LEIF MARTIN KIRKNES

Leif.kirknes@lomedia.no

Det er Margrete Raaum som skal lede KraftCERT, CERT-en som skal holde styr på kraftbransjens digitale sikkerhet. CERT står for Computer Emergency Response Team, og er en innsatsgruppe for IT-kriser. Et spissmiljø med evne til håndtering av kritiske datasikkerhetshendelser. CERT kan minne litt om en digital utgave av politiets delta-styrke, men har gjerne først og fremst et ønske om å jobbe forebyggende ved å innhente og spre med relevant digital etterretning.

I Norge har vi fra før på nasjonalt nivå NorCERT, en avdeling i Nasjonal Sikkerhetsmyndighet (NSM) som har hatt et overblikk over nasjonens digitale ve og vel. De har utplassert varslingssensorer hos et knippe selskaper ansvarlig for kritisk infrastruktur eller andre viktigheter, som gir lyd fra seg ved mistenkelig aktivitet, men innhenter også etterretning via informasjonsutveksling med andre nasjoners nasjonale CERT-er og sikkerhetsmiljøer.

NorCERT kan kanskje litt om alt, men klarer ikke fordype seg i alle bransjer. Derfor er også bransjer i ferd med å etablere sine egne CERT-er, slik som kraftbransjen med KraftCERT.

– KraftCERT har D-dag 1. mai, sier Raaum, som akkurat nå jobber som sikkerhetsrådgiver i Statnett, men som altså er i ferd med å gli over i stillingen som leder i den nye satsningen.

Føyer seg inn i rekken

Hun har tidligere vært CERT-sjef hos Universitetet i Oslo, som fikk sin egen CERT i 2006. Universitets- og forskningssektoren etablerte for øvrig allerede i 1995 sin UninettCERT, ni år før NorCERT kom på plass og åtte år før NSM ble opprettet.

Finansnæringen kom med egen CERT i 2013. For skurker som har lyst på penger er jo det en naturlig bransje å forsøke utnytte. Enten ved å gå direkte mot banken, men det mest vanlige har kanskje heller vært minste motstands vei – å forsøke angripe bankens kunder og heller tappe deres nettbank.

«Skurker» kan i denne sammenheng for ordens skyld være økonomisk motiverte, men også politisk motiverte eller bare drive rent hærverk og rampestreker.

Helsesektorens CERT, HelsepartnerCERT, kom på plass i 2012 og samarbeider med Helsenetts HelseCSIRT som ble etablert 2011. JustisCERT er på vei. NSM vil helst ha flere, en for olje og tele for eksempel.

I KraftCERT ser Raaum for seg at de sentrale CERT-oppgavene vil bli hendelseshåndtering, respons, koordinering og analyse.

– Hvilke tjenester en CERT skal tilby, må man velge på grunnlag av verdi. I kraftsektoren er strømmen verdifull, og en av de verste tingene som kan skje er at det blir mørkt, sier hun.

Vil samarbeide bredt

Raaum ønsker å bygge opp et tillitsnettverk av selskaper som deler relevant informasjon om IT-hendelser med hverandre. Hun tror det virker mer skremmende å dele slik «personlig» info enn det faktisk er, og forteller at de i Statnett har fått masse skryt etter at de i fjor gikk ut og fortalte at de hadde vært under angrep.

Hun ser for seg et potensielt bredere samarbeid med andre selskaper og CERT-er også. Olje- og gassektoren sitter for eksempel på samme styringssystemer som kraftbransjen og løper derfor risiko med de samme sårbarhetene. Det samme gjør prosessindustrien i Kongsberg.

Raaum vil også vurdere å strekke seg ut internasjonalt med tanke på samarbeid.

– Det er alltid noen der ute som er bedre enn deg selv, mener hun.

Viktig med samarbeid

Raaum var blant foredragsholderne under NSMs årlige sikkerhetskonferanse forrige uke, som i år på nytt satte deltakerrekord i Folkets hus med over 800 deltakere. Nytt av året er at NSM-årsrapporter om fjorårets hendelser viker til fordel for rapporter som heller tegner et helhetlig risikobilde, et grep som er tatt for å sikre felles risikoforståelse.

– Vi lever i et samfunn som blir stadig mer digitalisert. Tilfeller av alvorlig datakriminalitet øker voldsomt. En skremmende trend som viser hvor viktig det er å arbeide om IKT-sikkerhet i det store og hele, sier beredskapsminister Anders Anundsen under sitt innlegg.

Vi ligger litt bakpå, det er stort sett først når dataangrepet har skjedd at vi starter å håndtere problemene, viser en ny NSM-rapport. Det kan gå på tilliten løs, mener Anundsen, som frykter det vil skape store problemer om det går så langt at borgerne helt mister tilliten.

Vil oppdatere lover

Statssekretær i Forsvarsdepartementet, Øyvind Bø, fremhever at det er flere utviklingstrekk som er på banen akkurat nå som gir grunn til bekymring. Det er flere sikkerhetspolitiske bevegelser som påvirker Norge på gang, slik som forverret forhold mellom vesten og Russland, fremveksten av Islamsk Stat og terrorangrep på Europeisk kontinent.

Han har blant annet bitt seg merke i at NSMs nye årlige rapport om risikobildet fremhever økt risiko for at kritisk infrastruktur kan bli utsatt for sabotasje, og varsler lovendringer i tiden fremover. Sikkerhetsloven er fra 1998.

– For å møte fremtidige trusler må vi se på nasjonale sikkerhetsregler som i langt større grad enn i dag tar høyde for helheten. Vi må samarbeide om å løse sikkerhetsutfordringene. Det er ikke bare NSM eller justisdepartementet som kan øke sikkerheten, sier han.

Mulig sabotasje

Om den nevnte rapporten trekker assisterende NSM-sjef Anette Tjaberg blant annet frem at angrepet mot olje- og energisektoren som ble omtalt i fjor er et av de største de har sett så langt. Men noe av det mest alvorlige som ble oppdaget i 2014 dreide seg om norsk vannforsyning, som i verste fall kunne blitt lammet av uvedkomne.

Den samme trenden om avanserte, målrettede angrep blir det rapportert om internasjonalt. Det er blant annet risiko for spionasje, og risiko for sabotasje.

– Angrep kan brukes til sabotasje. Det kan være vellykkede angrep mot kritiske IKT-systemer i kraftsektoren som kan få alvorlige konsekvenser. Statlige aktører har ressurser og kompetansen til å gjennomføre et slikt angrep, og dem med mindre ressurser kan oppnå vellykkede operasjoner ved hjelp av en insider, sier Tjaberg.

Hun nevner at stadig flere ansatte i norske bedrifter som håndterer kritisk infrastruktur får utenlandske ansatte. Ikke en trussel i seg selv, men det stiller krav til hvordan verdiene beskyttes, poengterer hun, og legger til at det i lys av dette blir mer krevende å skaffe seg oversikt over ansattes bakgrunn.

– CERT viktig tiltak

Tjaberg ser at stadig flere it-systemer slås sammen på tvers, og uroer seg for tidkrevende strømbrudd og nedetid. Nedetid trenger ikke en gang oppstå på grunn av onde hensikter, påpeker Tjaberg, og viser til databaseendringen som ga massiv nedetid for svært mange av Telenors mobilkunder.

Anundsen tror samarbeid på tvers av selskaper blir sentralt i å jobbe mot skurkene.

– Sektorvise responsmiljøer er et viktig tiltak. De styrker hver enkelt sektor, men også den samlede effekten, sier han om CERT-ifiseringen som pågår.

Øvelse gjør mester, og det er en stor sikkerhetsøvelse under planlegging, forteller Anundsen, en øvelse som skal skje på tvers av ulike miljøer og i en herlig miks av offentlig og privat virke. Direktoratet for samfunnssikkerhet og beredskap er sentral i planleggingen.

– I øvelsen vil man klare å få til en skikkelig test på om det sektorvise responsmiljøet fungerer på en skikkelig måte, sier Anundsen.