- Vi snakker tap av menneskeliv

- Frem mot Stortingsvalget arbeider vi med å sikre og beskytte så godt vi kan, men det finnes ingen garantier, sier Roar Thon i NSM. Foto: Christina Gulbrandsen

- Frem mot Stortingsvalget arbeider vi med å sikre og beskytte så godt vi kan, men det finnes ingen garantier, sier Roar Thon i NSM. Foto: Christina Gulbrandsen

Samfunn

- Vi snakker tap av menneskeliv

Tror du datasikkerhet og hacking ikke berører deg? Tro om igjen!

Publisert

Endret

Tekst: Christina Gulbrandsen, ansvarlig redaktør NITO Refleks

 

Året var 1988 og Norge kunne blitt rammet av en datakatastrofe, men som Roar Thon forteller «sikkerhetsmessig var det enklere på den tiden».

Katastrofen ble varslet via fasttelefon, og det var tid nok for at en person kunne rykke ut, røske ut internettkabelen til hele Norge og på den måten avverge katastrofen.

Aftenposten dekket saken. Foto: Christina Gulbrandsen
Aftenposten dekket saken. Foto: Christina Gulbrandsen

- Nå eksisterer det ikke en internettkabel for hele Norge, men om den hadde eksistert, så måtte vi for Guds skyld aldri ha nappet den ut. Konsekvensen for samfunnet å miste tilgangen, ville vært større enn det vi forsøkte å hindre, sier Thon.

- Mulighet for å destabilisere samfunnet

Han mener eksempelet sier noe om hvor sårbare vi har blitt, og hvor avhengig vi er av at teknologien fungerer. Og nettopp dette både kan og blir utnyttet av mennesker med ondsinnede hensikter.

- Vi er så avhengig av at teknologien fungerer, at hackere har mange virkemidler til å destabilisere samfunnet vårt, hvis de ønsker det, sier Thon og legger til:

- Hacking handler ikke bare om tap av informasjon, kroner og øre. Vi snakker om tap av menneskeliv. Mangler et sykehus kontroll på sine teknologiske løsninger, tar det ikke mange timene før pasientliv går tapt på grunn av det.

- Det kommer til å skje noe

Den lange stillingstittelen til Roar Thon er «fagdirektør for sikkerhetskultur» hos Nasjonal Sikkerhetsmyndighet (NSM).

- Jeg arbeider med hvordan mennesker tar i bruk teknologi og hvordan det påvirker samfunnet, sikkerheten og enkeltindivider, sier Thon og legger til:

- Eneste mulighet til å være helt trygg er om du har en bedrift som ikke gjør noe, som er uten navn og uten ansatte. Alt utover det vil utgjøre en risiko. Uansett hva vi har av sikkerhetstiltak kommer det likevel til å skje noe. Det må vi ta på alvor. Samfunnsperspektivet må være at vi har grunn til bekymring.

- Sikkerhetsarbeid gjelder alle

Bakgrunnen til Thon er ikke teknologisk, men fra politi og Forsvaret.

Han bruker begrepet «informasjonssikkerhet», og mener det er noe vi alle holder på med, og definitivt ikke bare «de på IT».  Han er motstander av ordet digitalisering.

- Det er et hypet moteord, som man sprer rundt seg i alt man gjør.

I 1999 ble sangen «Folk til slikt» av Øystein Sunde utgitt. Og Thon mener, helt alvorlig, at de aller fleste av oss er rammet av «Sunde-syndromet». Sangen handler om en administrerende direktør som delegerer alle arbeidsoppgaver til andre, og gjør lite selv.

- Vi tror i alt for stor grad at sikkerhet er noe du kun jobber med om det står i stillingsbetegnelsen din og at vi andre ikke trenger å bry oss. Det var feil for 20 år siden, og det er enda mer feil i dag, understreker Thon og legger til:

- Vi har et betydelig kompetansegap. Norske virksomheter er ikke i stand til å gjennomføre grunnleggende sikkerhetstiltak.

- Flere angrep mot kritisk infrastruktur

Hvert år kommer NSM med en risikorapport. Den siste rapporten slo blant annet fast at det har vært en økning i antall cyberangrep.

- Da snakker vi om hendelser som er rettet mot kritisk infrastruktur i Norge. Ikke de dataangrepene som rammer blomsterbutikken eller deg privat. Selv om det også skjer.

Thon understreker at verdikjedene våre er sårbare, fordi norske selskaper både bruker underleverandører og outsourcer.

- Hackere går til den bløte delen av underlivet. Der det er lettest å komme til. I tillegg er det alt for mange konger der ute som vil bruke sine løsninger, sitt system, enten det gjelder kommunestruktur eller statlig struktur. Der er alt for mange systemer til å ha gode og effektive sikkerhetsløsninger, sier han og legger til:

- Det er underleverandør på underleverandør, men ingen følger opp.

- Frastjålet informasjon, ikke mistet den

Thon understreker at det viktigste myndighetene, bedrifter, ansatte og enkeltindivider gjør, er å passe på at informasjon ikke kommer på avveie, sørge for at uvedkommende ikke kan endre informasjonen og at
informasjonen alltid er tilgjengelig når du og/eller bedriften trenger den.

- Vi fokuserer i veldig stor grad på at vi mister informasjon. Det er en veldig abstrakt problemstilling. Når en bedrift blir hacket blir den frastjålet informasjon. Noen andre har fått en kopi av informasjonen. Bedriften har ikke mistet informasjon, noen har tatt den, sier han og fortsetter:

- I mange tilfeller kan bedriften drive som før. Skadevirkningene og konsekvensene av hackingen blir kanskje ikke synlig neste uke, neste måned. Det kan gå år. Informasjonen som er stjålet brukes lurt og subtilt i mange sammenhenger.

- Mulighet til å stenge ned våre systemer

NRK avslørte nylig at rundt 100 utenlandske IT-arbeidere i lang tid har hatt ufiltrert tilgang til taushetsbelagte og sensitive data om 2,8 millioner norske pasienter i Helse Sør–Øst.

- Diskusjonen i outsourcingsdebatten blir at utenlandske ansatte har tilgang på pasientinformasjon. Det bør være like stor oppmerksomhet på at det er en betydelig risiko å gi ansatte tilgang på pasientinformasjon, uansett statsborgerskap og hvor de sitter hen, sier Thon, før han understreker:

- Vår bekymring er i mye større grad tilgjengelighet, det at mennesker i et annet land har mulighet til å ta ned våre systemer. De trenger ikke en gang å hacke seg inn, fordi de har fått rettighetene til å stenge ned systemet. Det er krise hvis det oppstår en konflikt og de nekter bedriften tilgang til sine opplysninger.

- Da vil menneskeliv gå tapt

Thon beskriver hvordan det å gjøre data utilgjengelig er et godt utpressingsverktøy.

- Her snakker vi om konsekvensene hvis leger og sykehus ikke får tak i informasjon som gjør det mulig for dem å gjøre jobben sin. Da vil menneskeliv gå tapt, sier han og legger til:

- De som er ansvarlig dytter ofte papirer og systemer foran seg. Kjeltringer respekterer ikke våre lover og regler. En databehandleravtale regulerer det juridiske, ikke hva en tredjepart gjør.

- Det finnes ingen garantier

Thon mener at sikkerhet er det viktigste i verden når det er snakk om helse, miljø og sikkerhet. Han mener også at vi må slutte å bli sjokkert over at trusselaktører eksisterer.

- Det er hevet over enhver tvil at det amerikanske presidentvalget ble utsatt for mye forskjellige. Hvem som stod bak og om det påvirket utfallet av valget, blir man nok aldri enig om.

Thon understreker at de som tror dette aldri kan skje i Norge tar feil.

- Det har allerede skjedd, partier som MDG og SV har blitt hacket. Heldigvis var hensikten kun å se om det gikk og hva som skjedde. Men frem mot valget arbeider vi med å sikre og beskytte så godt vi kan, men det finnes ingen garantier.

Hacking og valget i Norge

Om det kommende Stortingsvalget i Norge også kan påvirkes av hackere blir gjenstand for debatt under et frokostmøte tirsdag 9. mai. 

Møtet er i regi av Norges ingeniør- og teknologorganisasjon (NITO). Her blir det demonstrert hvordan hacking foregår. I tillegg skal Anders B. Werp (stortingsrepresentant for Høyre), Ingrid Langerud (kommunikasjonssjef i Arbeiderpartiet), Per Thorsheim (sikkerhetsrådgiver i Passordninja), Trond Markussen (president i NITO) og Hans Christian Pretorius (leder for Cybersikkerhetsavdelingen i Nasjonal Sikkerhetsmyndighet) svare på spørsmål rundt hva som skjer når teknologiutviklingen går raskere enn de politiske beslutningsprosessene som skal ivareta sikkerhetshensyn.

For ordens skyld. Jeg, Christina Gulbrandsen, skal være debattleder under dette møtet, og møtet vil også bli tilgjengelig som podcast i Ingeniørenes stemme. Sjekk for øvrig ut våre andre podcastepisoder her.

- Forstår ikke negative konsekvenser

Thon mimrer tilbake i tid om da det på slutten av 60-tallet pågikk en debatt om nordmenn skulle få tilgang til fargefjernsyn eller ikke. Han vil ikke tilbake til de diskusjonene, men skulle ønske det var mer bevissthet og oppmerksomhet rundt de sikkerhetsmessige aspektene ved ny teknologi.

I så henseende skulle han ønske at den teknologiske utviklingen ikke gikk så fort.

- Vi er flinke til å se det positive ved å ta i bruk ny teknologi, men vi er dårlige på å forstå de negative konsekvensene det har for samfunnet vårt.

Thon trekker frem at den fremste negative konsekvensen er at «vi er sårbare for teknologisk svikt».

- Aktører benytter teknologien til å gjøre ting mot oss. Likevel har ikke Norge en plan B klar for når teknologien ikke fungerer. Vi forventer at den skal være der hele tiden.

- Børsen reagerte momentant

Thon trekker frem hvordan nyhetsbilde en lørdag i desember i fjor var dominert av nyheten om at Vipps (DNBs betalingsapp) ikke fungerte.

- Det er eksempel på at det ikke skal så mye til før vi ser konsekvensene av at teknologi ikke fungerer.

Så kommer han med et mer alvorlig eksempel. I 2013 ble Associated Press sin Twitter-konto hacket. Kontoen har mer enn 1,9 millioner følgere, og meldingen som ble lagt ut lød som følgende:
«Breaking: Two Explosions in the White House and Barack Obama is injured.”

- Børsen reagerte momentant og stupte, sier Thon.

- Kun en promille offentliggjøres

Han vil ha flere ut av skapet.

- For skal vi lære av cyberangrep må flere bedrifter stå frem med sine erfaringer.

Roar Thon i NSM viser hvordan mediene skriver om hacking. Foto: Christina Gulbrandsen
Roar Thon i NSM viser hvordan mediene skriver om hacking. Foto: Christina Gulbrandsen

Mange har nok lagt merke til avisoverskriftene som rapporterer om hacking. Eksempler er:

Tidenes hacker-angrep i Norge (DN). Mistanke om mer russisk hacking (DN). Mafiametoder mot norske banker (DN). - Hacking er superlett (VG). Europa frykter russisk hacking (VG). Slik kan hjemmet ditt bli hacket (VG). Anmelder Facebook-hacking og trusler på skole (Aftenposten). Norske politikere advares mot utenlandsk hacking (Aftenposten). Kan ikke garantere at hacking avsløres i tide (Aftenposten). Stortinget og statsministeren overvåkes (Aftenposten).

Men som Thon minner om, kun en promille av alle angrepene som skjer kommer ut i media.

- Utbetalte en halv milliard til hackere

Thon forteller om en stor økning i datakriminalitet. Det fryktes også store mørketall fordi mye ikke anmeldes til politiet. Politiet har gått ut i media og advart mot bedrageribølger der norske bedrifter er under angrep.

- En norsk økonomisjef i et internasjonalt selskap ble lurt av hackere til å utbetale en halv milliard kroner. Selskapet fikk stanset 400 millioner, men tapte 100, sier Thon og legger til:

- Vi fremstiller hacking som et komplekst teknologisk problem, men det er mennesker som lurer andre mennesker ved hjelp av teknologi, enten e-post eller telefonsamtaler. Hva er komplekst med det?

- Slutt å sutre

- På 80-tallet fikk vi i politiet mobiltelefon. Den krevde ingen kompetanse fordi den kun kunne brukes til å ringe med, akkurat som fasttelefonen. I dag har vi dyttet alle tjenestene i smarttelefonen, sier Thon og fortsetter:

- Det heter en smarttelefon, og det er fordi telefonen er smart. Ikke vi. Vi tror vi kontrollerer og styrer verden, men de aller fleste av oss har ikke anelse om hva telefonen er i stand til, hva den gjør når vi ikke bruker den. De fleste forstår ikke konsekvensen av at vi har den med oss overalt.

Thon har ingen problemer med å kalle oss naive.

- Vi tror ikke på at aktører ikke vil oss alt godt. Faktum er at vi ikke får gjort noe med at hackere eksisterer. Derfor må vi slutte å si «stop spying». Isteden må vi fokusere på det vi kan gjøre noe med, og ikke sutre for at de holder på. Det hjelper ikke en dritt.

- Dynamiske og profesjonelle hackere

Du husker kanskje i november i fjor da saken om den store svindelsaken sprakk i norske medier. Bankkortinformasjonen til så mange som 45.000 norske kunder kunne være misbrukt, bare fordi de hadde handlet i en internasjonal nettbutikk.

- Men bankene ville ikke oppgi hvilken nettbutikk det var, og kundene som var rammet skulle få et nytt kort i posten. Dette visste kjeltringene å utnytte. De opprettet en falsk tjeneste på nett der du kunne taste inn kortinformasjonen din for å sjekke om du var rammet, sier Thon og fortsetter:

- Dette viser hvor dynamiske og profesjonelle hackerne er. De følger med på det som skjer og vet hvordan de skal utnytte det.

- Angrepsmetode nr. 1

Hver eneste dag sendes det 269 milliarder e-poster.

- Angrepsmetode nummer én er e-post. Vedlegg og lenker som blir åpnet av oss. Reglen er at du ikke skal åpne vedlegg eller klikken på lenker fra folk du ikke kjenner. Men er ikke det jobben vår? Å åpne e-poster vi får fra folk vi ikke vet hvem er, sier Thon.

Han mener det er viktig at ansatte enten sletter mistenkelige e-poster eller har et sted å rapportere de som ser mistenkelige ut.

- Det hjelper ikke å videresende e-posten til 11 kollegaer for å høre deres mening. Vi blir lurt. Vi åpner lenker og vedlegg.

Derfor sier Thon det er viktig med sikkerhetssystemer som blokkerer, detekterer, rapporterer og logger. I tillegg trenger vi, ifølge ham, systemer som aktiveres når skaden først er skjedd.

- Analoge mennesker i en digital verden

Han vil at vi skal huske hvordan vi som mennesker mister noen av sansene våre når vi setter oss foran datamaskinene eller tar opp smarttelefonene våre.

- Vi har bare syn og hørsel, og kan håpe på at vi bruker hodet. Vi kan ikke ta på, lukte eller smake på den informasjonen vi får. Du kan selvfølgelig bite og lukte på ipaden din, men du får ingen tilbakemelding på om du er utsatt for risiko slik vi får i det virkelige liv. Dermed opplever vi ikke frykt, trusler og risiko på samme måte. Vi kan ikke gå etter magefølelsen, sier Thon.

- Vi er blinde digitalt. Vi er analoge mennesker i en digital verden. Ett av våre mål er at så mange som mulig forstår at de har et ansvar for egen og arbeidsplassens sikkerhet. Det er mye å hente på å aktivere det som er mellom ørene, legger han til.

Denne gangen gikk budskapet tydeligvis inn, for på en papirlapp skrev en av tilhørerne dette etter å ha hørt på Thon:

«BRUK HODET!»

Roar Thon vil at flere skal bruke hodet. Foto: Christina Gulbrandsen
Roar Thon vil at flere skal bruke hodet. Foto: Christina Gulbrandsen