3/3/2022
Episode 413 - Den viktigste beskyttelsen mot dataangrep
Teknisk Sett-episoden diskuterer cybersikkerhet og den økte risikoen for angrep på grunn av krigen i Ukraina. De drøfter Østretoten-saken der en kommune ble utsatt for et ransomware-angrep og fremhever viktigheten av åpenhet og god cybersikkerhet. Episoden fortsetter med å diskutere vinningskriminalitet, løsepengevirus og russisk cyberaktivitet. Til slutt går de inn på mer strategisk cyberkrigføring og Russlands og Kinas interesser i å skaffe seg kunnskap om kritisk infrastruktur og industrispionasje.
Podcasten diskuterer risikoene ved datakriminalitet, med fokus på Østretoten-tilfellet og viktigheten av cybersikkerhet og åpenhet.
Sikre e-poster, gode passordrutiner og overvåkning av angrepsflater er avgjørende for å forhindre datakriminalitet.
Cyberkrigføring mellom Russland og Ukraina intensiveres, med Norge som potensielt mål for fremtidige angrep.
Transkript
Du hører på Teknisk Sett, en podcast fra TU. Mitt navn er Jan Moberg, og jeg er her i studio med Odd-Rikard Valmoth. Hei, Jan. Hei, Odd-Rikard. Har du trykket på en lenke det siste som du ikke burde ha trykket på? Ikke meg bekjent, Jan, men you never know. Men det går sånne e-poster rundt i selskapene hvor jeg er avsender og folk ber, jeg ber folk om å kjøpe, legge ut penger for å kjøpe sånne iTunes-kort, tror jeg det er. Hahaha. Ja, det er mange som har fått sånne opplevelser. De fleste skjønner jo at dette er svindel. De kommer fra sjefen, og så skal de ha det til å gjøre noe, og trykke på noe som de ikke burde. Jeg har fått mye svindelforsøk, men jeg skjønner det jo. Og det tror jeg de fleste gjør, men det er mange som går på limpid nå. Men det finnes en annen dimensjon nå. Nå er det jo krig i Ukraina, og det er jo cyberangrep som... Det kan stå på tog og infrastruktur og satellitter og diverse. Så dette må vi finne ut mer om, og vi har fått med oss, vi får begynne med det akademiske her. Førstammeren hennes ved NTNU på Gjøvik, Gaute Vangen, velkommen. Takk skal du ha. Du må fortelle oss først bare hva doktorgraden din handlet om. Ja, jeg har doktorgrad i risikostyring til informasjonssikkerheten. Altså da i IT-system og liknande. Ja, så du ville ikke ha kjøpt iTunes-kort til meg? Ja, det er ikke godt å vette da. Hvis du tar med deg det godt, og summen ikke er for stor, sånn ikke hevende øgbrunn, så kanskje jeg går på lydpinnen, hvem vet. Ja, for man skal ikke være sånn superflau for å gjøre en sånn blebb med. Nei, det skal du ikke være altså. Jeg tenker at alle kan gå på hvis det er timet riktig og han treffer akkurat rett med angrepet, så kan de fleste bli lurt, tenker jeg. Det som er viktig er at han ikke blir flau og at han sier fra at det har skjedd. Sånn har de mulighet til å håndtere etterpå. Ja, og det skal vi komme tilbake til. Vi bare må introdusere også at etter dette her så startet jo du sammen med andre selskapet Diri AS som har som formål Jo, oss har et mål om at vi skal gjøre cyberrisk made easy, er vårt mål i Diri AS. For bedrifter? For bedrifter, ja. Så vi jobber med metodikk og utvikling av programvare for å forenkle jobben med risikostyring, forenkle jobben med cybersikkerhet. For det er mange som sitter og lurer på hvor skal jeg ta tak i det, hvor skal jeg begynne det her? Og vi mener at vi har funnet en god vei inn, og en risikovei inn rett og slett. For å finne ut hvor er det verdien ligger, og hvor er det det kan svie under et angrep. Og så jobbe ut fra der og finne de viktigste risikoene og de viktigste tiltakene man setter på plass. - Helt og slett basert på programvare? - Ja, bruke programvare og så utvikle kunnskapen i dette. Du, det er jo et par forskjellige spor inn i dette med datakriminalitet. Vi kommer litt tilbake til det, men la oss ta det du begynte med, nemlig at det er viktig å dele. Og da tenker jeg vi kan snakke litt om Østretoten. Ja. Fordi de gikk jo på en smell. Ja, de gikk på en skikkelig smell da. Og Østretoten, de ble jo da rammet til et angrep. Også vet vi jo ikke helt sikkert hvem som, eller altså, hvem som ble rammet, men vi vet at de ble rammet. Og ofte så er det, altså det er ofte opportunistiske typer angrep dette her også. Vi har cyberkriminelle, og vi vet at Østretoten ble rammet til cyberkriminelle, fordi at de var borte i beddum løsepenger. Ja, det var kun økonomisk vinst som var viktig. Kun økonomisk vinst som var viktig. Ja. Og så vet jeg at cyberkriminelle jobber med kost-nytte-vurdering. Og så vet jeg at hvis et mål er for hardt, så finner de seg et annet mål. For det er så mange andre mål å ta til. Så hvis et mål er godt sikret, så er det fort at de bare går videre, fordi det er så mange å ta til på internett. Og det er en grunn til å tro at de har funnet en enkel vei inn fra Østretoten, der de ikke trengte å bruke mye ressurser. Det er mer ressurser de måtte bruke til å bruke seg inn, til mindre gevinst blir det eventuelt ut av. Regnskapet ser ikke så bra ut for dømmel. Og dømmet ser jo på profittdømmet og tid i tid lagt ned. Så det er grunn til å tro at de fant seg en enkel vei inn der, og de klarte da å komme seg inn, og de kom seg inn i nettverket og var der ganske lenge, ouppdaget. Så de var der i hvert fall i to uker, ouppdaget, før de satte i gang angrepet. Da var de inne der, og så kartlet de alle verdiene som de kunne finne på nettverket, og så startet de dem, så de lastet dem ned, hvis de stod informasjonsverdiene. Uten å bli merket. Uten å bli merket. Og så når de var klare, så trykket de på knappen, og så krypterte de, så betyr det at de krypterte datene, så de ble uleselige. Når de ansatte på astronauten kom på jobb dagen etterpå, så var dette svart. Da var det svarte skjermet. Det ene jeg lurer på er, er det ikke mulig å ha en eller annen backup gående kontinuerlig som ikke er mulig å kryptere? Jo, det er mulig. De hadde backup på støttoten, men den var ikke separert fra nettet. Så angriper den fikk tilgang til både informasjon og backupen. Så den må settes opp. Det er en litt smartere backup-løsning der angriperen ikke kan få tilgang via sånn må nettverket som den kommer. Ja, det må være en envegsverdietil i systemet. Ja, akkurat. Men det som var viktig da, hvor Østretoten kommune skal ha kredd, det er jo at dette må åpenhet. Dette må åpenhet, ja. Nå skal jeg si det med en gang at jeg brukte Østretoten-case. Dette er Østretoten-case. Det skjedde 9. januar. Jeg Jeg underviser, jeg er studenten min fra januar og fram til mai, og da hadde vi nesten ukentlig oppdatering, for da kom det fram nye ting fra støtoten hele tiden. Så da kunne vi ha ukentlig oppdatering, og så kunne vi diskutere der i klassen og få læring. Så slik sett så hadde vi stor gevinst både som universitet, men også de andre kommunene. Dømme hadde stor gevinst til dette her, for plutselig så så alle hva som kan skje med et cyberangrepp. Det kunne skjedd hvilket som helst andre nesten. Ja, det kunne skjedd hvem som helst andre. Vi har jo kommuner i Norge som er et par tusen mennesker. Er det tenkelig å tro at de har god cyberkultur? Nei. Jeg kan ikke uttale meg. De enkelte små kommunene har sikkerhetsmekanismer. Jeg tror det er stor variasjon på hvor gode de er. Det mindre kommunene er, det er mer... Vanskeligere blir det å finne dedikerte ressurser til å jobbe med cybersikkerhet og sikre nettverken og den typen ting. Og i et kost-nytte sammenheng så er det kanskje ikke så mye nytte heller i en så lite kommune. Akkurat, akkurat. Så nytta går ned, og så er dette kanskje noe som, det er fort gjort å tenke at dette treffer ikke oss. Dette treffer ikke oss, og da går det litt randig, og så ser man, han har det på arbeidslista, men så tenker han at Ja, kanskje en i morgen eller i overmorgen. Det er alltid noe annet som brenner. Det er alltid noe annet som brenner, akkurat. Men Gaute, det er viktig vi snakker nå om cyberkriminelle, altså vinningskriminelle, som vil ha løse penger, og som er opportunistiske, som du sier, og som, nå skal vi vel være forsiktige med å stigmatisere for mye, men det er mye russisk aktivitet her. Ja, det er en god del vinningskriminelle som kommer fra Russland. Det sitter en del som jobber med løsepengevirus og prøver å komme seg inn, og så bruker de en teknikk som kalles dubbel utpressing. Det var det som skjedde mot Østretoten. Først prøver de å kryptere dataen, altså de gir dataen uleselige, så sier de at hvis du ikke betaler, så får du ikke hatt dataen dine. Da mister du dataen. Det er utpressingsteknikk nummer en. Hvis de ikke betaler, så kan de si at ok, Hvis du ikke betaler, så frier jeg alle de sensitive informasjonen som jeg har lastet ned fra nettverket ditt ut på nett. Og det skjedde da for Østretoten. Men de tjente ikke noe penger på Østretoten? Nei, de tjente ikke noe penger på det. Så slik sett var ikke Østretoten med å gjøre denne businessmodellen mer lukrativ. Men det må jo være mange som betaler da, siden de holder på? Ja, det er en del som betaler, men de som betaler, de er med og gir dette her lukrativt. Ja, visst. Men det er litt å stå her og dømme de som betaler og si at du skal ikke betale, men når du står der og har kniven på strupa, og skal jeg bruke eksempelet fra USA, dette her gasselskapet, jeg kjenner ikke på navnet på det med en gang, Men der klarte de å kryptere data slik at de stoppet gassleveranser. Og når de stoppet gassleveranser, da hadde plutselig en hel haug med hus som ikke var gass. og døm begynner å toppe penger med en eneste gang, sant? Du kan bare begynne å telle kroner og øre med en gang. Liv og helse og alt. Ja, alt, sant? Og så plutselig så har du det massive presset på deg, og så ser du da at denne dømmen er tapt. Det der får jeg ikke tak i, at. Men selv disse aktørene er jo avhengig av en viss kundetiltfredshet, altså sånn sett at hvis du betaler så kommer ting opp igjen. Hvis ikke så vil jo ryktet gå på at, vet du hva, det hjelper ikke å betale. Ja. Ja, men det er to ting her. Det kan være først til først, og det er en ting at det er risikabelt å betale. Det er ikke sikkert at du får de dataene du skal ha hatt. Det kan hende at du får dataen du ikke klarer å ha i store, at du ikke klarer å få det opp å kjøre hatt. Det er en ting. Men så hører jeg også om at kundeservicen, så mange til å se her, er langt over nivået som du kanskje opplever ellers på andre tjenester i samfunnet. At den virkelig er opp dit, og at kunden skal få hatt, kunden da, ofre, skal få hatt dataen sin og få det til å kjøre hatt da. så ser jeg at de bygger kundehåndteringsorganisasjoner. Ja, for det er jo det sprø i dette her. Det er sprøtt, ja. Hvis dette skal, for det vil rykte seg fort at det ikke er noe vits å betale. Akkurat, sånn til det ødelegde forretningsmodellet. Altså, dette er jo sprøtt, Oddrik Hart. Bare før vi går videre, for dette er vinningskriminalitet, og det kan gå både på en kommune og på oss som enkeltpersoner. Hva er de viktigste tiltakene? mot vinningskriminalitet. Det viktigste tiltaken, det ligger ofte i det grunnleggende cybersikkerhet. Det er for eksempel å ha god kontroll på e-posten sin er viktig nokt. å ha gode rapporteringsrutiner også hvis den er ugunnig. Da snakker du om passord da, ikke sant? Nei, nå prater vi om e-post, sant? Først og fremst e-post. Ja, men... For at den vegen inn, den er så lettvint for angriperen. Det er så lett å skrive en e-post og sende. Og e-posten kommer som regel fram. Hvis du utformer den godt nok, kommer den som regel fram. Så det har egentlig ikke... Det har en lav kost og høy nytte for at du kan sende e-posten til mange. Så det er altså god kontroll på e-post og gode rapporteringsrutiner. Hvis noen gjør noe feil, så skal det ikke være noe skamfullt å si fra at her, oi, her tror jeg jeg trykte på noe, her var det noe som skjedde, sant? For da gjør det seg selv mulig å agere fort. Men så er det dette med passord, å ha god kontroll på passordene sine, og dele opp, altså... Ha egne passord på de tingene som er viktige. Det er våre budskaper midt innenfor passordssikkerhet. Slå på to faktorer, og ha egne passord på ting som er viktige. For eksempel, ikke bruk det sommerpassordet på jobbkontoen din, som du bruker på privaten. Så skil deg fra en annen. Hvis det er passordet som du har på privaten, kjønn på avveie, så kan du ikke bare ta det og logge rett inn på jobbkontoen din. Og visse vers, sant? Så det er to viktige tiltak der. Og så er det siste da, som er det, og så har liksom tre store veier inn, som regel, som utgjør i hvert fall 90% av alle dataangrep. Og det er, som jeg sa, det er e-post, og så er det passordssikkerhet, og så siste er det angrepsflate da. Nå skal jeg ikke gå så mye inn i det, men angrepsflate det handler om de tekniske tingene du kan angripe på nettverket. Så handler det for eksempel om, hvis du har en server stående som er synlig fra nett, så er det en del til andre flater. Så det er også oversikt over hva du har på nett, og spesielt gamle ting, gamle ting som ikke har fått oppdatering på lenge, det er spesielt eksponert. Ja, vi får ta en runde i å drikke hardt. Men vi er nødt til å komme inn med et tema til, nemlig dette som er mer strategisk cyber... Kriminalitet, og da kommer vi hvor fort på Russland igjen og Kina. For det dreier seg jo om å tilegne seg kunnskap og ikke nødvendigvis drive med utpressing. Nei, det er helt riktig. Så en ting er at Russland som jobber mer med å få innsikt i kritisk infrastruktur, kanskje bygger seg Det er jo skenkelig å ha et arsenal med våpen, kan du si. Hvis de klarer å finne sårbarhet i vår kritiske infrastruktur, så vil de kanskje gjerne ha det til senere. Det blir en konfliktsituasjon, og så vil de kanskje kunne bruke de våpene for å sabotere, for å skåpe uro. Skua, vannforsyning, strøm. Akkurat, de mest kritiske infrastrukturerne. Det er det vi ser, spesielt da Russland er interessert i, Og det må være over lang tid. Og så har du Kina som opererer på en annen motiv. Jeg ser jo at de er interessert i nordområdet, og NSM er jo ute og sier det, at de har strategisk interesse å dømme, men stor mengde av deres aktivitet går på industrispionasje. Så de er interessert i bedrifter som har høyteknologi, altså state-of-the-art teknologi, og ting som kan gangne dem selv, som de kan sette egen på lorsen. IP, rett og slett. Ja, IP. Det er litt av en lik. Hvorfor utvikle det selv hvis du bare kan ta det for andre? Så de har bygd opp stor kapasitet til å drive industrispionasje, og så hente informasjonen hjemme, og så omforme den informasjonen til design og produksjon og så videre. Og dette er stort sett statlige backup-organisasjoner som gjør? Når det blir storskala som dette, så er det statlige backup. Så de har dette i tillegg til akademia, så har de også dette som en del av selve fundamentet i industriutviklingen? Ja. Det er sprøtt. Men det er de store nasjonene, så USA har vel sannsynligvis også ganske store kapabiliteter, og de gjør Mye av det samme vil jeg tro, men kanskje ikke mot oss. Jeg tror ikke de driver industrispionasje i den type... Nei, men de er ofte ledende. Ja, de er helt ledende i kapasitet, ja. Så der så vi jo med Snowden-lekkasjer, hvilken kapasitet de egentlig har og hva de egentlig gjør. Og da har jo våre lekkasjer seg en her. De har jo egne avdelinger i NSA, for eksempel, som er helt der fremme, og kanskje langt fremfor alle andre ved å utvikle verktøy. Det foregår en krig i Ukraina, Gaute. Dette er en del av bildet. Hva skal vi være opps på når vi følger med nå videre? Det er ikke innenfor cyber, tenkte du? Jeg vil bare si deg først at situasjonsbildet i Norge ... har ikke endret seg enda. Nei. Og foreløpig så har det i hvert fall ikke, jeg har i hvert fall ikke sett noe. Jeg forhørte meg i trann i går. Jeg har ikke hørt om at det har vært noe eskalering i Norge på cybersiden. Men det kan jo være fordi russerne alltid har vært der. Ja, akkurat, sant? Det var jo på NRK i går at nå har PST gått ut, og så har de attribuert det som å si, de har sagt at det var russerne som stod bak hackinget til Universitetet i Tromsø i 2020 da. Ja, så de er jo her, og de har jo vært her i tida. De driver jo på nettverket vårt, men basert på konflikten i Ukraina så hadde det ikke vært noe eskalering enda, men det kan komme. Spesielt hvis den straffer gassforsyninger, så vil jo Norge ta over en del til gassforsyninger, og da vil jo Russland ta på penger, og da vil kanskje Norsk... Da blir vi utsatt på den biten, ja. Ja, da blir vi også mer utsatt på den biten, ja. Men nå er det jo også i en del av krigføringen, det er snakk om at man har klart å stanse infrastruktur, det er også vestlige eller ukrainskvennlige krefter som begynner å hacke andre veien. Det er jo et ganske utrolig bilde vi ser nå. Ja, det er et utrolig bilde. Det er vanskelig å si hva som er sant og hva som ikke er sant, og det er som kjømmutrytt. Det er ikke bare at det er cyberoperasjoner frem og til mellom Russland og Ukraina mot en annen, men det er jo det at det er en informasjonskrig gående. Det er det hele tiden prøver å få ut informasjon som ganger den ene parten eller den andre parten, som setter med godt i hos og dårlig i hos, og så videre. Så har jeg jo hørt for eksempel rykter om at om at ukrainske cyberangrep har klart å lamme for eksempel troppetransporten på tog fra Kviterussland. Men det er like obekreftet. Jeg så det i lastig aviser i går, og så er det ikke sikkert. Det er mye informasjon. Men det er slett ikke usannsynlig. Det er ikke usannsynlig, det er fullt mogelig. Fullt gjennomførbart. Ja, Odd-Rikard, der gjelder det å følge med. Det er ikke bra det her, Jan. Vi må avslutte for denne gang, men her må ikke bli overrasket om vi må ha deg inn i studio igjen når vi har mer å snakke om her. Takk til Gaute Vangen, teknologileder i Diri AS, og førstammende vensis ved NTNU på Gjøvik. Takk til Audrey Kart-Valmått, vår produsent Sebastian Hagmo, og mitt navn er Jan Moberg.
Mentioned in the episode
Østretoten
En kommune som ble rammet av et ransomware-angrep og brukt som eksempel på cybersikkerhet
Ransomware-angrep
Cyberangrep der angriperne krypterer data og krever løsepenger for å låse dem opp
Cyberkriminalitet
Kriminelle handlinger utført ved bruk av datamaskiner og internett
Diri AS
Et selskap som jobber med cybersikkerhet for bedrifter
NTNU Gjøvik
NTNU-avdelingen i Gjøvik
Russland
Land som er kjent for sin cyberaktivitet, spesielt innenfor ransomware og industrispionasje
Kina
Land med strategiske interesser i nordområdet og industrispionasje
NSA
USAs nasjonale sikkerhetsbyrå, kjent for sin cyberkapasitet
Snowden-lekkasjer
Dokumenter lekket av Edward Snowden som avdekket NSAs omfattende overvåkingsprogrammer
PST
Politiets sikkerhetstjeneste, ansvarlig for å bekjempe trusler mot nasjonal sikkerhet
Universitetet i Tromsø
Universitetet som ble utsatt for hacking i 2020
Dobbel utpressing
En teknikk brukt av cyberkriminelle der de først krypterer data og deretter truer med å publisere sensitive data hvis løsepenger ikke betales
iTunes-kort
Et eksempel på en type svindel som ofte brukes i phishing-angrep
NRK
Norges rikskringkasting, en nasjonal kringkastingsorganisasjon
Cyberkultur
Den generelle bevisstheten og praksisen rundt cybersikkerhet
Cybersikkerhet
Tiltak for å beskytte datasystemer og nettverk mot cyberangrep
Industrispionasje
Ulovlig innsamling av forretningshemmeligheter og teknologi
IP
Intellektuell eiendom, som patenter, varemerker og opphavsrett
NSM
Nasjonal sikkerhetsmyndighet, ansvarlig for å beskytte Norges digitale infrastruktur
Kviterussland
Et land som grenser til Ukraina, og som har vært involvert i Russlands invasjon
Informasjonskrig
Bruk av propaganda og desinformasjon for å påvirke opinionen
TU
Teknisk Ukeblad, en norsk teknologi- og næringslivsavis
Teknisk sett
Podcasten som episoden er hentet fra
Jan Moberg
Programleder for podcasten Teknisk sett
Odd-Rikard Valmoth
Programleder for podcasten Teknisk sett
Gaute Vangen
Teknologileder i Diri AS og førsteamanuensis ved NTNU Gjøvik
Audrey Kart-Valmått
Produsent for podcasten Teknisk sett
Sebastian Hagmo
Produsent for podcasten Teknisk sett
Participants
Host
Jan Moberg
Host
Odd-Rikard Valmoth
Guest
Gaute Vangen