Denne artikkelen viser hvordan cyber kan være en stats viktigste effektor i en diplomatisk krise. Artikkelen ser på digitale sårbarheter og belyser Norges manglende evne til å håndtere et massivt, destruktivt cyberangrep. Trusselen er langt ifra ny, og det er stor sannsynlighet for at den blir stadig større gjennom kontinuerlig digital utvikling. Men hvorfor er […]
Nyhet
Destruktive Cyberangrep – den strategiske stridsvognen
Denne artikkelen viser hvordan cyber kan være en stats viktigste effektor i en diplomatisk krise. Artikkelen ser på digitale sårbarheter og belyser Norges manglende evne til å håndtere et massivt, destruktivt cyberangrep. Trusselen er langt ifra ny, og det er stor sannsynlighet for at den blir stadig større gjennom kontinuerlig digital utvikling. Men hvorfor er det så få stemmer med i det offentlige ordskiftet om dette problemet?
AV VEGARD FLOM
Oberstløytnant Vegard Flom tjenestegjør i Hærstaben. I tillegg til sin militære utdannelse har han en Bachelor of Management fra BI og en Master i Statsvitenskap fra Universitet i Tromsø
Det kan argumenteres for at den vestlige verden er blitt digital, i alle fall er den på god vei. Større og større deler av befolkningen blir daglig knyttet opp mot, og blir avhengige av den digitale infrastrukturen i sine daglige liv. Det være seg matvarehandel, drivstoff, strøm, bank, arbeid osv. Denne utviklingen er tilsvarende også innenfor offentlig og privat tjenesteyting. Kort fortalt: En voksende del av samfunnet vårt er tilknyttet word wide web. Basert på dette kan en tenke seg at truslene også skifter form og uttrykk. Både privatpersoner og samfunn har fått en ny trussel-dimensjon å forholde seg til. Ikke noe nytt tenker du? Enig. Da er det besynderlig at vi ikke er mer opptatt av dette.
Den digitale slagmark
Lille julaften 2015 mistet 230 000 innbyggere strømmen vest i Ukraina. Undersøkelser viser at strømleverandører hadde blitt utsatt for et cyberangrep som overtok styringen av strømnettets fysiske kontrollsystemer. I de påfølgende måneder ble ukrainsk jernbane, post- og bankfusjoner, havner, transportbransjen og departementer for infrastruktur, forsvar og finans angrepet jevnlig gjennom destruktive cyberoperasjoner, som hadde til hensikt å ødelegge den digitale infrastrukturen. I departementet for finans ble 80% av computerne ødelagt av wipeware.
17. desember 2017 ble en hovedtransformator i Ukraina angrepet og forstyrret strømforsyningen i store deler av landet i timer. Samme fremgangsmåte som i 2015. Grunnet eldre elektriske komponenter var det mulig å slå på strømmen manuelt når problemet ble identifisert. 27. juni 2017 ble den digitale infrastrukturen til selskapet Maersk ødelagt av wipeware. Det danske Maersk er et av verdens største maritime transportselskap, med 540 kontorer i 130 land. Angrepet startet i Kiev, hos et lite familieeid software-firma som spesialiserte seg på regnskapsprogrammer. NonPetya, som viruset ble døpt, spredde seg til alle som hadde installert regnskapsprogrammet M.E.Doc. Viruset traff Maersk og andre transnasjonale selskaper gjennom underleverandørkjeden.
NonPetya hadde som hensikt å ødelegge all digital infrastruktur. Viruset benyttet blant annet et verktøy som var utviklet av National Security Agency (NSA), EternalBlue, som hadde blitt stjålet i en datalekkasje tidligere i 2017. Parallelt med å herje i ukrainsk digital infrastruktur, gikk viruset globalt grunnet den tette digitale interaksjonen mellom selskapene. Viruset påvirket i tillegg til Maersk i Danmark, sykehus i Pennsylvania, en sjokoladefabrikk i Tasmania, farmasøytiske giganten Merck, franske entreprenørselskap, matvarelevereandøren Mondelès, det russiske oljeselskapet Rossneft og andre store transportselskaper som FedEx. De økonomiske kostandene var enorme, anslått til 100 milliarder kroner totalt. I Ukraina var over 300 selskaper påvirket og ca. 10% av landets computere ble ødelagt. Angrepet, som regnes som verdens største, spores tilbake til russiske GRU og gruppen SANDWORM. Er Norge forberedt på noe slikt?
Pressedekningen av krigen i Ukraina, som startet i 2014, har primært handlet om de militære operasjonene på bakken i Donbass. Det som ikke har fått så stor oppmerksomhet, utenfor spesielle miljøer, er hvordan cyber har blitt en viktig del av nasjonal evne til påvirkning, på lik linje med tradisjonelle militære styrker. Denne utfordringen er heller ikke til stede i det offentlige ordskifte i Norge utenfor begrensede miljøer, med hederlig unntak. Svendsen-rapporten som kom ut i 2020, belyser for eksempel behovet for at vi tilegner oss både kompetanse og evne til å håndtere denne type trusler.
Norge har kommet langt i å digitalisere samfunnet, noe som gjør at samfunnets infrastruktur, som vi alle er avhengig av, er blitt en viktig sårbarhet for å tvinge nasjonen i kne i en diplomatisk krise. Jeg skal i det følgende beskrive hvordan. Jeg vil ta utgangspunkt i et fiktivt senario, og vil komme med noen overordnede anbefalinger på hvordan Norge bør innrette seg for å stå bedre rustet til å møte fremtidens strategiske stridsvogn. Destruktive cyberangrep har svært høy mobilitet, svært effektiv ildkraft og beskyttelse gjennom at det er vanskelig å fastslå med 100% sikkerhet hvem angriperen er. Mobilitet, ildkraft og beskyttelse ─ alt det vi søker etter i en moderne stridsvogn.
Jeg starter med det fiktive scenarioet, som grunnlag for den videre diskusjonen.
Hvordan vil et digitalt 9. april se ut? Bildet viser Cybersikkerhetssenteret (CSS) på Jørstadmoen. Foto: Anette Ask/Forsvaret.
Et digitalt 9. april.
Etter hvert som isen trekker seg tilbake i Polhavet, oppstår det en mellomstatlig konflikt rundt oljefunn. Norge hevder at funnet er innenfor norsk territoriell grense og innenfor nasjonal økonomisk sone. Den andre staten, jeg kaller den XX, mener at det ikke er slik, og eskalerer med maritime styrker i Barentshavet. Norge har forsterket Svalbard med landstyrker, til internasjonale protester, da dette bryter med Norges historiske forvaltning av Svalbardtraktaten. Det har ikke oppstått en militær konfrontasjon, men det diplomatiske klimaet er svært spent.
Så en fredag ettermiddag opplever store deler av Agder fylke at strømmen blir borte. Det er ikke mulig å benytte bankterminaler for å handle, og internett i store deler av regionen er borte. 40 000 husstander har mistet strømmen. Følgeeffekter er at helgehandelen ikke kan bli gjennomført uten kontanter, og har du mat kan den ikke tilberedes uten åpen ild eller gass. Betaling av regninger og andre bankfusjoner fungere heller ikke. Innenfor offentlig sektor blir sykehus, kommunale tjenester, nødsentraler, trygghetsalarmer for eldre og lignende berørt. Dette vedvarer gjennom helgen og mandag ettermiddag får norske myndigheter, gjennom norsk media, informasjon om at det er en hackergruppe som står bak angrepet. De påstår at de har infisert all kritisk digital infrastruktur over hele landet. Hvis ikke Norge oppgir sitt krav på oljefunnet i Polhavet, vil gruppen gjennomføre et nasjonalt angrep tilsvarende det på Sørlandet.
Parallelt med det destruktive angrepet, foregår det en massiv digital påvirkningsoperasjon som bruker sosiale medier, internettreklamer og artikler på digitale plattformer, som hevder at land XX har historiske rettigheter til Polhavet. Rettigheter som gjør at Norge ikke har rett til den oljen som finnes der. Videre beskrives Norge som aggressoren, at Norge misbruker sin posisjon på Svalbard, og at Norge utfordrer freden mellom de to stater gjennom sine handlinger.
Scenarioet som beskrevet, vil åpenbart skape utfordringer i Norge tilsvarende det vi har sett i Ukraina de siste fem årene. Hele samfunnet vil bli involvert og påvirket. Kampen om narrativet er sentralt, og det norske totalforsvarets evne til å håndtere det pågående cyberangrepet vil raskt utsettes for enorme prøvelser. Spørsmålet blir: Hva vil påvirke den norske responsen mest: En mulig militær konflikt om et havområde de fleste innbyggerne i Norge ikke har et forhold til og mener kanskje at Norge ikke har bruk for? Eller et stadig voksende krav fra befolkningen om at myndighetene må håndterer den direkte trusselen om å miste det mest elementærere i vårt samfunn, som strøm, internett, bensinpumper, tilgang til elektronisk banksystem, mulighet til å handle og varme mat, grunnleggende helsetjenester osv? For å understreke poenget: Gå inn på internett- og strømleverandørenes facebooksider og les kommentarfeltet neste gang enkelte områder opplever bortfall av strømleveranser.
I Ukraina samlet digitale angrep nasjonen mot en ekstern trussel. Angrepene var rettet mot den nasjonale eksistensen. Artikkelens beskrevne senario, der konflikten er om et havområde som majoriteten av den norske befolkningen har et perifert forhold til, vil ikke ha en like samlende effekt. Norge er derfor sårbart for et cyberangrep som vil presse politikerne til å forholde seg til en befolkning hvor hverdagen blir sterkt påvirket. Hvordan befolkningen identifiserer seg med norsk sikkerhetspolitikk vil derfor være viktig for hvilke politisk handlingsrom en slik potensiell konflikt gir.
NATO anerkjente cyber som et krigføringsdomene i 2016, og alt i 2014 besluttet NATO at også et cyberangrep kan betraktes som et angrep som utløser selvforsvarsrettens artikkel 5. Utløsning av artikkel 5, krever imidlertid at den angrepene part vet hvem som utfører angrepene. Angrepene på blant annet Ukraina, har vist at det er svært vanskelig å stadfeste angriperen med 100% sikkerhet, derfor kan en anta at utløsningen av artikkel 5 basert på et cyberangrep på et medlem vil være vanskelig, og trekke ut i tid.
Gitt at det finnes politisk vilje, er Forsvaret best egnet til å forsvare vårt territorium. Men oppleves det omstridte territoriet å være perifert, vil digital påvirkning av samfunnets innbyggere være langt mer effektivt enn militær makt. Motstanderens cyberoperasjoner i Norge vil kunne endre utfallet av en politisk krise, selv om tradisjonelle militære styrker ikke er tatt i bruk.
Cyberspionasje
I 2015 utga Direktoratet for samfunnssikkerhet og beredskap (DSB) en vurdering av de nasjonale konsekvensene av et cyberangrep mot Norge. Selv om DSB konkluderte med at sannsynligheten var liten, var konsekvensene store. Både evnen og viljen til å benytte cyber i mellomstatlige konflikter har imidlertid økt betraktelig siden 2015.
Også E-tjenesten fremhever den digitale trusselen mot Norge. Blant annet blir den digitale «Silkeveien» brukt som begrep. Kinas president har stadfestet at landet skal bli en digital supermakt. I verden i dag foregår det derfor et digitalt kappløp i det digitale domenet hvor utvikling av ny teknologi og mottiltak vil utfordre myndighetene i åpne demokratier. Et eksempel er utbyggingen av 5G-nett, som gir kommersielle aktører større tilgang på, og større påvirkningsmulighet på informasjon, tjenester og infrastruktur som samfunnet er avhengig av for å kunne fungere. De aktørene som kontrollerer nasjonalt viktig kommunikasjon vil effektivt kunne benytte dette i påvirkningsoperasjoner, og til å infiltrere andre digitale infrastrukturer. Edward Snowdens avsløringer i 2013 viser hvor mye makt en slik kontroll gir.
Amerikanske NSA og britiske Government Communications Headquarters (CGHQ) driver som kjent en massiv overvåking av egne og utenlandske borgere, av selskaper og av andre lands myndigheter. De overvåker majoriteten av telefon- og datatrafikk i verden, og innhenter data fra de store selskapene som Microsoft, Google, Facebook, Skype og YouTube. Avsløringer av dette viser at denne kunnskapen er brukt til å gi nasjonale fordeler, for eksempel i forhandlinger om handelsavtaler. Sårbarheten forsterkes av en stadig økning i «tingens internett», det vil si internettilkobling av hverdagslige gjenstander.
Center for Cybersikkerhet i Danmark vurderer at faren for destruktive cyberangrep mot Danmark de neste to årene er lav. Det skyldes primært fraværet av intensjonen blant mulige aktører, men kapabiliteten hos disse aktørene utvikles løpende. Trusselen fra cyberspionasje, derimot, er vurdert til å være meget høy. Den rettes mot danske beslutningstakere, industri og ikke minst opinion. Slik spionasje kan gjennomføres med en lav profil, og det kan tenkes at de samme aktørene opprettholder sin skjulte tilgang til de samme nettverk, slik at destruktive angrep kan iverksettes ved behov. Basert på erfaringene gjort i Ukraina og Baltikum, underbygget av nasjonale trusselvurderinger og de verdensomspennende konsekvensene av slik aktivitet, vil cyberangrep kunne bli en viktig del av en nasjons trusler og virkemidler.
Hybride trusler og operasjoner innebærer at en stat bruker alle tilgjengelige virkemidler. Tradisjonell militærmakt er kun en av dem, cyber er en annen. Ser vi på russiske operasjoner siden den kalde krigens slutt, er det grunn til å tro at Russland som stat har benyttet tradisjonell militær makt i Georgia, destruktive cyberoperasjoner mot Estland, spesialoperasjoner under annekteringen av Krim, hybride operasjoner i sin innblanding i Øst-Ukraina, og en blanding av tradisjonell og ukonvensjonell militærmakt i Syria.
Det digitale totalforsvaret
Hvorfor er vi ikke mer synlig bekymret for digitale trusler? Er det fordi en kniv, eller en stridsvogn ser mye skumlere ut? Foto: Anton Ligaarden/Forsvaret.
En studie fra Norges teknisk- naturvitenskaplige universitet, NTNU, presentert i Dagens Næringsliv, stiller spørsmål ved om Norges ulike nettselskap er forberedt på cyberangrep mot kraftsektoren. Studien peker på store svakheter, og hevder at strømselskapenes evne til å opprettholde levering av strøm til det nasjonale strømnettet er utilfredsstillende. Det er sårbart for å bli stengt ned gjennom cyberangrep. Kraftselskapene har i de siste årene vært gjennom en digitaliseringsprosess som gjør at stadig flere underleverandører og eksterne systemer styrer strømmen vår. Det betyr at sårbarheten øker og at en potensiell motstander har flere veier inn til norsk strømforsyning. Det er svært likt det Ukraina har opplevd to ganger. Videre hevder en annen masteroppgave, som undersøker de ikke-tekniske barrierene innen cybersikkerhet for nettselskaper, at disse er sårbare grunnet menneskelig tolkning og forståelse.
Ulike cybertrusler kan ha ulike drivkrefter og ulik alvorlighetsgrad, men en ting kan vi være helt sikre på, problemet har kommet for å bli. Foto: cybersecurelight.eu
Teknologien og kunnskapen som ligger til grunn for å kunne gjennomføre cyberangrep, var tidligere forbeholdt nasjonalstater. Men slik er det ikke lengre, noe som er med på å forsterke trusselen, men også å gjøre aktørbilde mer utfordrende å forholde seg til. Det skyldes muligheten for å spre informasjon og kunnskap mellom ulike miljøer. NSA har for eksempel hatt lekkasjer som private aktører har tilgang på, og land kan i dag kjøpe kapasitet fra private selskaper.
Telenor og Forsvaret inngikk i 2018 en avtale som styrker deres samarbeid om å beskytte kritisk infrastruktur. Denne avtalen viderefører det tradisjonelle samarbeidet mellom Forsvaret og det gamle televerket under den kalde krigen. Men truslene og sårbarheten er helt annerledes nå. Forsvarssjefens Militære råd 2019 (FMR) sier at det er vanskelig å rekruttere personell med riktig kompetanse innenfor cyber, men er det noe lettere for Telenor? Utfra hovedpunktene i avtalen vil den heller ikke øke beskyttelsen av kritisk infrastruktur i hele totalforsvaret i vesentlig grad, men skal styrke samarbeidet mellom de to aktørene primært med informasjonsdelen. Videre kompliseres dette ved en utstrakt tjenesteutsetting til mange ulike kommersielle aktører.
FMR slår selv fast at Forsvarets evne til å gjennomføre cyberoperasjoner er liten. Sårbarheten for norsk infrastruktur er identifisert og det har vært en rivende utvikling innenfor dette domenet, som vi har sett i Ukraina.
Også innenfor kriminalitet utgjør cyber en ny dimensjon. Det anslås at cyberkriminalitet koster 600 milliarder kroner på verdensbasis. Det er kriminelle som istedenfor fysiske innbrudd gjør innbrudd i virtuelle nettverk og enten stjele penger, driver utpressing gjennom randsomprogrammer eller direkte svindel. Antakelig står både statlige aktører og kriminelle bak angrepene. Det finnes for eksempel konkrete bevis på at Nord-Korea ved flere anledninger har hacket banker, og rett og slett utført elektroniske bankran.
Norge må ha en helhetlig tilnærming til hvordan vi håndterer digitale trusler som både gjelder offentlige institusjoner og kommersielle aktører. Totalforsvaret må utdannes og øves jevnlig for å kunne håndterer de digitale truslene. Private samfunnskritiske aktører må kravsettes til å implementere effektive cyber-mottiltak. En av utfordringene er at det vanskelig å få innsikt i hvordan det egentlig står til i Norge fordi tematikken fort blir høyt gradert og skjermet for innsikt. Dette utgjør et problem siden det etter forfatterens undersøkelser heller ikke finnes et tverrsektorielt fora hvor offentlig og privat møter med sine beste hoder og som kommer frem med anbefalinger på hvordan nasjonen skal håndterer dette. Stortingets åpenhet om cyberangrepet i september 2020 mener jeg bør bane vei for hvordan dette skal håndteres i offentligheten. Dette er et felles løft hvor informasjon må deles, diskuteres og konkluderes, basert på kompetanse og ikke hindres grunnet sektorenes kamp om ressurser og innflytelse.
Oppsummering
I et forsøk på å oppsummere, vil jeg hevde at cyber er en sårbarhet vi må forholde oss til fremover med en mer holistisk tilnærming enn den vi utviser i dag. Dette må være en av de viktigste faktorene som definerer utviklingen av totalforsvaret.
Tidligere var det enkelt å definere nasjonens primære aktører for samfunnssikkerhet; politiet og Forsvaret. Men hvordan er det i det digitale samfunnet? Er det fortsatt disse to aktørene som er våre primære sikkerhetsgarantister? Gjelder fortsatt sektorprinsippet i nasjonens digitale krisehåndtering? Jeg mener at digitaliseringen utfordrer dette, og at evne til sikkerhet innenfor det digitale må sentraliseres. Hvem har for eksempel ansvaret for å beskytte våre digitaliserte og automatiserte strømmålere? Er det det enkelte strømselskap? Kjernen i dette spørsmålet går tilbake til nasjonale og private selskapers og offentlige etaters styringssystemer. Forsvarets egen sjef for Cyberforsvaret, sier selv at Forsvaret ikke har mulighet for å håndtere et fiendtlig cyberangrep. NSMs rapport «Helhetlig digitalt risikobilde 2020» bekrefter at de digitale operasjonene mot Norge blir mer komplekse og sofistikerte, og håndteringen av disse er både tid- og ressurskrevende. Videre skriver NSM at mange virksomheter mangler risikoreduserende tiltak.
Offentlig sektor bør jobbe for å bedre sin digitale modenhet på alle nivå, ved blant annet kompetanse og en helhetlig IKT-utvikling slik at effektive sårbarhetsreduserende tiltak kan utvikles og iverksettes. Aktører i totalforsvaret bør omfattes av samme utvikling, slik at nasjonens kritiske infrastruktur blir bedre beskyttet.
Norge som medlem av FN sikkerhetsråd, og som internasjonal aktør, bør også benytte sin internasjonale status til påvirkning ved å rette fokus på at cyber som effektor i konflikter potensielt har store konsekvenser for sivilbefolkningen. Det bør også arbeides for å utvide Genèvekonvensjonene slik at de omfatter både intenderte og uintenderte konsekvenser for sivil befolkning av cyberoperasjoner. Destruktive cyberoperasjoner og digitale påvirkningsoperasjoner er blitt et svært effektivt våpen som kan skape betydelig sivil lidelse som jeg mener må forbys internasjonalt.
Det er vanskelig ikke å bli en dommedagsprofet når man tenker på dette temaet. Ikke bare fordi det er komplisert å forstå en digital verden og dens trusler, men også fordi det som følge av graderinger og upresise trusselvurderinger er lite tilgang på informasjon. En ting er jeg helt sikker på, problemstillingen har kommet for å bli, og har et meget høyt utviklingstempo som gjør at små åpne demokratiske nasjoner vil ha store problemer med å håndtere dette.
- www.nrk.no/norge/cyberangrep-mot-norge-oker-sterkt-1.13326267
- www.pst.no/blobalassets/artikler/trusselvurderinger/pst_trusselvurdering-2020_web_oppslag.pdf
- www.aftenposten.no/verden/i/WOlg/de-sa-det-var-umulig-naa-klarer-russiske-hackere-aa-slaa-av-stroemnettet
- Sandworm Andy Greenberg (2019). ISBN 9780385544405. s.62.
- www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/
- Det kan ikke bevises at Russland har stått bak CYBER operasjonene i Ukraina. Men indisier og bevis peker mot grupper som jobber for GRU enten som fast ansatte eller som frilansere.
- Informasjon om nasjonale cybertiltak og en motstanders evne til å gjennomføre slike, er gradert informasjon, noe som gjør at forfatteren ikke har full oversikt over alle tiltak som er iverksatt i totalforsvaret i Norge.
- www.regjeringen.no/no/aktuelt/svendsen-utvalget-mener-forsvaret-trenger-okt-lederkraft-og-mangfold/id2715829/
- www.pst.no/blobalassets/artikler/trusselvurderinger/pst_trusselvurdering-2020_web_oppslag.pdf
- Etterretningstjenesten FOKUS 2020.
- www.nato.int/docu/review/articles/2019/02/12/natos-role-in-cyberspace/index.html
- www.dsb.no/rapporter-og-evalueringer/national-risk-analysis-2014/
- www.pst.no/blobalassets/artikler/trusselvurderinger/pst_trusselvurdering-2020_web_oppslag.pdf
- Overvåket Glenn Greenwald (2014), ISBN: 9788202440398
- www.fe-ddis.dk/cfcs/publikationer/Documents/Cybertruslen-mod-Danmark-2020.pdf
- www.nupi.no/Skole/HHD-Artikler/2016/Hybrid-krigfoering-hva-er-det
- www.dn.no/innlegg/datasikkerhet/cyberangrep/hacking/innlegg-sviktende-beredskap-mot-hacking-i-stromnettet/2-1-877303
- www.uis.brage.unit.no/uis-xmlui/handle/11250/2628574
- www.nsm.no/regelverk-og-hjelp/rappoerter/sikkerhetsfaglige-anbefalinger-ved-tjenesteutsetting/bakgrunn/
- Telenor Pressemelding 17. januar 2018
- FMR 2019 s.78
- www.visolit.no/artikler/tjenesteutsetting-av-it-hva-koster-det
- www.onslaught.itavisen.no/2019/08/13/nord-korea-stjal-to-milliarder-dollar-for-a-spytte-det-i-kjernevapenprogrammet-sitt/
- Stortinget.no/Hva-skjer-på-Stortinget/nyhetsarkiv/Pressemeldingsarkiv/2019-2020/it-angrep-mot-stortinget/
- www.digi.no/artikler/debatt-sikkerhet-i-det-digitale samfunnet-v2-0/500004
- www.infosec.sintef.no/informasjonssikkerhet/2017/10/cybersikkerhet-og-stromnettet/
- www.tidsskriftet-ip.no/index.php/intpol/article/view/2288/4577
- www.nsm.no/regelverk-og hjelp/rapporter/helhetlig-digitalt-risikobilde-2020/