av Roar Thon

Nasjonal sikkerhetsmyndighet har tidligere beskrevet cyberhendelser knyttet til det amerikanske presidentvalget som et veiskille. Noen har med større grad av synlighet brukt informasjon hentet fra cyberoperasjoner eller «hacking» for indirekte eller direkte å påvirke prosesser rundt det amerikanske presidentvalget.

Amerikanske myndigheter var allerede i oktober 2016 ute med offisielle påstander om at Russland stod bak. Oppfølgeren fra amerikansk hold kom i slutten av desember i form av en rapport som inneholder tekniske detaljer og ytterligere informasjon om hvordan russisk etterretning skal ha stått bak operasjonen som amerikanske etterretnings- og sikkerhetsmyndigheter kaller for GRIZZLY STEPPE.  Rapporten er den ugraderte versjonen som danner bakgrunnen for den amerikanske påstanden om at Russland står bak ondsinnet cyberaktivitet mot amerikanske interesser. Samme dag som rapporten ble offentliggjort, besluttet USA å utvise 35 russiske diplomater fra USA. Saken og reaksjonene i ettertid, representerer noe av det alvorligste en nasjonalstat foreløpig har beskyldt en annen stat for å ha begått i cyberdomenet.

Det er liten uenighet om at informasjon og systemer er blitt kompromittert. Heller ikke at informasjonen som stammer fra kompromitteringen er distribuert og offentliggjort.  Men det er ikke mangel på de som av ulike grunner tok til motmæle mot rapportens innhold.

Dette var status frem til fredag 6 januar. Da la amerikanske etterretnings- og sikkerhetsmyndigheter frem ytterligere informasjon i form av en avgradert rapport. Det har ikke stilnet kritiske røster, men den siste rapporten gav ytterligere innblikk i hvorfor reaksjonene har vært så alvorlige,

Spørsmålet er om man skal se på rapportene som en konkret bevisføring om hvem som står bak, eller et bidrag til å legge frem elementer som kan bidra til økt sikkerhet – uavhengig av hvem som står bak. Cyberdomenet er et vanskelig område når det gjelder å skaffe bevis i en rettslig forstand. Derfor skal man være forsiktig med å konkludere skråsikkert. Spesielt når man ikke har all informasjon. Verden er sjelden i svart/hvitt og spesielt ikke når det gjelder etterretningsoperasjoner.  Men uansett er det viktig å forstå at rapportene ikke gir et fullverdig helhetsbilde. Selv om man har fått en avgradert versjon. Så lenge man ikke har tilgang til informasjonen som er gradert i saken, så er heller ikke helhetsbildet komplett. 

Jeg skal ikke vurdere rapportene eller saken i sin helhet og jeg styrer unna de utenriks- og innenrikspolitiske komponentene, for de utgjør også et betydelig element. Men i alle slike saker er det noe å lære. I denne saken er det mange elementer som kan gi økt forståelse om hvordan enkelte trusselaktører opererer og gjennom det, hvordan vi kan gjøre det vanskeligere for dem å lykkes. 

Få organisasjoner kan måle seg med en etterretningsorganisasjons tålmodighet

Men bortsett fra det veiskille vi tidligere har snakket om, representerer saken egentlig noe nytt? Rent teknologisk er ikke de benyttede sårbarheter og skadevare oppsiktsvekkende. Heller ikke leverings- og operasjonsmåten er ukjent. Vi snakker om spearphishing via e-post, kompromitterte passord m.m. Ikke akkurat det som bør overraske oss i 2016. Eller 2017.  

Selv om ikke rapportene sier alt, sier de likevel noe om kompleksiteten bak operasjon GRIZZLY STEPPE. For det er det vi snakker om her – en operasjon. Dette er ikke ett enkeltstående dataangrep. Det er langvarig operasjon med mange bevegelige deler som skal fungere. Det er en kombinasjon av teknologiske og menneskelige etterretningsmetoder. Det er ikke minst utnyttelsen av informasjon som er fremskaffet som en del av operasjonen. I denne saken, som så mange andre, er det identifisert aktører som omtaltes som Advanced Persistent Threat (APT) At de omtales som avanserte, betyr ikke nødvendigvis at alt de gjør teknologisk aldri skal være sett før, eller representerer noe nytt eller er avansert. Det som like gjerne kan kjennetegne en APT aktør er evnen til å kombinere ulike metoder av både teknologisk, mellom-menneskelig og prosessuell art. Når det gjelder utholdenhet for å nå et slikt mål, er det få organisasjoner som kan måle seg med en etterretningsorganisasjons vilje, ressurser og tålmodighet.

Den avgraderte rapporten skulle gi et godt innblikk i hvordan en informasjonsoperasjon kan og blir gjennomført. Den bør leses av mange, men arbeider du med sikkerhet bør den inngå i pensum.

Forstår vi mentaliteten til profesjonelle trusselaktører?

Når det gjelder beskyttelse av vår egen informasjon og systemer er det mange ting som kan forbedres. Jeg mener at vi må bli bedre til å forstå at våre digitale motstandere, uansett hvem de er, har få begrensninger for hva de kan og er villig til å gjøre. Vi står overfor motstandere som ikke spiller etter samme regler som oss.  For kriminelle aktører ligger det jo i selve definisjonen at lover og regler settes til side. Statlige aktører er derimot styrt av sitt eget lands lover og regler. Men det ligger i deres oppdrag at de kan bryte andre lands lover og regler. Når det kommer til internasjonal rett viser historien at nasjonalstater bryter disse når det tjener deres egne interesser best.

I et slikt virkelighetsbilde bør vi være klar over at sikkerhet ikke bare er et teknologisk spørsmål. Det handler heller ikke om bare å ha regler og gode juridiske avtaler. En juridisk avtale som regulerer hvordan to parter skal forholde seg til noe, betyr ikke automatisk at en tredjepart kommer til å respektere den.  Trusselaktører bryr seg lite om hvor god databehandleravtalen er. I hvert fall Ikke i min del av verden.

Det er gode grunner til å lese rapportene med et kritisk blikk. Men etter min mening kan og bør hele saken bidra til økt forståelse og gjennom det, forbedring av våre egne sikkerhetstiltak. Ikke minst hvor viktig det er å finne helhetlige løsninger.

Men det holder ikke å lese rapportene. Vi trenger reelle forbedringer av mange årsaker.

En av årsakene er datoen 11 september 2017, eller 911 som andre ville ha kalt det.

Da er det Stortingsvalg i Norge, men det er det kanskje bare vi nordmenn som er opptatt av?

Eller?