ROM FOR FORBEDRING: Norske nettselskaper har forbedringspotensial på IT-sikkerhet, viser ny studie.
Leif Martin Kirknes
– Ikke godt nok forberedt
En fersk forskningsrapport konkluderer med at norske nettselskaper ikke er godt nok forberedt for målrettede angrep i dag.
leif.kirknes@lomedia.no
Nettselskapene er ikke godt nok forberedte på å møte tradisjonelle IT-sikkerhetstrusler, kan man lese i rapportens kortversjon.
Studien er utført av blant annet SINTEF-forsker Marie B. Line, som har vært omtalt i fagbladet Nettverk tidligere (nr. 3 2014 - arkivlenke). Hun har over flere år opparbeidet seg ekspertise på det som skjer når strømnett møter internett og er med sin pågående doktorgrad om feltet blant Norges største eksperter på området.
Funnet er særlig interessant sett i lys av at Nasjonal sikkerhetsmyndighet nå har gått ut og slått alarm om målrettede angrep mot norsk olje- og energisektor, og at Statnett har sagt de ble forsøkt angrepet.
Les også: Dataangrep mot Statnett
– Målrettede angrep er en økende trend, og kraftindustrien er attraktivt mål. Spionasje eller fysiske ødeleggelser kan typisk være hensikten med slike angrep, sier hun, og advarer mot potensielt store konsekvenser:
– Store områder, inkludert kritisk infrastruktur, kan rammes av strømbrudd.
I studien har hun, sammen med Ali Zand, Gianluca Stringhini og Richard A. Kemmerer studert og kategorisert velkjente, målrettede angrep. Deretter har de utført en intervjustudie blant norske nettselskap for å vurdere hvor godt forberedt de er til å oppdage og respondere på slike angrep.
– Våre funn tyder på at kraftbransjen er godt forberedt på tradisjonelle, fysiske angrep, men IT-angrep, og spesielt avanserte målrettede angrep, har ikke vært høyt nok oppe på agendaen, forteller Line.
Problemet ligger særlig i at nettselskapene mangler verktøy for å overvåke og oppdage angrep, samt systematisk oppfølging av logger og varsler.
– Ved å forstå kjente angrep, håper vi å hjelpe bransjen med å forbedre deres evne til å oppdage og respondere på angrep, forteller Line.
Er du inne, er du inne
«Målrettede angrep er gjerne vanskelig å oppdage. De utføres over lang tid, hvilket gjør dem vanskelig å identifisere av vanlige deteksjonssystemer. Dessuten bruker angripere gjerne ulike teknikker for sosial manipulering for å kartlegge organisasjonen som skal angripes, samt dens IT-systemer. Slike teknikker lar seg ikke oppdage av deteksjonssystemer. Videre er ikke nødvendigvis de aller nyeste verktøyene i bruk blant organisasjoner,» heter det i rapportens kortversjon.
Det konstateres at målrettede angrep gjerne er inkludert i risikovurderinger, men selv om konsekvensene er alvorlige er sannsynligheten også lav. Derfor er det vanskelig å vurdere i hvor stor grad sikkerhetsmekanismer som kan hindre slike angrep skal prioriteres. Angrep/hendelser med høyere sannsynlighet vil gjerne prioriteres høyere på lista.
Nettselskapene har god innsikt i hensikten med egne systemer og avhengigheten mellom ulike komponenter, viser studien. De har også god forståelse for å sikre kontrollsystemene mot generelle informasjonstrusler
«Nettselskapene har imidlertid ikke gode verktøy for å oppdage og overvåke hendelser på innsiden av kontrollsystemene sine,» heter det i rapporten. «Deteksjonssystemer er i bruk i begrenset omfang, og ingen har systemer for å korrelere alarmer og se sammenhenger. De har brannmurer som kan være i stand til å oppdage mistenkelig trafikk til og fra nettverket, men dersom angriper greier å komme seg forbi denne, kan han operere på innsiden uten å bli overvåket.»
Altså kort fortalt: med en gang en angriper er inne i systemet, er sikkerhets-guarden nede.
Har noen råd
«Det er bred felles enighet om at kontrollrommet kan kobles av nett dersom de opplever angrep. Dette krever imidlertid at angrepet oppdages,» påpekes det i rapportens kortversjon.
Av de seks store, norske nettselskapene som har blitt spurt, er det kun én som har gjennomført beredskapsøvelse med utgangspunkt i en IT-sikkerhetshendelse. Sannsynligheten for fysiske angrep vurderes som høyere.
Tre av nettselskapene bruker det som kalles IPS, Intrusion Prevention Systems. Men disse er kjent for å generere et høyt antall alarmer, og det går frem i studien at det ikke finnes ressurser til jevnlig oppfølging. Dessuten er IPS best på å oppdage angrep som er kjent fra før, mens nye angrep, for eksempel de som blir skreddersydd og målrettet, ikke vil kunne oppdages uten videre.
Line og hennes medforskere har på bakgrunn av studien og dens funn følgende råd til nettselskapene:
• Gjennomfør beredskapsøvelser basert på IT-sikkerhetshendelser jevnlig. Det er et paradoks at alle nettselskapene er enige om hva som er verste mulige hendelse, men at ingen likevel har øvd på dette scenarioet.
• Vær i stand til å oppdage og stå imot angrep basert på sosial manipulering. Dette krever bevisste ansatte på alle nivå i organisasjonen. Det finnes ingen 1-2-3-løsning på hvordan man skal få til dette, det krever kontinuerlig innsats og bevisstgjøring. Samtidig er sosial manipulering svært effektivt for angripere som ønsker informasjon.
• Ha et fysisk skille mellom kontrollsystemene og andre IT-systemer i den grad det er mulig. Vi er fullstendig klar over at utviklingen går den andre veien av hensyn til effektivitet og funksjonalitet. Vi vil likevel påpeke at det ikke er anbefalt fra et sikkerhetsståsted.
• Ta i bruk systemer for avviksdeteksjon. Dette er svært effektivt for f.eks. kontrollsystemer som i stor grad inneholder forutsigbare hendelser.
• Bruk myndighetspålagte tiltak for å sikre forbedringer. Tiltak som er pålagt fra myndighetene, blir i stor grad etterlevd. Myndighetene har derfor et stort ansvar i å stille riktige og tilstrekkelige krav.
Studien er gjennomført i samarbeid med NTNU og UCSB, delfinansiert av Norges forskningsråd. Spørsmålene er utviklet basert på Cyber Situation Awareness-teori, og intervjuobjektene fikk tilsendt spørsmålene på forhånd.
Studien er gjennomført i samarbeid med NTNU og UCSB, delfinansiert av Norges forskningsråd. Spørsmålene er utviklet basert på Cyber Situation Awareness-teori, og intervjuobjektene fikk tilsendt spørsmålene på forhånd.
Mest lest
INSPIRASJON: Roy Samdahl håper kolleger i andre matbutikker går til anskaffelse av beskyttelseshansker.
Katharina Dale Håkonsen
Kiwi-ansatte gruet seg til å håndtere panten. Så fant Roy en løsning
Sissel Tronstad får en mye mer usikker framtid nå som anlegget på Elverum legges ned.
Martin Guttormsen Slørdal
Alenemamma Sissel mister jobben når Nortura legger ned
Fafo-forsker Åsmund Arup Seip mener at streik i offentlig sektor først og fremst er en meningsytring. Han tror at KS og Staten etter tre måneder med lærerstreik har fått med seg det lærerne mener.
Håkon Mosvold Larsen / NTB
Er streikeretten til lærerne under angrep? Nei, mener Fafo-forsker
Mange under 30 år sliter med å få fotfeste i arbeidslivet.
Hanna Skotheim
LO slår alarm: 100.000 under 30 år har verken jobb eller utdannelse
SPORLØS: Finn Arctander var på sykkeltur med kona da hun forsvant.
Kathrine Geard
Finn (75) snudde ryggen til kona et øyeblikk. Det ble starten på en enorm leteaksjon
Utdanningsforbundet-leder Steffen Handal går til frontalangrep mot LO og KS etter at lærerne tapte konflikten.
Leif Martin Kirknes
LO er del av en allianse mot lærerne, påstår Handal. Se hva LOs nestleder svarer
BAKSMELL: Lærlinger og arbeidsinnvandrere er blant gruppene som kan måtte punge ut når Skatteetaten har sett på boligpraksisen.
Colourbox
Advokat: Vanlige folk kan få skattesmell for pendlerboliger
Bussene i Litauens hovedstad, Vilnius, kan stoppe å gå når bussjåførene begynner å streike mandag 3. oktober.
By Pofka - Own work, CC BY-SA 4.0, https://commons.wikimedia.org/w/index.php?curid=80178549
Busstreik i Litauen: Sjåfører truer med å reise til Norge
Sissel M. Rasmussen
Olav Rune og kollegaene jobber i kulda for å unngå permitteringer
Ingun Alette Mæhlum
Dilani (34) og familien har vært innestengt i kirka i åtte år
MEDBESTEMMELSE: Den nye tariffavtalen skal gi bedre vern av fritida til de ansatte.
Christine Skårberg Dahl
Slik blir den nye lønna for energimontører i kommunale kraft- og nettselskap
Kommentar
Hadia Tajik har god grunn til å smile. Regjeringens pensjonspolitikk virker, skriver Kjell Werner.
Håvard Sæbø
«Tajik har grunn til å smile. Pensjon fra første krone er en suksess»
To av hagens besøkende sover fra Fontene kommer og drar igjen. Han ene har fått et pledd over seg.
Hanna Skotheim
Hagen til rusavhengige i Oslo kan forsvinne
VARSKU: Om ikkje LO-leiinga kjem på banen i straumpriskrisa, kan konsekvensen bli utmeldingar frå LO og partiflukt frå Arbeidarpartiet. Det er åtvaringa frå klubbleiarane Rune Sundt Larsen og Bent Andersen i Kongsberg-industrien.
Tormod Ytrehus
– LO-leiinga høyrer ikkje på grasrota og tillitsvalde, men følger partipisken
Kunnskapsminister Tonje Brenna innrømmet at det har vært krevende for henne personlig å være taus gjennom streiken.
Sidsel Valum
– Tvungen lønnsnemnd er også et nederlag for meg, sier kunnskapsministeren
TØFFE TIDER: Kriminalomsorgen er midt i et langtrukkent strømsjokk som bare ser ut til å fortsette.
Colourbox
Kriminalomsorgen fikk 50 millioner sist høst. Nå går alt til strømregninga
– Det er veldig tidlig, og jeg tror ikke jeg har vært med på det noen gang, sier LO Stat-nestleder Lise Olsen.
Ole Palmstrøm
Spekter-oppgjøret er ferdig – mye tidligere enn vanlig
Piloter i selskapet Pegasus ønsker tariffavtale. (Illustrasjonsfoto)
Jan-Erik Østlie
De flyr milliardærer og statsministeren. Nå krever pilotene tariffavtale
Kontroller på byggeplasser er bare en liten del av arbeidet mot arbeidslivskriminalitet. Nå har regjeringa lagt fram en omfattende handlingsplan mot sosial dumping og arbeidslivskriminalitet.
Håvard Sæbø
Kampen mot sosial dumping: Her er regjeringens nye tiltak
STATSBUDSJETT: Forbundsleder Kjersti Barsok i NTL har fortsatt store forventninger til statsbudsjettet, selv om regjeringen har varslet at de må spare.
Ole Palmstrøm
