillegg går på tvers av lovverk, vanskelig ville gå igjennom. Lærdommen av Sverige er at vi må arbeide enda hardere for å skape oss gode rutiner når vi skal vurdere type informasjon og plassering av denne, forklarer fagdirektøren. Han presiserer at NSM ikke er motstander av outsourcing av tjenester, men de er opptatt av hvordan dette kan gjøres så sikkert som mulig.

 

Kappløp med hackerne

På NSMs nettsider står det at direktoratets oppgave er å overvåke kryptering av informasjon som skal deles. Spørsmålet er om de klarer å holde tritt med hackere, dårlige vurderinger fra offentlige kontorer med stramme budsjett og store digitaliseringskrav eller andre sikkerhetsutfordringer.

 

– NSM tar oppgaven på alvor og er en fagtung enhet med høy kompetanse i et nasjonalt og internasjonalt perspektiv. Vi utarbeider tiltak som noen ganger skal være av en slik art at de skal fungere i et 30-års perspektiv. Trender og tendenser følges tett, og vi føler vi aspirerer mot å holde oss oppdatert, sier Roar Thon.

Fagdirektør i Nasjonal sikkerhetsmyndighet, Roar Thon.

– Jeg tror at vi ennå ikke har sett nasjonalstaters fulle og hele kapasitet til å ødelegge og forstyrre rent digitalt. Dessverre.

Roar Thon, fagdirektør i Nasjonal sikkerhetsmyndighet (NSM).
Behovet for datasikkerhet er et resultat av at vi stadig tar i bruk ny teknologi. Altså jo mer teknologi, jo mer behov har vi for datasikkerhet, sier fagdirektør i NSM.

 

– Hvem er direktoratets viktigste partner internasjonalt?

– Internasjonalt jobber vi tett med NATO, andre lands myndigheter, men også en rekke forskningsmiljøer. Felles er at vi deler informasjon og kunnskap. Det gjør at vi holder hverandre oppdatert på miljøer og metoder.

 

– Du sier 30 år frem i tid. Er det virkelig mulig å si noe om hvordan verden ser ut med dagens teknologiske utviklingstakt?

– Vi prøver, og vi opplever nok at vi deltar i et digitalt kappløp. Våre motstandere er sterke krefter som prøver å trenge seg igjennom. Jeg misliker alle som markedsfører et digitalt produkt som 100 prosent sikkert. Sånne finnes ikke. Alt kan hackes. Folk flest er dessverre utrolig naive. Faktum er at ingenting er sikkert, forklarer Thon.

 

Samarbeid og risiko

Den operative delen av NSM skjer blant annet gjennom det som heter Norges nasjonale cybersenter, eller NorCERT. «CERT» er internasjonalt begrep som står for «Computer Emergency Response Team» og er Norges koordinerende enhet for informasjonssikkerhet, forklarer Thon. Det eksisterer også flere sektor CERT-er i Norge; FinansCERT og HelseCERT er noen eksempler.

 

– NorCERT håndterer alvorlige dataangrep mot samfunnsviktige virksomheter og informasjon. Operasjonssenteret i NSM håndterer flere tusen saker i løpet av et år, sier han.

 

Det faktum at digitale trusler ikke stopper ved landegrenser, betyr at gjensidig samarbeid mellom CERT-er er ekstremt viktig. Rent praktisk skjer samarbeidene på ulike nivå.

 

– De fleste land har en nasjonal CERT. Poenget er at CERT-ene rapporterer og holder hverandre oppdatert. For å eksemplifisere; dersom et land eller en region opplever at helsesektoren utsettes for inngrep, spres dette videre gjennom nettverket. Slike samarbeid er svært viktige både real- og sikkerhetspolitisk, forklarer Thon.

NSM

Nasjonal sikkerhetsmyndighet (NSM) er Norges ekspertorgan for informasjons- og objektsikkerhet, og det nasjonale fagmiljøet for IKT-sikkerhet. Direktoratet er nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser.

 

– Russland og Kina blir pekt ut som cyberspioner. Hvorfor akkurat disse? Hvor er de andre aktørene?

– I NSM er vi nok mer opptatt av å gjøre det vanskelig for alle som forsøker seg mot norske interesser, uavhengig av hvem de er. Men når det er sagt, observerer vi at både Russland og Kina har en sterk digital tilstedeværelse.

 

– En venn snakket om shipping og hvor sårbart det er dersom et skip med farlig avfallsstoff blir angrepet av droner. Er det bare et tidsspørsmål før verden vil oppleve et større angrep?

– Jeg tror at vi ennå ikke har sett nasjonalstaters fulle og hele kapasitet til å ødelegge og forstyrre rent digitalt. Dessverre. Vi vet at både Russland og Kina, men også andre nasjoner og grupper, er aktive. Innenfor shipping er det lett å tenke at autonome båter når de virkelig blir en realitet, altså de som er uten mannskap, kan være utsatt, sier Thon.

 

Han tenker seg litt om og utdyper:

– Poenget mitt er at jo mer avhengige vi blir av teknologi, jo mer sårbare blir vi. Vi må altså være forberedt, og derfor er kompetansemiljø og samarbeid så viktig.

 

– I Ukraina forsvant strømmen på grunn av hacking, og i Storbritannia ble deler av landets helsesystem ut av spill. Hvordan kan slikt skje?

– Det vil alltid eksistere sårbarheter, og sårbarheter vil kunne utnyttes av de som har vilje og kompetanse til å gjøre det. Dette kunne også skjedd her til lands. Hvorvidt man vil lykkes med så store angrep, er et annet spørsmål. Det vil alltid være utfordrende å forstå hva som er motivasjonen bak slike hendelser. Ofte handler det om å tjene penger, andre ganger om å hente inn informasjon, andre ganger om politiske motiver. Noen ganger er det også så enkelt at det rett og slett var mulig å gjøre det, og derfor gjorde de det.

 

Norge er nesten best på datasikkerhet

For noen måneder siden fikk Norge bronseplass i Europa i en FN-rangering om datasikkerhet. Kriteriene var blant annet lovverk, tekniske forhold, organisering, kapasitet til å håndtere trusler og samarbeid. Det står altså ikke så aller verst til.

 

– Den viktigste årsaken til at vi skårer høyt på rankingen er at vi er et rikt land. Både organisasjoner og enkeltpersoner bytter ut datamaskiner og andre tekniske produkter ofte. Det betyr også at vi stort sett har nyere programvarer med oppdaterte sperringer og brannmurer. Et annet fortrinn er at vi har svært få piratkopier. Nordmenns kompetanse når det gjelder teknologi skal heller ikke undervurderes. I tillegg tar norske myndigheter datasikkerhet på alvor, noe som fører til at feltet både får ressurser og oppmerksomhet, forklare Thon.

 

Vi er på begynnelsen av en teknologisk revolusjon. Tror du vi vil le av hvor uvitende vi var i 2017, når vi skriver 2047?

– Ja, det tror jeg. Det vi vet, er at utfordringene i 2047 helt sikkert vil være nye. Det kan også være at vi tenker mer på konsekvenser for oss som mennesker og samfunn og har endret adferd. At vi rett og slett har lært hvor eksponerte og transparente vi faktisk er, og dermed er mer forsiktige. Det er også mulig at vi opplever en motreaksjon mot digitale løsninger som ikke leveres med god nok sikring. Forbrukerne har foreløpig stor makt, avslutter fagdirektør Roar Thon.