Nyheter

SJEKKER TRUSLER: Jørgen Botnan er seksjonssjef i Nasjonal sikkerhetsmyndighet, og holdt foredrag på Sikkerhetskonferansen 2023.

Cybertrusselen fra Russland og Kina bekymrer: Disse ni tingene gjør «alle» feil

Mange bruker passordene sine til å baksnakke sjefen. Det kan gjøre Norge sårbart.

Denne artikkelen er over ett år gammel og kan inneholde utdatert informasjon.

Fra 2019 til 2021 var det en tredobling i alvorlige cyberoperasjoner mot norske myndigheter og virksomheter, og Nasjonal sikkerhetsmyndighet (NSM) ser ingen grunn til å hvile på laurbærene med tanke på fremtidige angrep.

Tips oss:

Har du tips eller innspill til denne eller andre saker? Send oss en e-post på: tips@fofo.no eller ta direkte kontakt med en av journalistene.

Seksjonssjef og «sjefshacker» Jørgen Botnan i NSM er ansvarlig for å utvikle Norges nasjonale kapasitet innen inntrengingstesting, og forteller at det han snakker om egentlig er «ganske kjedelige greier», fordi ingenting er nytt. Norske bedrifter og organisasjoner sliter fortsatt med de samme sikkerhetshullene som vi har gjort i mange år.

Det er det som er problemet.

Botnans jobb går blant annet ut på å teste norske bedrifters systemer for risikohåndtering. Fysiske, digitale, administrative og menneskelige sårbarheter skal opp og frem i lyset.

– Sårbarhetene handler alltid om mennesker og hvordan vi forholder oss til sikkerhet. Når vi gjør de fysiske tingene, er det mye lettere å forstå. Det er lett å skjønne at vi klatret over et gjerde, eller at kloakkummen ikke er sveisa igjen, men når det handler om IKT er det mye vanskeligere for den menneskelige hjerne, sier Botnan.

Sårbarheter

I juni i fjor gikk den russiske hackergruppen Killnet til angrep på flere norske virksomheter. Forsvarssektoren ble også forsøkt angrepet.

Killnet meldte selv på Telegram at angrepet var en reaksjon på at norske myndigheter avslo Russlands søknad om passasje av varer til russiske bosettinger på Svalbard, gjennom grenseovergangen på den russisk-norske grensen ved Storskog i Finnmark.

NSM skriver i sin risikovurdering at kartlegging kan peke fram mot flere cybertrusler i framtida. Der er det flere ting som «brenner».

Ni sårbarheter

1. Svake passord (Mars2023 o.l.)

2. Passordgjetting mot Active Directory («spraying» av flere passord mot mange kontoer, f.eks.)

3. Uendrede standardpassord (admin)

4. Passord mm. lagres ubeskyttet eller deles av mange

5. Gamle, inaktive administratorkontoer

6. For høye rettigheter hos for mange brukere og for bred bruk

7. Sårbar og utdatert programvare

8. Ikke-støttede operativsystemversjoner

9. Mangelfull segmentering

– Gammel programvare og arv. Det er et stort problem i mange sektorer. Når man implementerer en kryptoløsning i dag, så kan du ikke tenke et halvt år fram i tid. Om fienden tar opp det du sender nå, må du tenke på hva de kan dekryptere om 20 eller 30 år. Det betyr at utstyret må leve veldig lenge, sier Botnan.

Han nevner særlig helsesektoren, Forsvaret og våpensystemer og prosessindustri som eksempler på sektorer som treffes av dette.

– Det er dyrt utstyr, og man kan ikke bytte det ut ofte. Vi snakker kanskje at du må ha det samme utstyret i 50 år, i ytterste konsekvens. Det må du ta høyde for.

Flere sitter på gamle operativsystemer, som ikke lenger oppdateres og heller ikke kan kjøpes. Såkalt «end-of-life».

– Da vet du med 100 prosent sikkerhet at de er sårbare. Får fienden tilgang til en Windows XP-maskin, for eksempel, klarer de å ta seg inn i den. Det er helt sikkert. Da må systemet innkapsles i noe robust. Se på det som en skjør liten blomst, for det er ikke i stand til å forsvare seg selv.

!JegH4t3rSjef3n

På det menneskelige og feilbarlige planet er det ganske enkelt: Mennesker klarer ikke å lage passord. For eksempel, når det nå nærmer seg sommer, finner Botnan og gjengen omtrent uten unntak en variant av Sommerferie2023, når de går gjennom passordene til bedriftsmedarbeidere.

– En annen ting er at det er mye stygge ord. Alt fra at du hater sjefen og den og den er en drittsekk til «på fredag blir det kokain», sier Botnan.

De finner alt fra sprit, narko og passiv-aggressive tendenser, til fotballag og nabofirmaet som du kan se ut av vinduet i passordene de sjekker.

– Det kan være litt, i mangel av et bedre ord... kleint å se hva folk bruker. Det er mye barnslig. Jeg er veldig nøye med å skjerme det, om det er mulig å identifisere hvem som har laget passordet, legger Botnan til.

Implementering av totrinnsløsninger gjøres, i tillegg å lage passord med flere ord eller forbokstavene i en lang setning kan være med på å gi bedriften tryggere grunn å stå på, sier han.

Powered by Labrador CMS