Med bakgrunn i en svært uoversiktlig situasjon og ytterligere observasjoner av skadevare i Ukraina, vurderes risikonivået for norske virksomheter som forhøyet. 

NCSC understreker at vi p.t. ikke er kjent med cyberhendelser i Norge som kan knyttes til den pågående konflikten. Vi vurderer imidlertid fortsatt at cyberoperasjoner som rammer ukrainske mål kan få indirekte konsekvenser for norske virksomheter gjennom verdikjeder eller andre knytninger på tvers av systemer og landegrenser. 

Det ble i slutten av januar rapportert om wiper-skadevare mot ukrainske mål [1,2]. Flere kilder melder nå om ytterligere observasjoner av wiper-skadevare hos ukrainske virksomheter [3,4,5,6]. Symantec har publisert videre detaljer og enkelte indikatorer [4]. NCSC har i dag sett troverdig rapportering på at virksomheter i tredjeland også er berørt av dette; virksomheter i Latvia og Litauen er omtalt som eksempler i åpne kilder [7]. Det er mulig dette dreier seg om utilsiktede ringvirkninger som følge av nettverksknytninger. NCSC vurderer at tilsvarende kan ramme norske virksomheter med knytninger til Ukraina. 

NCSC anbefaler at virksomheter iverksetter tiltak for å øke sin motstandsevne mot cyberoperasjoner. Det er essensielt å ha oppdaterte beredskapsplaner for å håndtere eventuelle hendelser. Disse bør også spesifikt adressere potensialet for ransomware-/wiper-skadevare [8]. 

NCSC følger situasjonen tett og opprettholder dialog med relevante nasjonale og internasjonale miljøer. Ved konkrete cyberhendelser som rammer norske virksomheter vil NCSC fortløpende vurdere hensiktsmessig varsling og oppdatering av situasjonsbildet. 

NCSC understreker viktigheten av at virksomheter med relasjoner, tilstedeværelse, systemer, tjenester eller annen virksomhet i tilknytning til Ukraina iverksetter ekstra risikoreduserende tiltak. Eksempler på tiltak kan være ekstra overvåkning, isolering av trafikk, hvitelisting og fortløpende vurdering av behovet for tilgang til/fra aktuelle organisasjoner og land.  

På NSMs nettsider finnes en oversikt over tiltak man bør prioritere for å øke beredskapen i en skjerpet situasjon [9]. 

Virksomheter oppfordres til å ha lav terskel for å ta kontakt med NCSC eller sine respektive responsmiljø/SRM dersom det observeres aktivitet man mistenker kan relateres til situasjonen i Ukraina. Slik rapportering er avgjørende for at NCSC kan vedlikeholde et nasjonalt situasjonsbilde. 

Referanser: 

[1] https://www.recordedfuture.com/whispergate-malware-corrupts-computers-ukraine/ [recordedfuture.com] 

[2] https://unit42.paloaltonetworks.com/ukraine-cyber-conflict-cve-2021-32648-whispergate/ 

[3] https://www.sentinelone.com/labs/hermetic-wiper-ukraine-under-attack/ [sentinelone.com] 

[4] https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/ukraine-wiper-malware-russia  

[5] https://www.digi.no/artikler/skadevare-viser-at-angrepet-pa-ukraina-har-vaert-forberedt-i-flere-maneder/517579 [digi.no] 

[6] https://www.welivesecurity.com/2022/02/24/hermeticwiper-new-data-wiping-malware-hits-ukraine/ 

[7] https://apnews.com/article/russia-ukraine-technology-business-europe-russia-9e9f9e9b52eaf53cf9d8ade0588b661b [apnews.com] 

[8] https://nsm.no/fagomrader/digital-sikkerhet/rad-og-anbefalinger-innenfor-digital-sikkerhet/digital-utpressing/sikkerhetstiltak-mot-digital-utpressing-og-andre-angrep 

[9] https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/nyheter-fra-ncsc/ukraina-2022/