Jurister
er målgruppe for datakriminelle – Dette gjør du for å verne deg mot angrep

– At jurister og advokater kan være målskivefor datainnbrudd så vi helt spesielt i fjor sommer, i et stort angrepsom var grundig forberedt og målrettet for å få tak i informasjonfra norske selskaper. Eposter med virus, eller skadevare, gikk helt konkretmot en del store advokatfirmaer, og vi så hvordan angriperne påforhånd hadde kartlagt de advokatene i de enkelte advokathus somjobbet for oljeselskaper, sier avdelingsdirektør for Operativ Avdelingi Nasjonal sikkerhetsmyndighet (NSM), Hans Christian Pretorius tilJuristkontakt.

Angriperne hadde samlet inn litt over600 epostadresser i Norge på relevante personer, og målet var selskaperi norsk olje- og gass-sektor. 50 norske bedrifter ble bekreftetutsatt for det avanserte og kraftige dataangrepet, som også rammetandre olje- og gasselskaper i Nord-Europa og i USA og Canada.

– Angriperne tok i bruk såkalt spear phishing– eposter direkte rettet mot personer som kunne ha informasjon devar ute etter. Mottakerne fikk en epost som så relevant ut for dem,og når det ser ekte ut, oppleves å være til deg og er relevant fornoe du skal gjøre eller gjelder noe du har meldt deg på, så er detnaturlig å åpne det man får i eposten, sier Pretorius.

Undersøkelser skal ha vist at dataangrepetble utløst i, eller attribuert til, Russland i åpne kilder. Noenav epostmottakerne fikk en epost med et innhold som utga seg for åvære invitasjon til en internasjonal konferanse om energi og miljø,som ble holdt i Madrid sist sommer. En word-fil inneholdt programmetfor konferansen og så genuint ut, men hadde i seg også skadevaresom i neste rekke ville gi angriperne tilgang til datamaskinene.

Nasjonal Sikkerhetsmyndighet drifter etvarslingssystem bestående av sensorer plassert foran brannmureni viktige samfunnsinstitusjoner og hos bedrifter som betaler fordenne sikkerheten. På et operasjonssenter på Bryn i Oslo, overvåkerNSM om det opptrer noe uvanlig i datatrafikken til og fra dissebedriftene. Da alarmen gikk i fjor sommer, varslet NSM 550 bedrifterom hvordan de skulle oppdage hackerangrepet. Tross det store omfanget,har sikkerhetsmyndigheten ikke indikasjoner på, eller fått tilbakemeldingom, at hackerne klarte å komme seg forbi selskapenes sikkerhetssystemerog nettverk, som på dataspråket kalles å ha blitt kompromittert.

Også en del finansinstitusjoner ble forsøkthacket.

– Vi så at de meglerne og de som jobbetopp mot oljebransjen fikk denne eposten. I slike tilfeller må angriperneha gjort en stor innsamlingsjobb på forhånd, for å kunne sende målrettetepost med til synelatende relevant innhold for mottakerne. Når vedleggeti eposten er åpnet og viruset installert, så kan angriperne sendeinn skadevare med ulik funksjonalitet, men de begynner ofte meddet vi kaller en keylogger. Det gjør at alt du taster på tastaturetditt blir sendt ut igjen, til angriperne. For dem er det en godstart. Da får de nemlig tak i alt av brukernavn og passord som vedkommendehar, og kan deretter logge seg på «legitimt», for eksempel via personeneshjemmekontorløsning. Og så er det bare å begynne å hente ut informasjon, sierPretorius.

Han mener den gamle troen på at man ertrygg dersom man holder seg til rådet om å la være å åpne vedleggi eposten, ikke lenger er holdbar.

– Epost fra de dyktigste hackerne er sådirekte rettet, og oppleves så ekte og relevant, at det ikke ergrunn til å unnlate å åpne den. Hvis du har meldt deg på et seminar,og du får tilsendt seminarets program som vedlegg, så finner manjo ingen grunn til å ikke åpne det, sier Pretorius.

–Bevisstheten bør økes

Han forteller at NSM også registrereren annen alvorlig tendens i dataangrep enn angrepet mot olje- oggassbedrifter sist sommer.

– Det er en ganske kraftig økning i industrispionasjei Norge. Vi ser at de går målrettet for å få ut informasjon frabedrifter og institusjoner innen forskning og utvikling, og at deofte retter seg mot høyteknologi. Vi ser også at de jakter på informasjonfra personer som sitter i forhandlingsposisjoner. De som utformerkontraktutkast. Og der sitter juristene sentralt. Da er de likeinteressante som bedriften selv, når det gjelder å få tak i dentype informasjon, sier Pretorius.

Han peker også på at for eksempel advokaterikke sjeldent er å finne i styreverv, og at en og samme person kanha veldig mange styreverv.

– De som sitter i styreverv flere stederer jo lite interessert i å løpe rundt med flere pc-er, noe som gjørat ulike styremøtereferater og styreinnkallinger fra flere selskapersamles på ett sted. Det gjør at mye informasjon kan være samletpå ett sted, og øker behovet for å tenke sikkerhet med tanke pådatainnbrudd, sier Pretorius som forteller at faren for å bli frastjåletinformasjon øker når informasjonen flyttes og sendes mellom ulikedatamaskiner og nettverk.

– Det finnes forhåpentligvis et it-regimesom håndterer it-sikkerheten i bedriften, men hver enkelt bør hafokus på i hvilken grad man benytter utstyr som bedriften har gittdeg. Risikoen er i stor grad knyttet til hvordan du håndterer detdu jobber med. Hvis du jobber med et dokument på jobben og velgerå sende det hjem på for eksempel gmailen, så du kan ta tak i detigjen på kveldstid. Eller kanskje tar du meg deg informasjonen påen bærbar pc, som har enormt med sårbarheter og er hva jeg vil kalleverstingen når det gjelder datasikkerhet i dag. Når informasjonenbegynner å flyte mellom ulike plattformer er det lite it-ansvarligkan gjøre, men da har du en utfordring du kan gjøre noe med selv,sier Pretorius.

Han mener bevisstheten rundt hva hverenkelt jurist faktisk kan ha av verdifull informasjon bør økes betydelig.

– Hva bør jurister være bevisste på, forå kunne beskytte seg?

– En fellesnevner for mange bransjer,og som jeg mistenker også treffer jurister, er at man har en ganskedårlig bevissthet på hva man faktisk sitter på av informasjon somandre kan være på jakt etter. Tenk igjennom om hvorvidt det jegfaktisk har på den bærbare pc-en jeg har med meg på trikken, t-banen,bussen – stresser rundt med – og kobler meg litt opp på en trådløsher – og jobber litt med der – har stor verdi eller ikke.

– Jeg har også en mistanke om at det ermange jurister som jobber mye, og at de kombinerer dette med å jobbefra mange steder. Noe som betyr at du jobber på kontoret, så tardu ofte med deg litt jobb hjem, eller du tar det med på hytta. Oginnimellom finner du et trådløst nettverk der hvor du spiser lunsj,fordi du må håndtere ett eller annet. Når du kombinerer mobilitetenmed mye arbeid, og det å være veldig «på», så øker utfordringen,sier Pretorius.

Han utpeker åpne, trådløse nettverk somnoe man bør unngå om man har sensitiv informasjon på den bærbarepc-en. Dersom nettverkets «eier» har uærlige hensikter, så kan informasjonensom passerer gjennom dette nettverket plukkes opp og lagres. Pretoriuspeker på mobilen som en løsning, dersom man trenger et trådløstnettverk på farten, utenfor jobben.

– Så langt er mobiler noe av det tryggestevi har. Det finnes skadevare også for den, men i svært begrensetomfang og de hackes svært sjeldent.

– Det å ha et forhold til bruk av trådløstnett utenfor kontoret er viktig. Sett opp mobilen til å dele utet trådløst nettverk du har kontroll på, og som du kan koble degtil med den bærbare pc-en. Da reduserer du faren for at noen skalstjele informasjon fra nettverket ganske betydelig, sier Pretorius.

–Oppgrader pc-en

Avdelingsdirektøren peker på kontinuerligoppgradering av programvaren på pc-en som svært viktig for å sikreseg mot datainnbrudd.

– Hundre prosent av de målrettede dataangrepenevi har sett i Norge har kommet via epost – og de bruker bare kjentesårbarheter. Skadevaren som kommer med eposten, hadde ikke virkethvis pc-en hadde vært oppgradert, eller patchet. Hackerne trengertid på å finne sikkerhetshull i programvaren, og når produsententetter disse jevnlig er risikoen størst for pc-er som sjeldent oppgraderes,sier han.

En bærbar pc som ikke oppgraderes jevnligkan derfor være full av sikkerhetshull, som hackernes skadevarekan utnytte. Og hackerne står virkelig på for å komme inn.

– Vi har sett at det går bare fra 7 – 10dager fra en oppgradering er sendt ut, til trusselaktørene har lagetny skadevare som kan trenge gjennom, sier Pretorius.

NSMs erfaring er at hjemme pc-er blirsikrere og sikrere, mens standarden på datasikkerhet i bedrifterkan være svært varierende.

– I følge tall fra Microsoft, ligger Norgei toppsjiktet i verden blant land som har minst piratkopiering ogsikkerhetshull på hjemme pc-ene. Det henger trolig sammen med atnordmenn kjøper sine pc-er på butikk, med lisensiert programvare. Samtidigkommer alle leverandørene hos Microsoft i mye større grad med automatiskpatching – eller oppgradering. Du får beskjed om at når du starteropp pc-en, så må du kjøre oppgraderingen for å komme videre. Detgjør at hjemme pc-delen blir bedre og bedre, sier Pretorius.

Noe annet er det imidlertid i en del bedrifter.

– Pc-er som står i et kontormiljø håndteresav driftsansatte, som må ta hensyn til for eksempel at bedriftenhar et eller annet gammelt regnskapssystem eller saksbehandlingssystemsom ikke tåler en oppgradering, for da slutter det å virke. Så måde holde igjen på oppgraderingsversjoner, og da blir man sårbar.Så sånn sett er det pussig i Norge – det er to grafer – Norge somnasjon – og da det store volumet av alle vi som har pc-er hjemme,der det blir bedre og bedre. Samtidig som de målrettede angrepenemot Norge, og særlig norsk industri – går rett til værs.

Pretorius mener det vil være en umuligoppgave for bedrifter å være hundre prosent beskyttet mot dataangrep,og at det er vel så viktig å være bevisst på å beskytte informasjonsom andre kan være ute etter.

– Hvis du jobber med dokumenter i forhandlingssituasjoner,eller utformer kontrakter i et internasjonalt marked, så er risikoenabsolutt høy for at noen er på jakt etter den informasjonen. Ogdet er jo ikke tvil om hvilken ulempe det vil være om informasjonenkommer til den andre siden. Du lykkes jo ikke i en forhandlingsposisjon hvismotparten til enhver tid vet hva du har tenkt å stille opp med.Det å innse at det blant de store aktørene der ute aktivt brukesslike metoder i forkant av store forhandlinger, tror jeg er en viktigbevissthet. Og jeg tror nok graden av industrispionasje er betydelighøyere enn man både har et bilde av, og som man opplever er tilstedei dag, sier Pretorius.

Han mener det er viktig å selektere sakerog iverksette tiltak ut fra hver enkelt sak man jobber med.

– Det kan være å bestemme seg for at nårjeg jobber med den klienten eller med den saken – så dedikerer jegen bærbar pc til det – som jeg holder unna nett for eksempel. Ellerjeg lager meg et kryptert filområde på pc-en hvor jeg holder deviktige dokumentene eller bestemmer meg for at jeg i denne sakenikke bruker vanlig epost når jeg kommuniserer med klienten min ogi stedet tar det på papir. Eventuelt at man blir enige om å brukeen såkalt PGP-nøkkel, som er en form for kryptering av informasjonensom utveksles. Det er ikke så forferdelig mye som skal til, og dethandler om å kjenne verdien av den informasjonen man har. Alle bedrifterhar ganske sikkert mengder med informasjon som er uinteressant ogsåfor de utenfor. Samtidig som det er informasjon som det vil værelovbrudd å ikke sikre, fordi det kanskje er børssensitivt, ellerdet kan være veldig sensitiv informasjon i forhold til klientene.Derfor handler det kanskje i første rekke om å være bevisst på ihvilke saker du bør gjøre noe, og hvor du ikke trenger å gjøre noe,sier Pretorius.

–Heng passordet på veggen

NSM mener det er liten grunn til å fryktedataangrep som gjøres bare for å påføre bedrifter skade.

– Blant alle de aktørene vi ser, har viikke sett noe eksempel på at de har hatt til hensikt å ødeleggenoe. De har heller ikke til hensikt å endre informasjon. De harbare ett mål, og det er å gå under radaren – ikke bli oppdaget forså sakte og rolig kopiere det de trenger. For deretter å ta detmed seg – under radaren – ut igjen. Det er målet med operasjonen,og ingenting er bedre for dem enn det. For da har de fått seg et fotfestepå den «klienten», og da kan de – når de måtte ønske det i framtiden– rusle inn igjen og hente mer.

For den som jobber hjemmefra med stasjonærhjemme-pc, utgjør korte og hyppig brukte passord den største risikoen,i følge Pretorius.

– Vi har sett i noen av de målrettedeangrepene, hvordan trusselaktørene prøver alle mulige tenkeligeveier inn. Jeg har sett eksempler hvor de fant fire, fem brukernavn ogpassord på en internettserver, som ofte ligger langt fram og erlettere tilgjengelig. Da ser vi hvordan de tar disse passordeneog bruker dem, for eksempel ved å prøve dem mot hjemmekontorløsningentil et objekt. Har de flaks, så bruker folk samme brukernavn ogpassord flere steder.

– Det er en utfordring med hjemme pc-løsningen.Få låser den med brukernavn og passord, og din egen hjemme-pc erdu vanligvis administrator på, og har vanligvis alle rettighetertil, slik at du for eksempel kan installere eller avinstallere programmer.Hvis angriperen først kommer inn på pc-en, kan vedkommende gjøresom han eller hun vil, sier Pretorius.

Han forteller videre at det finnes mangeeksempler på at brukernavn og passord som personer bruker, på bådeFacebook og Linkedin, også er det passordet som brukes på hjemmepc-en.

– Da har du senket terskelen veldig forå komme inn på pc-en. Men det er helt naturlig at folk bruker sammepassord. Det er jo så godt som umulig å håndtere ulike og langeog vanskelige passord på alle steder du skal logge deg inn. Samtidighar det vært så mye snakk om at man ikke bør skrive ned brukernavnog passord. Mitt råd er – gjør det! Skriv opp brukernavn og passordpå en stor lapp og heng det godt synlig ved hjemme pc-en din. Deter faktisk slik at de trusselaktørene som driver med industrispionasje,eller som er ute etter å hacke pc-en din, de er ikke hjemme hosdeg. Så kan du heller akseptere å ha litt lenger og vanskeligerepassord, og flere av dem. Men da må de henge godt synlig hjemmesier Pretorius som har erfaring fra IT-sikkerhet i både offentligog privat sektor, inkludert politiet og Etterretningstjenesten.I privat sektor har han jobbet innen olje- og gassbransjen.

Sårbarheter

I fjor varslet og håndterte NSM totalt88 alvorlige dataangrep, mot 51 i 2013. Flesteparten av angrepenehadde som formål å stjele informasjon fra datasystemene til storeeller viktige norske bedrifter eller virksomheter. NSM håndtereren lang rekke andre IKT-sikkerhetshendelser på nett. I fjor håndtertesikkerhetsmyndigheten totalt 5069 saker manuelt. Håndteringen bleofte gjort ved å varsle nasjonalt eller internasjonalt, foreta manuellanalyse av hendelser og blant annet å be om bistand.

I tillegg til det massive angrepet motbedrifter i olje- og gass-sektoren, avdekket NSM også alvorligesårbarheter i norsk vannforsyning i 2014. Sårbarhetene kunne i verstefall gitt uvedkommende mulighet til å lamme vannforsyningen. Ogsåflere andre europeiske land rammes av dataangrep. I følge en rapportfra tyske Bundesamt fur Sicherheit in der Informationstechnik (BSI),førte et dataangrep mot et tysk stålverk til alvorlige skader i2014. Dataangrepet førte blant annet til at en av ovnene ved stålverketikke lenger lot seg kontrollere.

Dette fremgår av rapporten «Risiko 2015»,som er gitt ut av NSM. I rapporten heter det også følgende:

«Sikring av sensitiv informasjon er enutfordring. Sikring av sensitiv men ugradert informasjon kan foreksempel være personellinformasjon i et selskap, børssensitiv informasjon,eller informasjon om helsetilstanden til en pasient ved et sykehus. Detteer informasjon som av ulike grunner bør skjermes for utenforstående.For den enkelte virksomhet og saksbehandler er det trolig utfordrendeå ha oversikt og behandle informasjonen riktig. I dag er det lagretstore mengder av denne typen data i norske IKT nettverk, ofte merenn det virksomhetene selv er kjent med. Det finnes en rekke eksempler,både fra Norge og utlandet, på at ugradert men sensitiv informasjonhar blitt stjålet eller på annen måte kommet på avveie.

Også menneskelige sårbarheter er en utfordring.NSM har ved flere tilfeller sett at sikkerhetsgradert informasjoner lagret eller kommunisert på usikre systemer og internett. Teknologisom setter oss i stand til å overføre enorme mengder informasjon vedhjelp av få klikk, innebærer også en risiko for at mye informasjonkan bli kompromittert som følge av en feil, i verste fall uten atfeilen blir oppdaget».