– Mer datakrim må anmeldes

Stadig mer digitalisering skaper nye farer. Sektorene må samarbeide bedre og datakriminalitet må politietterforskes, mener NTNU-forsker.

 

I høst tar Norges teknisk-naturvitenskapelige universitet (NTNU) for første gang opp 150 studenter på utdanninger innen IKT- og informasjonssikkerhet. Det er en tredobling siden 2016. Økningen er en følge av en stor politisk satsing, og lite tyder på at de utdanner seg til arbeidsledighet. Et mer digitalisert samfunn er også på mange måter et mer sårbart samfunn.

– I Norge er det gjort et estimat på at kostnadene knyttet til cybersikkerhetshendelser er cirka 20 milliarder kroner i året, sier Nils Kalstad Svendsen.

Han er instituttleder ved Institutt for informasjonssikkerhet og kommunikasjonsteknologi ved NTNU.

– Dette kan for eksempel være snakk om tapte anbudskonkurranser som følge av industrispionasje eller tapte patentrettigheter som gjør at det kommer kopiprodukter ut i markedet.

Les også: Silje trodde hun hadde fått virus - det var mye verre

Utsettes for agenter

– Politiets sikkerhetstjeneste sier at etterretningsnivået nå er på linje med, eller høyere, enn under den kalde krigen. Det har blitt enklere å drive etterretningsvirksomhet fordi det er mye mer informasjon tilgjengelig, og raskere, enn før da du hadde kartotek og papirarkiv, sier Svendsen.

Han mener at dagens etterretning kan oppnå mye ved å kombinere kontakt med enkeltpersoner med hackerangrep. Det gjør bedrifter og stater mer utsatte.

– Nå kan du få tilgang til mye informasjon gjennom utpressing og manipulasjon. Det er flere som har betydelig kapasitet til å bruke både tid og energi på å «komme gjennom».

Slike angrep kan skje ved at en ansatt blir lurt til å oppgi passord eller utpressing.

– Da er det for eksempel snakk om sex, alkohol og narkotika. Det er litt sånn «James Bond-aktig», sånn som man ser på film, men det er sånn de jobber. De finner et ømt punkt og skviser til.

Følg Dagsavisen på Facebook og Twitter!

Kan true hele landet

Cyberkriminelle kan også finne «hull i systemene» som gjør at de kan få tilgang flere steder samtidig.

– Vi er en liten nasjon og har begrenset med mennesker og ressurser. En trussel kan bevege seg på tvers av sektorene, forklarer Svendsen.

Man kan se på det slik: På en arbeidsplass har hver ansatt en nøkkel som går til eget kontor og til hovedinngangsdøra. Om en nøkkel forsvinner er det overilt å bytte alle låsene. Men om fem nøkler forsvinner vil man fort vurdere å bytte alle låsene – med mindre de er stjålet fra ulike avdelinger og hver avdeling ikke vet hva som har skjedd på de andre avdelingene.

Derfor er NTNU nå i gang med å opprette Norwegian cyber range, et virtuelt øvingslandskap for dataangrep på tvers av flere sektorer.

Saken fortsettet under bildet.

Utsnitt av serveren som huser Norwegian Cyber Range.
Foto: Julie Kalveland

Utsnitt av serveren som huser Norwegian Cyber Range, der studenter innen datasikkerhet skal få øve seg. Foto: Julie Kalverland

Les også: – Plutselig var det noen som hadde kommet seg inn på min Facebook. Jeg fikk helt panikk.

Vil modellere påvirkning

– Hvis du ikke har blitt brent er det vanskelig å ha respekt for ei varm kokeplate og vite hvordan du skal håndtere det, sier Svendsen.

– Det nye er at man i denne «cyber range-en» er at studentene vår kan modellere hvordan noe som skjer i en sektor for eksempel helse eller energi, for så å se hvordan dette påvirker andre sektorer.

Arenaen skal utvikles i samarbeid med blant annet Forsvaret, Telenor, Sivilforsvaret og Norsk senter for informasjonssikring og modellene skal på sikt kunne brukes til å vise beslutningstakere hvilke følger deres beslutninger kan få.

– Må anmelde

Kampen mot digitale angrep er styrket, men må tas videre, mener Nils Svendsen. Han mener det er tre viktige grep som må tas:

* Bedre samhandling mellom sektorer

* Mer kompetanse

* Flere politianmeldelser

– Samhandlingen på tvers av sektorene må bli bedre, kompetansen i hver enkelt sektor må styrkes, og vi må styrke samfunnets evne til å følge opp hendelser. Der inngår både politiet og forsvarets arbeid, sier Svendsen.

Det siste punktet Svendsen trekker fram går på at både bedrifter og politiet må ta tak i datakriminalitet.

– Hvis det skjer noe i en virksomhet vil man i dag ofte behandle saken internt. Det er relativt få saker som anmeldes, etterforskes og fører til domfellelse. Det digitale livet må bli likere resten av samfunnet. I dag er det sånn at hvis det gjøres et innbrudd, så meldes det til politiet. Hvis det gjøres et digitalt innbrudd må det bli like vanlig å melde det til politiet, uten at det føles tåpelig, sier Svendsen.

– Det er mange som jobber med dette i politiet, og vi har et godt samarbeid, men det er fortsatt en lang vei å gå.

Les kronikk: En digitalt dement nasjon

 

Skal utdanne politikerne

Norske beslutningstakere trenger større teknisk forståelse, mener Stewart Kowalski.

– Hvis man skal ta en avgjørelse må man være bevisst på hvilken risiko man tar, sier Stewart Kowalski, som er professor ved NTNU og en av dem som vil få ansvaret for Norwegian Cyber Range.
Kowalski har lang erfaring med datasikkerhetsarbeid, blant annet fra telekomselskapet Eric­­­s­­­son.

– Har de som fatter beslutninger i Norge en for dårlig teknisk forståelse?

– De trenger erfaring og praksis. Kunnskapen deres er ikke-effektiv. De bruker ofte mye tid på å diskutere små problemer, og ikke nok tid på å diskutere store problemer. Det er ikke balanse mellom trusselbildet og ressursene man bruker på å løse problemet.

– Anbefalte feil løsning

Kowalski viser til sikkerhetsfeilen Heartbleed. Heartbleed ble avslørt i 2014 og ble omtalt som «den største sikkerhets-glippen i historien». Den rammet sosiale medier, nettskyer og banker og gjorde sensitiv informasjon åpent tilgjengelig.

– For å løse problemet måtte man installere nytt software, sier Kowalski.

– Isteden gikk man ut og sa at folk måtte bytte passord. Det er et eksempel på en rask reaksjon, men uten å ha fokusert på hva som er problemet.

– Må vurdere nytten

Professoren mener at en av de største utfordringene i Norge i dag er å finne sikkerhetsløsninger som er kostnadseffektive.

– Vi vet, teknisk sett, hvor­­­dan vi kan løse mange problemer. Det vi ikke vet er hvordan vi kan gjøre det kostnadseffektivt.

Han mener også det er verdt å påpeke vi enda ikke vet hva de tekniske løsningene i dag vil føre til:

– Vi vet ikke hvilken nytte  vi får av digitaliseringen på samfunnsnivå. Det er alltid en vurdering av nytte og kostnad. Vi sier at teknologien skal gjøre samfunnet mer effektivt, men jeg, som er professor i datasikkerhet, jobber fortsatt førti timer i uka.

 

Store mørketall

* Over en fjerdedel av norske virksomheter (27 prosent) ble utsatt for “uønskede sikkerhetshendelser” i 2015, ifølge Mørketall-sundersøkelsen 2016 som gjennomføres av Nærings-livets Sikkerhetsråd.

* Kun 9 prosent av virksomhetene som utsettes for angrep tar saken videre til politiet.

* Virksomhetene mangler oversikt over hva sikkerhetshendelsene koster dem, eller undervurderer kostnadene, mener forfatterne bak undersøkelsen.

* Undersøkelsen konkluderer med at dataangrep mot norske virksomheter i praksis er straffefrie.

Kilde: Mørketallsundersøkelsen 2016