– Min personlige oppfatning er at det i større grad er et politisk enn teknologisk spørsmål hvem man skal handle fra. Løsningen er ikke å peke på enkeltaktører, sier Vanja Svajcer, teknologisjef i Cisco Talos, som har forsket på it-sikkerhet og trusler i over 15 år til DN.

Han besøkte selskapets kontor på Lysaker denne uken.

I 2014, da den tidligere ansatte Edward Snowden lekket en rekke interne dokumenter fra amerikanske etterretningstjenester, kom det for en dag at National Security Agency (NSA) hadde plantet såkalte bakdører i en rekke rutere fra Cisco siden 2012.

Amerikanske Cisco er et av verdens største teknologiselskaper og de sier selv at rundt 80 prosent av verdens nettrafikk passerer gjennom en eller flere av deres produkter. Deres sikkerhetssenter blokkerer over 20 milliarder forsøk på ulike former for datakriminalitet i døgnet og de sikrer i dag noen av verdens mest kritiske systemer.

Ifølge de lekkede dokumentene fanget NSA opp forsendelser på vei ut til Ciscos kunder, åpnet dem, manipulerte dem, forseglet dem igjen og sendte dem videre. Bakdøren de la inn lot dem snappe opp trafikken som passerte gjennom nettverkskomponentene.

Garanterer ikke 100 prosent sikkerhet

Den siste tiden har det vært mye diskusjon, i Norge og internasjonalt, rundt mobilnett-leverandøren Huawei. Det kinesiske selskapet har møtt mistanke og blitt utestengt fra å levere komponenter til mobilnett i flere land. I Norge har blant annet PST tatt til orde for at man bør være skeptiske til Huawei.

– Vi har sagt at man bør være oppmerksom på Huawei som aktør i forbindelse med 5G-nettet som skal bygges ut. Ikke fordi vi tror at det er noe galt med Huawei og menneskene som jobber i Norge, men Huawei som selskap har antagelig ganske tette bånd til kinesiske myndigheter, sier PST-sjef Benedicte Bjørnland til NRK.

Cisco-topp Svajcer minner om et kjent faktum i it- og sikkerhetsbransjen.

– Ingen kan garantere kundene 100 prosent sikkerhet, sier Svajcer.

Han tror imidlertid ikke at noen leverandører ønsker å bidra bevisst til spionasje.

– Jeg kan bare snakke for Cisco, men jeg tror alle leverandører ønsker å levere det de har lovet kundene og bevare kundens integritet. Men det er en stor verdikjede, så ingen kan gi absolutte garantier, uansett hvem de er og hvor de er basert, sier Svajcer.

Han understreker at det fysiske utstyret bare er en del av sikkerhetsutfordringen. Hvordan man setter opp et mobilnett og designer systemene har mye å si for hvor god kontroll man har.

– Man får stadig flere verktøy i kassen for å oppdage trusler og avvik. I tillegg er det viktig med hvilke rutiner man har når avvik oppdages, sier Svajcer.

Komplisert oppgave

Cisco får støtte av NTNU-professor Stig Frode Mjølsnes ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi.

Professor Stig Frode Mjølsnes ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi ved NTNU.
Professor Stig Frode Mjølsnes ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi ved NTNU. (Foto: NTNU/Kai T. Dragland)

– Historien med Cisco er et eksempel på at det ikke nødvendigvis er leverandøren som er problemet. Det finnes ikke feilfri programvare, så det vil alltid være en risiko for sikkerhetshull som kan utnyttes uten leverandørens og operatørens kjennskap. Det er nok også lettere enn å få en produsent til å bevisst legge inn bakdører, sier Mjølsnes til DN.

Han mener basestasjoner, som er det Huawei har levert i Norge, er spesielt svake punkt – uansett hvem som leverer dem.

– Et godt eksempel er oppdateringer. Mobiloperatøren har ansvar for sikkerhet og stabilitet i nettene sine, men er avhengige av oppdateringer fra produsentene underveis, enten for å tette sikkerhetshull eller legge til ny funksjonalitet. Denne muligheten er et sårbart punkt fordi det betyr at komponentene må kunne nås utenfra, sier Mjølsnes.

Dette kan utnyttes av uvedkommende.

– Dersom en basestasjon først er kompromittert kan den for eksempel sende ut etterretningsinformasjon gjennom telefonene som er koblet til den. Dette er vanskelig å oppdage fordi det vil se ut som en vanlig mobildataforbindelse. Et mobilnett er stort og komplisert, og å avdekke alle avvik er enklere i teori enn praksis, sier Mjølsnes, som understreker at de kommende 5G-nettene vil bli enda mer kompliserte og ha enda flere sårbarhetspunkter enn dagens mobilnett.

Slipper ingen inn i nettet

Telenor sier det ikke er så enkelt å utnytte en basestasjon.

Sikkerhetsdirektør Hanne Tangen Nilsen i Telenor.
Sikkerhetsdirektør Hanne Tangen Nilsen i Telenor. (Foto: Linda Næsfeldt)

– Det stemmer at det alltid vil finnes sårbarheter og det stemmer at vi må oppdatere basestasjoner og annet utstyr. Men leverandøren kan ikke gjøre dette på eget initiativ. Alle oppdateringer blir gjennomgått, tilpasset og testet før vi installerer oppdateringen på basestasjonene. Jeg vil si det slik at det er vi som utfører oppdateringer, med bistand fra leverandøren. Terskelen for at noe skal skje i vårt nett uten vår kjennskap er svært høy, sier Hanne Tangen Nilsen, sikkerhetsdirektør i Telenor Norge.

Hun påpeker at basestasjonene i et mobilnett langt fra er de mest attraktive komponentene å utnytte.

– Det er litt avhengig av hva trusselaktøren er ute etter. Enten man vil hente inn informasjon eller skade mobilnettet på noen måte har de enkelte basestasjonene begrenset nytte. Det er lenger inn i kjernenettet intelligensen og det mest kritiske ligger, sier Tangen Nilsen.

En leverandørs hjemland er ikke en nødvendigvis en avgjørende faktor for sikkerheten.

– En trusselaktør, for eksempel en etterretningstjeneste, vil alltid velge letteste vei til informasjonen de ønsker. Letteste vei kan ligge i cyberdomenet, men det er ikke gitt at letteste vei vil gå gjennom en leverandør fra eget land. Alle leverandører behandles strengt sikkerhetsmessig. Vi legger vår trusselforståelse til grunn når vi vurderer ytterligere sikkerhetsmekanismer vi må ha på plass, sier Tangen Nilsen.

Er banken din venn, eller tenker finansfolk bare på seg selv? Hør fersk DN-podkast:(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.

Denne mannen føler seg tjue år yngre enn det som står i passet hans. Det prøvde han å gjøre noe med.
02:41
Publisert: