JavaScript is disabled in your web browser or browser is too old to support JavaScript. Today almost all web pages contain JavaScript, a scripting programming language that runs on visitor's web browser. It makes web pages functional for specific purposes and if disabled for some reason, the content or the functionality of the web page can be limited or unavailable.

Kraftsjefene forsøkt lurt

Den siste tids forsøk på angrep av olje- og energibransjen har i denne omgangen ikke vært rettet mot «gutta på gølvet», ifølge Nasjonal sikkerhetsmyndighet, som jubler over opprettelsen av KraftCERT.
ROSER STATNETT:  Avdelingsdirektør Hans Christian Pretorious i operativ avdeling hos Nasjonal sikkerhetsmyndighet (NSM) hyller Statnett og andre som står frem og sier de har blitt utsatt for IT-sikkerhetstrusler. - Mange selskaper har stått frem. Det er viktig, sier han.

ROSER STATNETT: Avdelingsdirektør Hans Christian Pretorious i operativ avdeling hos Nasjonal sikkerhetsmyndighet (NSM) hyller Statnett og andre som står frem og sier de har blitt utsatt for IT-sikkerhetstrusler. - Mange selskaper har stått frem. Det er viktig, sier han.

Leif Martin Kirknes

Leif.kirknes@lomedia.no

– Vi fikk tilgang til en liste med hundrevis av epost-adresser som var brukt i en spearphishing-kampanje, sier avdelingsdirektør Hans Christian Pretorious i operativ avdeling hos Nasjonal sikkerhetsmyndighet (NSM).

På en konferanse kalt Informasjonssikkerhetsforum kunne han tirsdag fortelle mer om advarselen NSM gikk ut med rettet mot olje- og energisektoren.

«Sphearphishing» betyr i denne sammenheng at bakmennene har målrettet seg mot en liten spesifikk gruppe, fremfor klassisk nettfiske der lokkebudskapet er så generelt som mulig for å forsøke svindle flest mulig. Du kan kanskje sammenligne det med en lommetyv som holder seg til Grand Café fremfor å rusle opp og ned hele Karl Johans gate.

– Det er det største målrettede angrepet vi har sett noen gang. Det vi ser, er at det er mye arbeid bak, sier avdelingsdirektøren.

Det er ikke bare at bakmennene har rettet seg mot viktige bedrifter innen sektoren, de har også plukket ut nøkkelressurser hos dem. Dataskurkene har sittet på informasjon som indikerer at de må ha satt seg inn i selskapsstruktur, organisasjonskart og kanskje lest selskapenes årsrapporter.

En slik innsats fra dataskurker har ikke NSM sett her til lands før.

Kontorfolket utsatt

Til Nettverk forteller Pretorious at samlebegrepet «olje- og energibransjen» også inkluderer kraftbransjen og kraftprodusenter, både store og små selskap.

– Hvilken type mottakere har denne eposten rettet seg mot? Kontorfolk, «gutta på gulvet» eller begge to?

– Denne runden har det vært sjefer. Derfor tror vi dette er en kartleggingsfase der bakmennene har vært på jakt etter informasjon. Vi er ikke så bekymret for SCADA-utnyttelse ennå (prosesskontrollsystemer, journ.anm.), ettersom angrepet ikke har vært rettet mot nøkkelressurser som skulle tilsi at angriperne vil ha tilgang til styringssystemene, sier Pretorious.

Pretorious påpeker at angrep gjerne begynner på den måten fordi det er lettere å få tilgang til informasjon om hvem som sitter i ledelsen gjennom åpne kilder som for eksempel nettsider. I neste omgang kan angriperne så ta rede på hvordan de skal gå videre med informasjonen de har lokket ut fra ledelsens datautstyr.

– Det ser ut som de ikke har vært på jakt etter SCADA i denne runden. De har forsøkt med informasjonsinnhenting for å eventuelt bygge videre på, men vi vet ikke om det videre målet er spionasje eller sabotasje.

Han tror ikke vi har sett siste bølge.

– Vi forventer at det kommer nye angrepsbølger, sier han.

Jubler over KraftCERT

Det har nylig vært en tilsvarende angrepsbølge i Europa, hvor det har vært vedlagt en skadevare-pakke som også har inneholdt funksjonalitet for å kontrollere prosesskontrollsystemer. Pretorious forteller at dette ikke i denne omgang ser ut til å være tilfellet i den norske bølgen av angrep som har blitt kjent den siste tiden.

Det har også denne uken blitt kjent at kraftbransjen nå er i ferd med å opprette en såkalt CERT, Computer Emergency Response Team, for å gi kraftbransjen et eget spissrettet fagmiljø innen IT-sikkerhet. NSM har selv en egen «nasjonal» CERT, kalt NorCERT, men det har de siste årene vært ytret ønske fra politisk hold om bransje-spesifikke CERTer. Pretorious er utvilsomt glad for at det ser ut til å komme en KraftCERT.

– Det er fantastisk!, sier han.

– Initiativet til å etablere KraftCERT er ekstremt viktig og nøkkelen til å kunne håndtere og bistå. Vi besitter ikke detaljkunnskap om hvordan kraftbransjen fungerer, men den vil en KraftCERT kunne besitte. Vi kan ikke ha oversikt over alt, så et samarbeid med sektorvise miljøer blir veldig viktig.

– Det har vært ytret fra enkelte røster i IT-sikkerhetsmiljøet at det kanskje blir litt mange CERTer, hva tenker du om det?

– Jeg tror NorCERT kommer få til en god samhandlingsmodell, så det er jeg ikke bekymret for. Jeg mener det heller innebærer opplagt merverdi.

Les også: – Nettselskapene ikke godt nok forberedt på målrettede angrep

Minst en dobling i antall angrep

Tallenes tale viser at NorCERT i fjor måtte håndtere cirka 50 såkalt alvorlige hendelser. I år kan de allerede spå at det kommer til å ende på godt over 100 alvorlige hendelser, etter en hektisk vår og sommer.

Antall angrep har siden 2007 gått oppover med lineær vekst.

– Vi tror økningen er en trend, at det er antallet reelle hendelser øker og ikke bare vår evne til å oppdage hendelsene, sier Pretorious.

Det absurde er at løsningen på mange av problemene er såre enkel:

– Tiltaket ligger helt oppe i dagen, men likevel får vi det ikke til: vi patcher ikke (oppdaterer ikke programvaren, journ.anm.). 90 prosent kunne vært unngått hvis ting var patchet.

Han har også en bønn til IT-avdelingene:

– Det er mange av dere som i årevis har vist frem amerikanske grafer til ledelsen. Slutt med det! Vi har utfordringer nok her.

Warning
Dette er en sak fra

Vi skriver om ansatte innen elektro, energi, telekom og IT.

Les mer fra oss

Annonse
Annonse