Fredag 12.5.2017 begynner det å dukke opp meldinger fra store deler av verden om et massivt angrep med ransomware i sentrum. Nå, et døgn senere, har angrepet spredt seg til rundt 100 land. Virksomheter som er rammet, spenner fra leverandører av datatjenester til fabrikker og sykehus.
Det spekuleres vilt, som det så ofte gjør på nettet. Hvem står bak? Hva er motivet? Som vanlig, er det mange som hevder å ha fasit på begge spørsmål. “Russisk hackerkollektiv, bruker software utviklet av amerikansk spionorganisasjon for å hevne USAs bombing i Syria” Uansett om det er sant eller ikke, er det en sexy overskrift på noe vi foreløpig vet ganske lite om. Jeg er mer opptatt av hvordan det er mulig og hva konsekvensen er, enn hvem som står bak og hvorfor. Mediene snakker om et angrep og på mange måter er det jo et angrep, men ikke av typen der man sparker inn dører og tar seg til rette. Dette er ikke innbrudd i datasystemer, der hackere sitter på utsiden og tar kontroll over servere, men en massiv utsendelse av e-poster med vedlegg som inneholder ransomware. Det dreier seg altså om et løsepengevirus, en særdeles slem og lei type programvare som har eksistert en stund. Det er som regel to måter å pådra seg denne typen virus. Nummer en og den mest utbredte er at du i god tro åpner et vedlegg som du har fått i en epost. Nummer to er at du besøker en side som er infisert og sleper viruset med deg tilbake til maskinen din. I dette tilfelle ser det ut som nummer en er distribusjonsmetoden. Vi snakker altså om et angrep som helt og holdent er avhengig av det finnes e-postmottakere som åpner vedlegg, eller klikker på linker. Det som så skjer er at programvaren aktiveres og at det lages nye krypterte versjoner av filene dine De filene du hadde der fra før slettes og nå dukker altså kravet om løsepenger opp. I dette tilfellet er det 300-600 US$ som skal betales for at du får filene dine tilbake. Selv om du betaler er det langt fra sikkert at du får filene tilbake i en brukbar stand. Har det først sluppet inn i nettverket ditt, vil løsepengeviruset kunne gjøre det samme med alle filer du har tilgang på. Det finnes gode tekniske løsninger som kan gjøre det veldig vanskelig for løsepengevirus å snike under radaren. Det finnes også gode tekniske løsninger som kan minimere skadene og stoppe spredning. Det er allikevel et fokus på sikkerhet og sikkerhetskultur hos sluttbrukerne som er det viktigste våpenet i kampen mot løsepengevirus og andre sikkerhetstrusler. Like viktig som å installere tekniske duppeditter og smarte programvareløsninger, er det altså å gi sluttbrukerne gode rutiner og god kunnskap om farer og trusler. Ikke minst må det være fokus på totale løsninger som fungerer i en hektisk og stressende hverdag. Man kan mene hva man vil om hvilke politiske motiv som driver dette angrepet. For meg ser dette ut som en gigantisk vinningsforbrytelse med mulige politiske undertoner. Selv om løsepengekravet er på magre 300-600 US$ pr. maskin, er det snakk om hundretusenvis av mulig infiserte datamaskiner i mer enn hundre land. Betaler 10% av disse, er det en ganske heftig lønningsdag for bakmennene. Så hva oppnår man med dette bortsett fra kontanter i kassa? Et angrep på denne størrelsen sprer såklart både frykt og ubehag. Selv om vi i datasikkerhetsbransjen har snakket om denne typen angrep i lengre tid, blir det for de fleste virkelig og nært, først nå. Et slikt angrep kan også bidra til å svekke den alminnelige borgers tillit til myndigheter og offentlige etater. Når sykehus må avvise pasienter og utsette operasjoner, har myndighetene feilet totalt med å ivareta pasientenes sikkerhet. Så er det så klart en økt kostnad for samfunnet. Det å rydde opp i dette kaoset blir så absolutt ikke en rimelig affære. Det er på tide at vi stiller krav til myndighetene og offentlige etater. Det finnes mange flinke og kompetente folk som jobber i IT-avdelinger i det ganske land, som blir ignorert når de melder fra om potensielle farer. Det finnes sluttbrukere av datasystemer, som for eksempel i helsevesenet, lever i en så hardt pressa hverdag, at datasikkerhet er det siste de tenker på. Det er på tide at politikere, direktører, sjefer, ledere og mellomledere faktisk hører på den kompetansen de har tilgjengelig, uansett om det er en IT-ansatt, NSM, NSR eller fagfolk generelt. Hvis ikke, kommer den tillit vi viser dem til å smuldre hen i takt med angrep på vår sikkerhet. Les mer om saken hos NRK
0 Comments
Det første jeg tenker på når noen sier at et valg har blitt “hacket”, er at noen har lykkes å manipulere datamaskiner som brukes til å avgi, eller telle stemmer. At en fremmed makt, pengesterke industrier eller et av partiene i en valgkamp, kan de fleste se for seg. Til tross for flere påstander om at slike ting har skjedd, har svært få tilfeller, om noen, blitt bekreftet fra seriøst hold.
Når vi i dag snakker om at valg blir hacket, er de helt andre ting man refererer til. I det amerikanske presidentvalget i 2016, lakk det ut data fra kretsen rundt Hillary Clinton. I det franske presidentvalget for noen dager siden, skjedde det som nå har fått sin egen hashtag MacronLeaks. Tusenvis av e-poster med vedlegg som dokumenter og bilder, ble hentet ut i en hackerkampanje rettet mot personer i Macrons stab. Flere fikk både sine offisielle og private e-postkontoer hacket. Det dreier seg om drøyt 9GB med data som nå deles via ulike fildelingsplattformer. Det spekuleres nå rundt hvem som sto bak og hva man ville oppnå. Marcons rådgivere er skråsikre på at uansett hvem det er som står bak, ønsket de å skade demokratiet. At de som står bak hacking ønsket å skade Macron og partiet “En Marche!” er nok mer sannsynlig. Hverken Macron, “En Marche!” eller det franske demokratiet, har sett ut til å ta nevneverdig skade av lekkasjen. Det virker derimot stadig klarere at politikere bør tenke seg om både en og to ganger, før de sender saker og ting i digitale kanaler. Så hva kan man oppnå ved å hacke en haug med e-postkontoer i en valgkamp? Hva ønsker man å finne? Svaret er enkelt; man leter etter informasjon. Informasjon er makt og et hack kan avdekke informasjon man kan bruke til å påvirke velgere. Det kan dreie seg om avtaler gjort bak lukkede dører, personlige affærer som hindrer en i å utøve et politisk verv, snusk, grums, dumheter og så videre. Å bli utsatt for et hack er så klart en ubehagelig opplevelse. Man regner kommunikasjonen som trygg og man uttrykker seg kanskje annerledes innad i en gruppe, enn man gjør i full offentlighet. Et hack kan også brukes som verktøy for å vise noens sårbarhet, eller svekke deres troverdighet. Hvis de ikke klarer å passe på e-postene sine, hvordan kan de styre et land? Politisk drittkasting er absolutt ikke noe nytt fenomen, man har bare bedre verktøy få finne møkka og spre den. Det finnes så klart ting du kan gjøre for å sikre den nettrelaterte kommunikasjonen din, likevel velger vi ofte det lettvinte foran det sikre. Her følger 5 råd til vår politikere foran det forestående stortingsvalget:
Den siste tiden har NRK og andre medieaktører avslørt store mangler i sikkerhetstenkning rundt drifting og lagring av data. Det synes som om både offentlige og private aktører lever i en rosa lykkeboble av uvitenhet rundt hva som kreves for å holde viktige og sensitive data trygge.
Å flytte data fra norske datasentre til datasentre hos utenlandske aktører er problematisk av flere grunner. Lagring av sensitive data reguleres av lover og regler. Det offentlige bør gå foran som et godt eksempel, snarere enn å være verst i klassen. Personvern bør bety mye for offentlige aktører. De siste dagene har mediene vært preget av en særdeles stygg sak. Helse Sør-Øst har inngått en avtale HPE om lagring og drifting av pasientdata. 2,8 millioner mennesker er berørt. Drøyt 100 utenlandske IT-arbeidere har i kortere og lengre perioder hatt tilgang til pasientdata. Teknologidirektør Thomas Bagley i Helse Sør-Øst benektet at dette var tilfelle. NRK sitter derimot på overveldende bevis for at dette er tilfelle og det er mye som skurrer i Helse Sør-Østs håndtering av saken. NSM (Nasjonal Sikkerhetsmyndighet) har uttrykt at det ikke er mulig å sikkerhetsklarerer personer fra landene som skal være involvert på vegne av HPE. Det dreier seg om land som Bulgaria, Malaysia og India. Bare her burde varselklokkene ringe for direktørene i helseforetaket. For en som meg, som jobber med sikkerhet, er det nesten umulig å forstå hvordan beslutningstakere i Helse Sør-Øst kan ha trodd at de hadde kontroll på denne situasjonen. Drifting av store mengder data er ofte ekstremt komplekse operasjoner. Loggene som NRK har fått ta del i, viser at mer enn 100 arbeidere har hatt nærmest ubegrenset tilgang til dataene det er snakk om. Administratorrettigheter gis ikke for å begrense en bruker, tvert om. Å tro at man har full oversikt over hva en gruppe mennesker med denne typen rettigheter foretar seg, er en ren utopi. Er det mangel på kunnskap eller ren arroganse som får ledelsen til å hevde de har kontroll? Fra et bransjeperspektiv representerer denne utflaggingen flere problemer. For det første, skulle man tro at det offentlige har behov for at vi opprettholder en viss standard på infrastruktur innen samfunnskritiske oppgaver. Helse må vel i høyeste grad anses for å være en av dem. Flagger vi ut, mister vi viktig kunnskap, kompetanse og ikke minst arbeidsplasser. For det andre sender det et uheldig signal til et fagfelt som utvikler seg raskere enn noe annet. Er det bare pris som gjelder? Hva med å være “selvforsynt” med gode stabile tjenester som holder en høy kvalitet og er i samsvar med lover og regler. Burde ikke det prioriteres? Jeg skjønner at Helse Sør-Østs egne IT-eksperter er sinte, frustrerte og skremte. Jeg fatter hvorfor de snakker med mediene og viser fram de overtrampene som har blitt begått. Jeg er ganske sikker på at HPE-kontrakten har vært oppe til diskusjon og at mange kloke hoder har påpekt farer og utfordringer uten å bli hørt. Det er respektløst både mot de som prøver å gjøre jobben sin, men også mot 2,8 millioner pasienter som ikke har fått sin rett til personvern ivaretatt. Vi snakker ofte om digital dømmekraft og digital kompetanse. I dette tilfellet har ledelsen i Helse Sør-Øst bevist at de ikke er i besittelse av noen av delene. Les mer om saken her (link til NRK) |
AuthorLars Ludwig Sandell har bred erfaring fra internasjonalt arbeid innen IKT og medier. I 2010 ble Sandell kontrakert som ekspertrådgiver innen medier og interaktive medier for EACEA Archives
April 2020
Categories
All
|