Fredag skrev DN at Nasjonal sikkerhetsmyndighet (NSM) slår alarm om alvorlige hull i Norges digitale sikkerhet. I den nye rapporten fremgår det også at beredskapen for å håndtere omfattende cyberangrep mot Norge har store mangler, blant annet fordi Norge ikke har noen helhetlig styring og koordinering av it-sikkerhet på tvers av statlige etater.
DN kan nå avsløre at norske myndigheter er i full gang med å håndtere en ny, alvorlig cyberhendelse. Det bekrefter sjefen for Nasjonal sikkerhetsmyndighet, Sofie Nystrøm.
– Vi sitter akkurat nå med en svært alvorlig situasjon i forhold til nulldagssårbarheter, og som er mer potent enn det vi så i angrepet mot Departementenes sikkerhets- og serviceorganisasjon (DSS) og departementene i sommer, sier Sofie Nystrøm, sjef for Nasjonal sikkerhetsmyndighet (NSM), til Dagens Næringsliv.
Det dreier seg om en ny «nulldagssårbarhet», det vil si en digital trussel som ingen kjenner til fra før, og som dermed er både vanskeligere å oppdage og bekjempe.
Disse sårbarhetene er de som sikkerhetsverdenen frykter aller mest. De er også de mest kostbare – ikke bare fordi de er sjeldne, men fordi de kan brukes som digitale våpen av statlige trusselaktører.
Bekreftelsen fra NSM-sjefen betyr at norske virksomheter på nytt er rammet av nye, alvorlige angrep med slike verktøy, som i sommer ble tilskrevet statsfinansierte trusselaktører – og som denne gangen er «mer potent» enn de forrige, ifølge Nystrøm.
– Vi ønsker at leverandørene kommer med oppdateringer, og vi koordinerer internasjonalt. Det er ikke stille i cyberdomenet. Tvert imot, sier Nystrøm til DN.
Natt til mandag ble det sendt ut en «patch» – eller sikkerhetsoppdatering – som utbedrer sikkerhetshullet.
Viktige norske virksomheter
Ifølge NSM er flere virksomheter i Norge blitt kompromittert som en del av den nye hendelsen, som kunne gi uautoriserte hackere full kontroll over enkelte av virksomhetens nettverksenheter, som rutere og svitsjer.
Hackere har utnyttet en tidligere ukjent sårbarhet for å kompromittere nettverksbokser for å kunne skaffe seg varig tilgang. De norske virksomhetene som er berørt, beskrives som «virksomheter som har betydning» og som «leverer samfunnstjenester».
NSM har koordinert håndteringen av det nye angrepet, men vil ikke svare på om det er offentlige eller private aktører som er blitt rammet, eller hvor mange det er snakk om.
Alvorlighetsgraden til denne hendelsen skiller den fra andre. I det internasjonale scoringssystemet over sårbarheter som sikkerhetsbransjen bruker, har denne hendelsen fått karakteren ti av ti, som er det høyeste mulige. DN får beskrevet at det ikke er veldig ofte sårbarheter av dette kaliberet dukker opp.
– Den har veldig, veldig høy kritikalitet fordi den kan gi veldig mye tilgang, på en annen måte enn sårbarheten hos DSS fra i sommer, sier Gullik Gundersen, underdirektør i Nasjonal sikkerhetsmyndighet til DN.
Høyest mulig tilgangsnivå
Problemet ble oppdaget da det ble lagt merke til unormale aktiviteter på Cisco-enheten til en ikke navngitt bruker, ved at angripere prøvde å opprette kontoer på brukerens enheter med høyest mulig tilgangsnivå.
Nå skal de fleste norske virksomhetene som er berørt være i ferd med å avslutte håndteringen av sårbarheten, men det vil – etter det DN forstår – fortsatt gjenstå arbeid i virksomhetene hvor sårbarheten er blitt utnyttet aktivt. Norge var ikke det første landet hvor sårbarheten ble utnyttet, men ble raskt en del av hendelsen.
– Norske virksomheter har hatt aktive hendelser i nettet sitt, ved at en trusselaktør har utnyttet sårbarheten og fått tilgang til innsiden av virksomheten. Det er svært viktig at alle virksomheter installerer sikkerhetsoppdateringen som nå er tilgjengelig. Utnyttelsen av denne sårbarheten viser risikobildet som Norge opererer i, selv om ikke Norge helt innledningsvis var målet, sier en underdirektør Gullik Gundersen i NSM, som har jobbet med håndteringen av hendelsen i Norge.
Norge «under angrep»
Det var 12. juli i år at Departementenes sikkerhets- og serviceorganisasjon (DSS) oppdaget en av de mest alvorlige cyberhendelsene som har rammet Norge i 2023. 12 departementer ble rammet av flere nulldagssårbarheter.
Etter hendelsen uttalte statsminister Jonas Gahr Støre at han ledet en regjering som «er under angrep».
Hvilken trusselaktør som står bak den nye nullsårbarheten er foreløpig ikke kjent. Det er foreløpig på det rene at den aldri har vært observert noe annet sted i verden tidligere – før den nylig ble oppdaget av en amerikansk sikkerhetsleverandør.
Går mot forsvarskommuner
Antallet svært avanserte cyberangrep mot Norge øker, ifølge NSM.
– De går mot viktige underleverandører, vi ser at kommuner spesielt med viktige beredskaps- og forsvarsinstallasjoner er i skuddlinjen og er svært sårbare. Så staten må bidra til å løfte cybersikkerhetsnivået kraftig fremover for å imøtegå det vi ser i trusselbildet. Det er en økning i svært sofistikerte cyberangrep mot Norge, sier Sofie Nystrøm.
Hun sier hendelsene er mye mer sammensatt og helhetlig enn det NSM noen gang har klart å avdekke tidligere.
– Vi er mest bekymret for de dypere operasjonene, de som er svært stillegående og hvor man planlegger og opererer for å oppnå tilganger over mange, mange år, sier Nystrøm.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.