Gjennom samarbeidet i Felles cyberkoordineringssenter (FCKS)1 ser NSM at både statlige og kriminelle aktører utfører digitale operasjoner og datainnbrudd mot mål i Norge. Fremmede stater søker blant annet etter statshemmeligheter, høyteknologi og forretningshemmeligheter når de gjennomfører digitale operasjoner mot norske virksomheter. Disse aktørene har omfattende ressurser til rådighet og jobber med langsiktige målsettinger. Organiserte kriminelle utnytter det digitale rom for økonomisk vinning, slik som utpressing med løsepengevirus, datatyveri og svindelforsøk

NSM vurderer som tidligere år at forvaltningen og en rekke sektorer i Norge er risikoutsatt for digitale operasjoner. Dette inkluderer særlig virksomheter innen sektorene forsvar, romvirksomhet, maritim, petroleum, ekom og kraft. I tillegg observerer NCSC at andre sektorer i økende grad er risikoutsatt. Det siste året har NCSC hatt økt fokus innen sektorene samferdsel, forskning og høyere utdanning samt helse. Det er en risiko for at sektorer som er under økt press kan være mer sårbare for vellykkede nettverksoperasjoner, slik som under COVID-19-situasjonen.

Trusselaktører utfører rekognosering og informasjonsinnhenting mot mål i Norge. NCSC ser digital kartlegging av norske virksomheters infrastruktur og digitale innhentingsoperasjoner hvor aktøren bak lykkes i å kompromittere en virksomhet for deretter å hente ut data fra systemene. Kartlegging av sårbarheter i infrastruktur kan i tillegg være forberedelse til fremtidige sabotasjehandlinger ved en eventuell eskalering i krisespennet.

Videre observerer NCSC også andre typer nettverksoperasjoner. Virksomheter utsettes for eksempel for utpressingsforsøk ved bruk av løsepengevirus, der trusselaktørene lammer digitale systemer gjennom kryptering og krever løsepenger for å låse opp krypteringen. I mange tilfeller er løsepengevirusangrep utført av aktører med høy digital kompetanse, på eget initiativ eller på oppdrag fra andre. Det er et undergrunnsmarked for kjøp og salg av løsepengevirus («ransomware as a service»). I tillegg er løsepengevirus under konstant utvikling, hvor verktøy og metoder stadig endres.

Det er en trend at angripere krever penger for å ikke auksjonere bort dataene eller lekke disse. De siste årene har det vært sett løsepengevirus rettet mot bedrifter og virksomheter med større betalingsevne enn enkeltpersoner. Løsepengevirus kan også benyttes som en avledning med den hensikt å skjule faktisk intensjon utover økonomisk vinning.

Allerede tidlig under COVID-19 så NCSC en økning i rapportering av løsepengevirus mot norske virksomheter. Flere av partnerne har rapportert om et høyt trykk av forsøk på bruk av løsepengevirus den siste tiden. DNB omtaler blant annet krypteringsvirus som en økende trend i sin trusselvurdering for 20202 og trenden er også observert i kraftbransjen. Det norske mediebildet3 og rapportering internasjonalt gjenspeiler også dette. NSM forventer en fortsatt økning i løsepengeangrep mot norske virksomheter i tiden fremover. Å være forberedt på slike hendelser, vite hva en skal gjøre dersom det inntreffer, samt forebyggende arbeid gjør virksomheter bedre rustet til å håndtere løsepengevirus.

Beskytt deg mot løsepengevirus

Sammen med Kripos har NSM utarbeidet en temarapport4 om løsepengevirus. Temarapporten beskriver hva løsepengevirus er og gir råd om hvordan man kan beskytte seg mot slike angrep, blant annet om hvordan man kan hindre skadevaren i å kjøre og begrense konsekvensene skadevaren kan påføre.5

Svindelforsøk i form av direktørsvindel og misbruk av infrastruktur til utvinning av kryptovaluta rammer også mange norske virksomheter. Dette rapporteres også av flere av partnerne i NCSC samt fra internasjonale samarbeidspartnere. COVID-19-tematikk ble også benyttet i svindelforsøk mot norske mål i 2020.

Direktørsvindel – et eksempel fra samferdselssektoren

Virksomheten har gjennom Covid-19-perioden opplevd stor pågang av svindel, særlig via e-post.

«Et tilfelle vi hadde av direktørsvindel var profesjonelt gjennomført. Her hadde svindlerne gjort grundig forarbeid og med stor sannsynlighet kartlagt ansatte i administrasjonen. De hadde tilegnet seg informasjon om ansatte innen økonomi og controlling, personer som ikke er profilerte eller har gjort seg bemerket utad, men som likevel har et økonomisk mandat og tilganger til å gjennomføre økonomiske transaksjoner. Svindelen ble utført på en dag hvor adm.dir. kun periodevis kunne nås via mobil.

Økonomikontrollere spredt ut på hjemmekontor ble kontaktet med en e-post som tydeligvis kom fra en mobiltelefon. E-posten bestod av korte, presise og konkrete setninger hvor avsender (adm.dir.) ba om å få hastebetalt en faktura. Det var viktig at fakturaen måtte betales umiddelbart. Teksten og formen i e-posten var ikke ulik den form som kan bli benyttet av adm.dir. når e-post sendes fra mobiltelefonen. Det som avslørte svindelen var først og fremst at adm.dir. i selskapet ikke ville gått frem på denne måten. Det andre er at de interne rutinene for økonomistyring og fakturabetaling ville stoppet denne type betaling.

Saken ble raskt sendt til IT-ansvarlig som konstaterte svindel, og medarbeidere innen økonomi og regnskap ble informert om hendelsen. Adm.dir. konstaterte at han aldri hadde sendt en slik e-post og heller aldri kommer til å gjøre dette. Saken ble publisert på intranett for å vise at svindelsaker kan ramme virksomheten, og med formaning om varsomhet og nettvett. Saken ble oversendt IT-leverandøren innen sikkerhet som undersøkte saken. Hendelsen ble politianmeldt for å få registrert saken, og ble senere henlagt.»

Verdikjedene blir mer komplekse og avhengighetene mellom ulike ledd i verdikjedene øker i takt med digitaliseringsprosessen. Programvare- og tjenesteleverandører kan utnyttes av trusselaktører for å få innpass i systemene til selskapets kunder. Leverandørkjedeangrep, hvor aktøren rammer en tredjepart eller tilgrensende virksomhet, forkommer også i Norge. NSM observerer at virksomheter lengre nede i verdikjedene rammes av sikkerhetstruende virksomhet, enten som mål i seg selv eller som ledd i å nå mål høyere opp i verdikjedene. På bakgrunn av dette anser NSM det som sannsynlig at angrep på leverandørkjeder vil øke. Dette synet deles av aktører i flere sektorvise responsmiljøer. KraftCERT, eksempelvis, har håndtert saker som involverer produsenter og tredjepartsleverandører i både kraftbransjen og oljesektoren, og anser angrep via leverandørkjeder som en stor trussel.

Løsepengevirus- («ransomware») – et eksempel fra finanssektoren

En søndag høsten 2019 gikk kontorstøttesystemene til en finansiell virksomhet i Norge offline da de ble angrepet av en aktør som aktiverte ransomware. Virksomhetens kunde- og forretningssystemer ble ikke berørt av selve hendelsen da de var adskilt fra kontorstøttesystemene, men likevel reduserte hendelsen virksomhetens evne til å operere effektivt og betjene sine kunder.

Virksomheten hadde konsesjon fra Finanstilsynet, som blant annet medfører at de er pliktig til å følge IKT-forskriften for sektoren. Den stiller krav til å drive systematisk risikobasert sikkerhetsarbeid i henhold til god praksis, som inkluderer å ha gode rutiner og systemer for å håndtere avvik, med fungerende backup-rutiner. Disse tiltakene medførte at den totale nedetiden for virksomheten var begrenset. Hendelsen er et eksempel på at sikkerhetsarbeid etter god praksis fungerer.

NSMs Grunnprinsipper for IKT-sikkerhet er et godt utgangspunkt for videreutvikling av sikkerhetsarbeidet i alle sektorer og virksomheter.

[1] FCKS består av Forsvarets etterretningstjeneste, Politiets sikkerhetstjeneste, NSM og Kripos.

[3] Medieomtale fra 2020 viser at virksomheter som har blitt rammet er alt fra små familiebedrifter til store tjenesteleverandører og produsenter som for eksempel Garmin, Vard, Webmercs, Honda og Fresenius Kabi.