Dette må du vite om trusselvurderingene fra PST, NSM og Etterretningstjenesten
En klode i cyberkaos? Lær hvorfor din virksomhet må reagere på EOS-tjenestenes trusselvurderinger.
2024 blir et viktig år over hele kloden. Sju av ti av verdens største land holder valg og betente politiske og økonomiske omstendigheter har satt millioner i krise. I tillegg skapes store nye muligheter og utfordringer av kunstig intelligens. I utfordrende, usikre tider vil flere ty til cyberkriminalitet. Det gjør datasikkerhet til årets store tema.
Som IT-eksperter er vi glade for at datasikkerhet får mer oppmerksomhet. Men årsaken er vi ikke like glade for: Nasjonal sikkerhetsmyndighet (NSM) antar at de globale kostnadene for cyberkriminalitet vil lande på over 100 000 milliarder kroner. Det tilsvarer litt over seks oljefond. Vi har aldri før opplevd et mer dynamisk og uforutsigbart digitalt trussellandskap og norske politikere og myndigheter sliter med å holde følge.
Er det ingenting vi kan gjøre? Er alt håp ute?
Tvert i mot: Vi må mobilisere oss for å styrke hele Norges forsvar og sikkerhet. For å ta ansvar trenger du kunnskap om datasikkerhet. Det får du med de viktigste punktene fra trussel- og risikorapportene til EOS-tjenestene. Vi setter i gang.
Dette er EOS-tjenestene
Les NSMs rapport Risiko 2024
Les E-tjenestens Fokus 2024
Les PSTs Nasjonal trusselvurdering 2024
EOS-tjenestene jobber proaktivt med å bevare og styrke sikkerheten til staten og befolkningen i Norge. I dag består tjenestene av Etterretningstjenesten (E-tjenesten), Politiets sikkerhetstjeneste (PST), Nasjonal sikkerhetsmyndighet (NSM) og Forsvarets Sikkerhetsavdeling (FSA).
Mandag 12. februar la E-tjenesten, PST og NSM frem sine årlige, ugraderte trussel- og risikovurderinger. Disse tre vurderingene gir et samlet bilde på situasjonen, og ikke minst hva norske virksomheter må gjøre og innføre.
Årets EOS-trusselvurderinger har et klart hovedbudskap. NSMs direktør formulerer det slik:
“Vi må styrke vår motstandsevne. En trusselbasert «føre var»-tilnærming er avgjørende. Det innebærer å iverksette tiltak som beskytter oss, før skaden inntreffer.”
En nasjonal sikkerhetskultur kan kun skapes kollektivt
Å styrke Norges motstandsevne høres kanskje ut som et ansvar for myndighetene og politikerne. Men motstandsevne handler om å bygge en kollektiv sikkerhetskultur: Da må alle lag i samfunnet inkluderes og bidra: Fra enkeltindivider og enkeltvirksomheter, til næringslivet og det generelle samfunnet.
Hovedpunkter i EOS-vurderingene
For å forstå EOS-tjenestenes trusselvurderinger, må du vite at politisk og økonomisk uro fører til at cyberuniverset endrer seg. Både stater og enkeltpersoner tyr til cyberkriminalitet for å møte sine mål, enten de er økonomiske eller politiske.
PST og E-tjenesten forutser økt etterretning, sabotasje, spionasje og angrep fra flere fremmede stater. Spesielt Russland, Kina, Iran og Nord-Korea vil utføre fiendtlig aktivitet mot Norge. Og i april mente PST at kinesiske myndigheter hadde samarbeidet med to hackergrupper for å hacket Stortinget i 2021.
Cyberoperasjer er for lengst blitt en selvfølgelig del av både krigføring og utenrikspolitikk. Disse statlige myndighetene samarbeider tett med både private og offentlige virksomheter for å nå målene sine: For eksempel hacktivister, hackergrupper og cyberkrimorganisasjoner (se lengre ned for ordliste). Dette styrker den tekniske kapasiteten til å gjennomføre cyberoperasjoner, og det lar dem skjule at de selv er involvert. Slik slipper de internasjonale sanksjoner.
Det er spesielt verdt å notere seg trusselen mot små og mellomstore bedrifter. Ikke bare Oljefondet, Equinor og Norgesgruppen. NSM påpeker at vår nasjonale motstandskraft i cyberdomenet må involvere både store og små virksomheter. Dette er fordi trusselaktører er svært dyktige i å kartlegge verdier og utnytte sårbarheter. For å komme seg frem til sine primærmål av toppolitikere, store industrikonsern eller Forsvaret, kan de spare store ressurser ved å gå inn bakdøra: Angrep mot mindre, men viktige underleverandører.
Ettersom hele 68% av alle norske virksomheter er små og mellomstore, er svært mange virksomheter ideelle angrepsmål. Fellestrekk for norske SMB-er er lite ressurser, lite kunnskap og lite erfaring med datasikkerhet. Dermed kan vi være “enkle” mål for profesjonelle hackere. Det er en trend vi må snu lynkjapt.
“Virksomheter med solide datasikkerhetssystemer er sårbare dersom deres underleverandører ikke har tilsvarende sikkerhetstiltak. ”
Hvordan utføres dataangrep i 2024?
Eksempel på angrep fra PSTs vurdering
“I 2022 ble en norsk virksomhet utsatt for digital industrispionasje fra en nordkoreansk cyberaktør. Cyberaktøren tok kontakt med en ansatt på Linkedin og utga seg for å være en rekrutterer fra et IT-selskap. Samtalen flyttet seg deretter til WhatsApp, hvor den ansatte ble lurt til å åpne en ondsinnet fil som inneholdt skadevare. Skadevaren ga aktøren tilgang til virksomhetens nettverk. Cyberaktøren hentet ut store mengder informasjon som kan skade norske sikkerhetsinteresser.”
Med avansert teknologi blir det stadig lettere å utføre cyberangrep.
Ifølge PST vil disse følgende taktikkene utgjøre en vedvarende og alvorlig trussel mot det norske samfunnet:
Sosial manipulering og utnyttelse av menneskelige sårbarheter, f.eks. phishingangrep.
Skadevare, f.eks. løsepengevirus.
Digital rekruttering av enkeltindivider til spionasje eller innsidejobber.
Oppkjøp og involvering av bedrifter for å hente ut informasjon.
DDoS-angrep og “brute force” (se lengre ned for ordliste).
Har du et mentalt bilde av at cyberkriminelle er tenåringer med hettegenser i foreldrenes kjeller, så stemmer det ikke med virkeligheten.
Husk at mange cyberkriminelle jobber for helprofesjonelle organisasjoner med bedriftsstruktur. Dette er organisasjoner som handler både på eget initiativ og på engasjement fra myndigheter, institusjoner og bedrifter.
PST fremhever at norske virksomheter, organisasjoner og privatpersoner vil bli utsatt for cyberoperasjoner fra fremmede stater og kriminelle grupper i 2024. Historisk sett har spredning av feilinformasjon og propaganda, og sabotasje av prosesser og systemer vært effektive verktøy for å destabilisere land og skape mistillit til et lands myndigheter. Ett eksempel er de russiske “trollfabrikkene” som blandet seg inn i det amerikanske presidentvalget i 2016.
PST klargjør:
“Du kan blant annet bli utsatt for fremmed etterretning i form av en e-post med en lenke du ikke burde klikke på, en forretningskontakt som stiller detaljerte spørsmål om jobben din, eller et selskap som vil kjøpe en vare virksomheten din produserer.”
Profesjonelle cyberkriminelle er intelligente. Som nevnt vil de alltid velge enkleste veien inn. Derfor retter de seg i stor grad etter enkeltindivider eller mindre virksomheter med begrensede ressurser:
“Det er sjeldent den ansatte i seg selv er av interesse, men heller hvordan enkeltpersoner kan utnyttes som inngangsport til virksomhetens verdier” melder NSM i Risiko 2024.
Hva er konsekvensene av et gjennomført dataangrep?
Vellykkede angrep kan skape små og store konsekvenser. Hvor alvorlige konsekvensene blir, avhenger av responsen og håndteringen av sikkerhetshendelsene.
I nasjonal sammenheng kan et omfattende cyberangrep med staten som hovedmål sette vår fysiske trygghet, helse, økonomi og fremtid i fare. Næringer og bransjer kan skades permanent og velferdsstaten kan svekkes.
For deg som driver en liten eller mellomstor bedrift, finnes andre konsekvenser. I Garnes Data har vi sett virksomheter gå konkurs som direkte følge av et dataangrep. Et angrep kan forårsake nedetid, produksjonsstopp, tap av kundeinformasjon, patenter og viktige data. Det kan føre til et kritisk omdømmetap blant kundene dine, endte relasjoner og millioner i tapt inntekt.
Sekundæreffekter er lekkasje av persondata. Det kan føre til GDPR-bøter på tosifrede millionbeløp. Dersom ett angrep har lykkes, er sjansen stor for at nye uønskede digitale hendelser vil forekomme. Gjenopprettelsestiden kan være lang, spesielt om dere ikke har tatt backup.
Dette må du gjøre nå som liten eller mellomstor bedrift (SMB)
Så hvordan kommer du i gang for å møte dagens trusler og risikoer?
Først må du kartlegge hvordan datasikkerheten deres ser ut i dag. Som NSM forteller:
“Vet du ikke hva virksomheten din skal beskytte, hvorfor, eller mot hvilke trusler, blir heller ikke tiltakene du iverksetter treffsikre nok.”
Du trenger en sikkerhetsgjennomgang og risikoanalyse med en IT-partner som leverer komplett sikkerhet. Ved å kartlegge hvilke verdier, eiendeler og tilganger virksomheten din har, kan du bedre bygge forsvar mot trusler og sikkerhetshendelser.
Skap en sikkerhetskultur
EOS-vurderingene bekrefter det vi har snakket om i lang tid: Du og din virksomhet trenger sikkerhetskultur.
En sikkerhetskultur defineres av at samtlige i en virksomhet har blitt opplært i sikkerhet, og at de aktivt bidrar til å ivareta den hver eneste dag. Det betyr å ha en tydelig og godt kjent beredskapsplan, diskutere datasikkerhet ofte, ha lav terskel for å rapportere og stille spørsmål, skape god kompetanse i sikkerhetsverktøy og prosesser, og at dere skaper vaner og regler for hva dere alltid skal og aldri skal gjøre.
For å skape en sikkerhetskultur må du som leder gå fram som et godt eksempel. Det gjør du med Zero Trust.
Skaff deg Zero Trust
Zero Trust er en filosofi og helhetlig sikkerhetsplan som baseres på ett grunnprinsipp: “Never trust, always verify.”
Idéen er å alltid gå ut fra at virksomheten din er under angrep. Dermed kreves det at dine ansatte og dine kollegaer alltid verifiserer hvem de er før de får tilgang på viktig informasjon og systemer.
Da kreves godt implementert og konfigurert helhetsplan. Er du klar for en Zero Trust-hverdag?
Sikkerhetskurs
For å bekjempe truslene må du aldri ta for gitt at du eller teamet ditt vet hva som kan være en risiko.
Derfor må du ha med deg alle på laget ditt. I 2024 er sikkerhetskurs i datasikkerhet en selvfølge.
I kursene styrker du hele teamet ditt til å oppdage, unngå og bekjempe angrepsforsøk. Med kontinuerlig trening og mestringsfølelse i arbeidsmiljøet bygger du sikkerhetskultur langsiktig, og fjerner store bekymringer.
Våre råd til deg som leder
Vurder kritisk hvem i virksomheten din som skal ha tilgang på verdier og systemer. Alle trenger ikke administratortilgang.
Vær forsiktig med kunstig intelligens. Aldri del interne dokumenter eller sensitiv informasjon og opplysninger med KI-modeller.
Gjør datasikkerhet til en del av rekrutteringsprosessen og onboardingen av nye ansatte.
Se potensialet i de ansatte. Skaff dem treningen som gjør dere til en tett forsvarsmur.
Vær en rollemodell. Gå foran som et godt eksempel og delta aktivt i diskusjoner om datasikkerhet. Ikke videresend lenker eller vedlegg ukritisk.
Hold deg kontinuerlig oppdatert på nyheter, rapporter og ny informasjon om sikkerhet. Meld deg på vårt nyhetsbrev for de viktigste nyhetene her.
Begreper du må kunne om cybersikkerhet fra EOS-vurderingene
-
En nulldagssårbarhet er en feil i programvare som hackere utnytter før programvareleverandøren vet om problemet.
De er farlige fordi det ikke er noen sikkerhetsoppdatering tilgjengelig umiddelbart.
I 2023 ble 12 norske departementer angrepet med en nulldagssårbarhet: https://www.aftenposten.no/norge/i/Xb2LGr/nsm-varsler-virksomheter-etter-hacking-norske-departementer-rammet-av-dataangrep
-
Hacktivismeer bruken av datamaskinbaserte teknikker som hacking som en form for sivil ulydighet for å fremme en politisk agenda eller sosial endring.
-
Tjenestenektangrep (DDoS) er en form for digital angrep der mange enheter samtidig sender en overveldende mengde trafikk til en nettside, server eller tjeneste.
Målet er å lamme målets infrastruktur ved å oversvømme den med data, noe som kan føre til midlertidig eller permanent utilgjengelighet. DDoS-angrep kan forstyrre virksomheter, organisasjoner og nettverk, og de kan være utført av enkeltpersoner, grupper eller øbotnett.
-
Løsepengevirus, også kjent som ransomware, er en ondsinnet programvare (skadevare).
Skadevaren installeres eller nedlastes på en enhet eller i et system. Deretter krypteres filene og angriperne krever løsepenger fra offeret for å dekryptere dem og gjenopprette tilgangen.
Dette kan føre til store problemer for enkeltpersoner, bedrifter og organisasjoner, da det kan lamme datatilgangen og forårsake økonomisk tap.
-
Brute force er en metode for å bryte gjennom sikkerhetssystemer ved å prøve alle mulige kombinasjoner av passord eller koder.
Angriperen gjentar systematisk forsøk på å logge inn eller dekryptere informasjon ved å teste alle tenkelige alternativer. Dette kan være tidkrevende, men det kan være effektivt hvis systemet har svake passord eller dårlig beskyttelse. Jo lengre og mer avanserte passord, mer avanserte passord
-
Sosial manipulasjon i cybersikkerhet refererer til taktikker der angripere utnytter menneskelig atferd og psykologi for å oppnå sine mål.
Dette kan inkludere phishing, preteksting, eller sosial ingeniørkunst.
Målet er å lure enkeltpersoner til å dele sensitiv informasjon, klikke på skadelige lenker eller utføre handlinger som gir angriperen uautorisert tilgang.
Ta ditt sikkerhetsansvar med våre andre artikler om IT
