Det fikk stor oppmerksomhet, det kommunal- og distriktsminister Sigbjørn Gjelsvik og lederne for Departementenes sikkerhets- og serviceorganisasjon (DSS) og Nasjonal sikkerhetsmyndighet (NSM) hadde å fortelle pressen: At datainnbruddet i departementene var å anse som meget alvorlig, utført på et nivå som kunne tilsi statlige aktører – og at innbruddet hadde kompromittert IT-plattformen for kommunikasjon og saksbehandling. De kunne også fortelle at nøkkelpersoner var kalt tilbake fra ferie, og at departementet, DSS, og NSM jobbet under høytrykk sammen med eksterne dataeksperter og Kripos for å kartlegge hva som hadde skjedd og å begrense skadevirkningene.
Oppsikt internasjonalt
At angrepet mot de norske departementene også fikk omtale i internasjonal presse, fra The Wall Street Journal til The Hacker News, skyldtes nok ikke bekymring for at norske departementale hemmeligheter var kompromittert – men at angrepet var muliggjort av sårbarheter i IT-plattformen Ivanti Endpoint Manager Mobile fra det amerikanske programvareselskapet Ivanti. For dette er programvare som har mange store offentlige så vel som private brukere rundt om i verden. Og det som særlig vakte oppmerksomhet i fagpressen, var at Oslo-baserte Mnemonic hadde funnet hele tre såkalte nulldagssårbarheter i programvaren. Det vil si sikkerhetshuller som var helt ukjente for alle, produsenten inkludert, frem til de ble funnet og utnyttet av en trusselaktør.
Årvåkne analytikere
Bak avdekkingen av sårbarhetene sto årvåkne analytikere i Mnemonic, et av Europas største og teknologisk mest avanserte selskaper innenfor cybersikkerhet.
– Hos oss er beredskapen på topp hele tiden. Vi står i frontlinjen, og skal alltid være klar til å oppfange farer og trusler på et tidlig tidspunkt. Vi jobber kontinuerlig med både egen overvåkning og med å hente inn relevant informasjon som deles gjennom bransjens utstrakte internasjonale samarbeid, sier Tønnes Ingebrigtsen, administrerende direktør og en av gründerne i Mnemonic.
I Norge står nesten alle store bedrifter, institusjoner og organer på kundelisten, offentlige som private. I tillegg har selskapet en høy andel utenlandske kunder.
Mnemonic går ikke ut med navn, men at DSS er kunde fremgår av organenes egen kommunikasjon. De legger ikke skjul på at Mnemonic både undersøkte sikkerhetsbruddene og sårbarhetene, og bisto i håndteringen av skadevirkningene.
KAPASITET: – De mest utsatte institusjonene vil nok ha mer nytte av oss enn andre. Ikke mange andre aktører i Europa er satt opp med bredden, kompetansespekteret, og kapasiteten for døgnkontinuerlig innsats som vi har, sier Tønnes Ingebrigtsen. Foto: Sveinung Bråthen
Uregelmessigheter
Det å oppdage en nulldagssårbarhet som de første i verden er ikke hverdagskost, selv ikke for Mnemonic. Men hvordan går man frem?
– De fleste av kundene våre ønsker å ha kontroll over egne opplysninger, så svaret må bli generelt, og ikke spesielt knyttet til den aktuelle saken, svarer Ingebrigtsen.
– Utgangspunktet kan være at en kunde selv har oppdaget en uregelmessighet, og kommer til oss for å få den analysert. I andre tilfeller har vi avtale om løpende overvåkning av en kundes IT-plattform, slik at det er vi som oppdager indikasjoner på at ikke alt er som det skal. Og når en mistanke melder seg, så setter våre spesialister i gang med å etterforske hva som ligger bak, sier han.
Se etter spor
– Men i motsetning til en trusselaktør som angriper utenfra, så begynner ikke vi med å hacke oss inn i systemene. Vi har jo lovlig tilgang – så vi går heller motsatt vei: Vi begynner å granske fra innsiden, på jakt etter spor som viser hvordan trusselaktørene kom seg inn, og fortsetter med å kartlegge hva angriperen har foretatt seg, installert og kompromittert, supplerer Erik Alexander Løkken. Han leder avdelingen i Mnemonic som avdekker og etterforsker cyberkriminalitet.
Løkken understreker at det finnes mange metoder en angriper kan bruke for å komme inn i systemene til en organisasjon, samt skjule at de er der. I mange tilfeller er en ansatt lurt til å klikke på en lenke som vedkommende ikke burde trykket på. Og først inne kan en angriper benytte seg av en sjeldnere og mer sofistikert metode ved å ta kontroll over hjemmeruterne i en rekke intetanende privatpersoners wifi-anlegg, disse er ofte dårlig beskyttet. Så utnytter trusselaktørene ruterne til å opprette sitt eget «mørke» nettverk, som de bruker som mellomstasjon i angrepet. Dermed kan angriperen skjule seg blant legitime norske brukere.
Forebygging og krisehåndtering
Mnemonics suksess med å avdekke nulldagssårbarheter vil utvilsomt styrke selskapets posisjon som en internasjonalt ledende aktør innenfor cybersikkerhet. Men det er sjelden at virksomheten når avisoverskriftene – det meste er forebyggende, med kartlegging av sikkerhetsnivået hos kunder, med analyse av risiko i applikasjoner, infrastruktur, rutiner og måten å jobbe på.
– Når vi oppdager inntrufne sikkerhetshendelser, så er disse som oftest resultat av en feilkonfigurasjon, av brukere som er blitt lurt, eller at manglende vedlikehold av systemene gjør at det er mulig å utnytte kjente sikkerhetshull det finnes løsninger for. Det hører til sjeldenhetene at det er ukjente sårbarheter i software eller hardware som er utnyttet, som i dette tilfellet, sier Løkken.
– Og det er helt eksepsjonelt når vi i løpet av få dager finner hele tre ukjente sikkerhetshull i en programvareløsning, slik vi gjorde da vi undersøkte angrepet på departementene, supplerer Andrew Facchini, Mnemonics markedsdirektør.
Han ser gode fremtidsutsikter for selskapet, som har en størrelse og kompetanse få konkurrenter kan matche. Dette betyr at Mnemonic er godt posisjonert for å kunne både forebygge og håndtere angrep mot den gruppen av bedrifter, organisasjoner og institusjoner som er de mest aktuelle angrepspunktene for ressurssterke trusselaktører.
– De mest utsatte institusjonene vil nok ha mer nytte av oss enn andre. Ikke mange andre aktører i Europa er satt opp med bredden, kompetansespekteret, og kapasiteten for døgnkontinuerlig innsats som vi har, sier Tønnes Ingebrigtsen.
Hvem sto bak?
Men vil Mnemonic i dag røpe hvem som sto bak innbruddet i departementene?
– Nei, sier Tønnes Ingebrigtsen.
– Det er ofte svært vanskelig å knytte et angrep sikkert til en bestemt aktør. I tilfellet med de tolv norske departementene dreier det seg om en svært kompetent angriper. Og en del av denne kompetansen består nettopp i å kunne holde seg skjult og gjøre det vanskelig å finne ut hvem som står bak, legger han til.
– Det vi kan si er at kompleksiteten viser at angriperne hadde store ressurser og kompetanse på et høyt nivå. Og så kan man jo gjøre sine refleksjoner over hvilke trusselaktører som kan ha interesse av å stjele informasjon hos norske departementer, sier Erik Alexander Løkken.
– Både refleksjonene og historikken fra tidligere avanserte angrep kan jo vekke mistanker. Men mistanker er ikke bevis – og uansett er det ikke vår rolle å gå ut med konklusjoner. Det må eventuelt være opp til våre oppdragsgivere, myndighetene eller politiet, avslutter Tønnes Ingebrigtsen.
