Samtidig som de fleste i Norge nøt rolige og avslappende dager midt i fellesferien, jobbet it-teknikere og sikkerhetsanalytikere fra departementenes sikkerhets og servicesenter (DSS), det norske sikkerhetsselskapet Mnemonic, Nasjonal sikkerhetsmyndighet (NSM), med flere, på spreng for å håndtere det som i ettertid er kjent som dataangrepet mot departementene.
12 av 15 departementer benyttet it-plattformen. Utenriksdepartementet, Justis- og beredskapsdepartementet og Forsvarsdepartementet, var ikke blant de berørte.
På pressekonferansen 24. juli, samtidig som regjeringen offentliggjorde at dataangrepet hadde funnet sted, uttalte kommunal- og distriktsminister Sigbjørn Gjelsvik at hendelsen var å anse som alvorlig. Ifølge Gjelsvik ble den berørte plattformen benyttet av departementene til saksbehandling.
At det befinner seg informasjon her som kan være interessant for en fremmed stat å få tilgang til, bør man kunne anta. NSM har allerede påpekt at det er profesjonelle aktører som står bak.
Det er grunn til å anta at disse kan være tilknyttet en fremmed stat, selv om temaet må undersøkes nærmere av politimyndigheter og sikkerhets- og etterretningstjenestene. Kombinasjonen mellom utnyttelsen av en såkalt nulldagssårbarhet og det faktum at flere norske departementer er berørt, peker imidlertid allerede i retning av statlige trusselaktører.
En nulldagssårbarhet er nemlig en sårbarhet i en programvare som tidligere ikke er offentlig kjent. Heller ikke for produsenten av programvaren. Den er kun kjent for den eller de få som har fått tak i, eller kjøpt informasjon om at sårbarheten eksisterer. Dette gjør at det ikke finnes noen sikkerhetsoppdatering for å fjerne sårbarheten, og den ligger derfor latent hos alle som har den aktuelle programvaren installert.
I dette tilfellet befant nulldagssårbarheten seg i programvaren Endpoint Mobile Manager, forkortet EPMM, levert av selskapet Ivanti.
Den aktuelle sårbarheten gjorde det mulig for en trusselaktør å omgå mekanismene for autentisering. Altså sikkerhetsmekanismene som sørger for at den som logger seg på it-plattformen er en legitim bruker. På grunn av sårbarhetens alvorlighetsgrad og fordi den var enkel å utnytte, fikk den 10.0 poeng i det internasjonale scoringssystemet (CVSS) for kritiske sårbarheter.
Dette er full pott. På it-sikkerhetsspråket omtalt som «en perfekt tier».
Det er nemlig ikke ofte det kommer ut offentlig tilgjengelig informasjon om at så høyt rangerte nulldagssårbarheter som dette er blitt utnyttet hos sentrale samfunnsinstitusjoner i Norge.
Enda sjeldnere er det at utnyttelsen av sårbarhetene blir oppdaget i Norge. Og spesielt ikke før de blir oppdaget av sikkerhetsmyndigheter og -selskaper i andre land.
Derfor er håndteringen av dataangrepet mot departementene, noe paradoksalt, egentlig en norsk suksesshistorie. Dette til tross for de negative konsekvensene som har inntruffet.
For den som ikke jobber med it-sikkerhet til daglig, er dette kanskje en overraskelse: At det å bli utsatt for et dataangrep, som oppdages, kan være å anse som en suksesshistorie.
Som følge av oppdagelsen kunne de norske sikkerhetsanalytikerne varsle selskapet Ivanti, som på sin side kunne starte arbeidet med å lage en sikkerhetsoppdatering for å fjerne den aktuelle sårbarheten. I tillegg kunne man starte varsling om at sårbarheten eksisterte til de over 5500 andre som benyttet programvaren Endpoint Mobile Manager. Et stort flertall av virksomhetene befinner seg i Tyskland og i USA. Disse kan nå undersøke samt se etter tegn til datainnbrudd i egne it-systemer. Systemer som allerede kan være kompromittert, men hvor ingen tidligere har reagert på unormale tegn og avvik.
I Norge har NSM bekreftet at sårbarheten er blitt utnyttet hos flere virksomheter fra april til den ble oppdaget i juli.
Det vil selvsagt også her være mange læringspunkter å ta med videre. Ett av de viktigste er om dataangrepet mot departementene kunne vært oppdaget tidligere, eller forhindret, og i så fall hvordan. Her bør regjeringen være åpen, slik at flere kan lære av erfaringene.
Likevel fremstår dette, allerede nå, som en norsk suksesshistorie.
En av de store utfordringene i dag er alle cyberoperasjonene som går under radaren og som ikke blir oppdaget. Vi kan takke noen årvåkne analytikere hos sikkerhetsselskapet Mnemonic for at det ikke er tilfellet i denne saken. De avdekket nulldagssårbarheten i programvaren til Ivanti.
Innsatsen har allerede fått stor internasjonal oppmerksomhet. Og det med veldig god grunn.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.