– Det er enklere å angripe enn å beskytte seg

Sjef Etterretningstjenesten Nils Andreas Stensønes i forbindelse med fremlegging av årets åpne trusselvurdering. Foto: Torbjørn Kjosvold / Forsvaret

Løsningen på cyberproblemene vi har i dag er ikke flere og mer skadelige angrep, men bedre forsvar.

Av: Simen Bakke, senior informasjonssikkerhetsrådgiver og fagprofil i UTSYN

Sjefen for Etterretningstjenesten, Nils Andreas Stensønes, uttalte under fremleggelsen av den årlige trusselvurderingen i Oslo Militære Samfund at skillet mellom offensive og defensive metoder ikke kan forstås som adskilte og statiske. Spesielt i det digitale rom blir dette skillet svært kunstig. Stensønes har et godt poeng i sin påstand. Likevel fortjener utsagnet nyansering da verden sjelden er sort-hvit.

I sin groveste form kan man skille mellom offensive angrepsmetoder hvor en trusselaktør aktivt utnytter sårbarheter i et IKT-system og defensive forsvarsmetoder hvor hensikten nettopp er å redusere de samme sårbarhetsflatene.

Forsvarsmetoder

Det eksisterer også mer offensive forsvarsmetoder som for eksempel penetrasjonstesting eller såkalt «etisk hacking» hvor virksomheten selv tester ut sine sikrings- og forsvarsmekanismer. Men også her er hensikten å redusere sårbarhet; altså å gjøre det vanskeligere for angriperen å tilegne seg urettmessig innpass i IKT-systemet.

Skillet mellom offensive og defensive metoder er i en slik sammenheng ikke spesielt kunstig, men snarere er det et viktig språklig skille nettopp for å tydeliggjøre hva som er hensikten med de ulike aktivitetene.

De er begge grove kategorier av ulike fremgangsmåter for styrke både stats- og samfunnssikkerheten, men er likefullt metoder som har ulik innretning, ulike formål og ulikt juridisk og ikke minst etisk grunnlag.

Angrepsmetoder

De siste tiårene og spesielt etter 9/11, har det fra flere staters side vært stort fokus på utvikling og bruk av offensive angrepsmetoder i cyberdomenet. Hensikten har naturligvis vært å avdekke og innhente informasjon om trusselaktører, enten de har vært brukt mot terrorister på bakken eller spionasje på fremmede staters IKT-systemer.

Utfordringen i dag er imidlertid at de offensive angrepsmetodene nå begynner å treffe våre samfunn som boomeranger.

Metoder, teknikker og skreddersydd programvare for angrep som tidligere var forbeholdt de få, er nå tilgjengelig for enhver med litt over middels intensjon og kapasitet. Det er denne utviklingen som i dag skaper utfordringer for vårt høyt digitaliserte samfunn.

I et samfunn der mange av statens viktigste verdier er flyttet fra papirpermer og nøkkelsafer til binære tallkoder, blir forsvarsmetodene, enten disse er av offensiv eller defensiv art, desto viktigere.

De offensive angrepsmetodene med aktiv utnyttelse av sårbarheter beskytter ikke IKT-systemer. Snarere tvert imot. Så lenge sårbarhetene eksisterer kan de utnyttes av hvem som helst; enten dette er politimyndigheter, etterretningstjenester, kriminelle eller «script-kiddies».

En avansert aktør som avdekker en kritisk sårbarhet i maskinvare eller programvare har valget mellom å varsle produsenten for å «lukke» sårbarheten, eller aktøren kan holde kunnskapen om sårbarheten for seg selv slik at de senere kan utnytte den i et fremtidig angrep. Lukkes den ikke, kan det potensielt føre til krise for alle som benytter den aktuelle program- eller maskinvaren.

Det er her noe av den pedagogiske utfordringen inntreffer ved å omtale skillet mellom offensive og defensive cybermetoder for kunstig. De aller fleste som jobber med IKT-sikkerhet eller cybersikkerhet i statlig eller privat sektor driver med ulike former for forsvarsmetoder. Mange av defensiv art hvor hensikten er å beskytte et IKT-system fra angrep og ulike former for uønsket påvirkning, enten det er kriminelle aktører eller statlige etterretningstjenester som står bak.

Det lille fåtallet som legitimt driver med offensive angrepsmetoder i Norge har rettslig adgang med hjemmel i et særskilt lovverk, slik som politiet og Etterretningstjenesten.

Alternativet er at man simulerer dataangrep mot virksomheter som har samtykket til dette, for å teste forsvarsverket.

Det meste annet er å anse som ulike former for kriminalitet eller brudd på folkeretten.

Ikke prioritert

Sett i sammenheng med den omfattende digitaliseringen av Norge, er det ikke en kontroversiell påstand å hevde at den defensive IKT-sikkerheten i samfunnet totalt sett er underprioritert. Dagens trusselbilde med flere alvorlige hendelser hos sentrale samfunnsinstitusjoner som Stortinget og Helse Sør-Øst, er langt på vei en bekreftelse av påstanden. Generelt sett har det blitt for enkelt å angripe og mange henger etter når det gjelder å beskytte seg.

Dersom man samtidig tar innover seg at både samfunnssikkerheten og statssikkerheten i konteksten av totalforsvaret avhenger av en rekke ulike sivile og militære aktører, som selv står ansvarlig for å sikre egne IKT-systemer, er det en logisk slutning å trekke at forsvarsmetodene, både de defensive og de offensive, er avgjørende viktige for at vi lykkes i å sikre vårt digitale samfunn.

Med defensive forsvarsmetoder er det imidlertid fort gjort å tenke passive barrierer, sikring og beskyttelsestiltak. Defensiv IKT-sikkerhet må også innebære aktiv og målrettet overvåkning av IKT-systemer og nettverkstrafikk. Dette kan utføres både med lokale og sentraliserte tilnærminger. Den lokale tilnærmingen er ofte best egnet til å ha oversikt over aktivitet nært tilknyttet organisasjonen, dens verdier og sårbarheter i det aktuelle IKT-systemet. Altså utført av personell tilknyttet virksomheten selv. Den mer sentraliserte tilnærmingen er egnet til å avdekke avanserte trusselaktørers operasjonsmodus, og må derfor supplere den lokale overvåkningen.

Tilrettelagt Innhenting (TI) eller Digitalt Grenseforsvar (DGF) er et virkemiddel som har til hensikt å bidra med sentralisert innsamling for å tilgjengeliggjøre store datamengder for analyse av Etterretningstjenesten. En utfordring er at innsamlingen ifølge EU-domstolen ikke er målrettet, og bryter derfor med EUs kommunikasjonsdirektiv. Innføringen er nå stanset.

Det betyr imidlertid ikke at vi i dag er uten sentraliserte former for overvåkning av nettverkstrafikk.

Kritisk infrastruktur

Nasjonal sikkerhetsmyndighet (NSM) drifter varslingssystem for digital infrastruktur (VDI). NSM oppgir selv at de har sensorer utplassert hos virksomheter som anses som kritisk infrastruktur i Norge. Dette er sentralisert og målrettet overvåkning som supplerer den lokale overvåkningen som virksomhetene selv står for. Hvorvidt dette, i kombinasjon med alle de private aktørene som bistår med liknende overvåkning, er tilstrekkelig i lys av dagens krevende trusselbilde, er et viktig og særdeles aktuelt spørsmål. Det er likevel ikke noe i veien for å utvide og videreutvikle en slik tilnærming for å bedrive mer utstrakt og målrettet overvåkning av sentrale IKT-systemer.

Poenget her er å illustrere at det eksisterer en rekke defensive forsvarsmetoder for å målrettet sikre, beskytte og overvåke IKT-systemer. Disse har til hensikt å redusere sårbarhet. De mer offensive angrepsmetodene har til hensikt å utnytte de samme sårbarhetene. Hva som er kunstig med et slikt språklig skille fremstår fremdeles noe uklart.

For en etterretningstjenestes del, som har behov for informasjon om trusselaktører fra både forsvars- og angrepsmetodene, uavhengig av om disse er av offensiv eller defensiv art, oppfattes muligens vår organisering av dette arbeidet i Norge på tvers av juridiske og organisatoriske skillelinjer, som kunstig.

For resten av samfunnet som jobber med cybersikkerhet kan dette imidlertid være et nyttig og klargjørende skille, både faglig, organisatorisk, juridisk og ikke minst etisk. De fleste har ikke anledning, med god grunn, til å bedrive offensive cyberoperasjoner. Skillet kan muligens oppfattes som kunstig, men i det lange løp er nok dette kloke og fornuftige begrensninger.

Løsningen på cyberproblemene vi har i dag er ikke flere og mer skadelige angrep, men bedre forsvar og økt forsoning mellom stater. Her har vi sammen en svært viktig jobb å gjøre fremover.

 

Først publisert i Forsvarets forum, 19. februar 2021.