Er det mulig å slå ut en fiende med cyberangrep alene?
– Kanskje i teorien, men det er lite sannsynlig, mener Audun Jøsang.
Han er professor ved Universitetet i Oslo og leder forskningsgruppen for digital sikkerhet.
– Deler av systemene kan bli slått ut, men gitt at man har relativt god beredskap får man funksjonene i gang igjen, sier han.
Han forteller at det for noen år tilbake var snakk om muligheten for et Cyber Pearl Harbor, at alt faller over ende og slutter å fungere. Han viser til det overraskende angrepet som dro USA inn i andre verdenskrig.
– I dag antar ekspertene at det ikke er mulig å forårsake katastrofal ødeleggelse med cyberangrep alene, understreker han.
Angrep windows-maskiner i Ukraina
Et forsøk på cybersabotasje ble oppdaget for et par uker siden. Russland angrep Ukraina med en såkalt wipeout skadevare mot windows-maskiner og servere.
En slik skadelig programvare sletter essensielle filer og kataloger slik at systemet må bygges opp på nytt. Det krever tid og ressurser og en mister kanskje data.
– Microsoft reagerte raskt, distribuerte en oppdatering til alle windows-maskiner, særlig i Ukraina, men også andre steder, som gjorde alle windows-maskinene immune mot denne wipeout-skadevaren, forteller Jøsang.
Cyberavskrekking: USA infiltrerte russiske kraftverk
Et annet element av cyberoperasjoner er avskrekking, som har samme logikk som for atomvåpen. Trusselen og forventningen om at atomangrep vil trigge gjensidig gjengjeldelse og ødeleggelse skal hindre at det tas i bruk.
– Cyberavskrekking finnes, også offisielt. USA sender ut pressemeldinger om det. For at avskrekking skal fungere, må evnen og viljen kommuniseres, forklarer Jøsang.
Det hvite hus har for eksempel meldt at de har infiltrert russiske kraftverk. Ikke fordi de ønsker å sabotere dem der og da, men for å skremme Russland fra å gjøre noe tilsvarende i USA.
– Hvis Norge skulle komme med kraftige uttalelser mot Russland, utvise den russiske ambassadøren eller liknende, kan vi forvente et cyberangrep. Dette fungerer som en slags indirekte cyberavskrekking, sier han.
Sykehus som gissel
En annen høyst reell trussel er alle løsepengevirusene, som krypterer de fleste filene. De som står bak, ber om penger for å dekryptere filene igjen.
WannaCry-angrepet i 2017 er et eksempel på et alvorlig angrep med løsepengevirus. Flere hundre tusen maskiner over hele verden ble infisert, blant annet ble sykehus og andre helsetjenester i Storbritannia paralysert.
– Men driver stater som Russland med løsepengevirus?
– Putin har uttalt at grupperinger i Russland som driver med dette mot Vesten, ikke anses som kriminelle og ikke vil bli rettsforfulgt fordi de ikke bryter noen russiske lover. Putin gjør dermed hele Russland til en kriminell stat, hvor de ikke håndhever lover og lar russiske grupperinger opptre som mafia i resten av verden, sier Jøsang.
Utstyr må fungere i konfliktsituasjoner
Ifølge Jøsang må vi organisere forsvaret i flere lag for å beskytte oss mot angrep.
For å skjerme kritisk infrastruktur er det helt nødvendig å stole på leverandøren. Det er umulig å sjekke om utstyr er infisert, til det er systemene for kompliserte.
– Du må ta høyde for krigføring. Du kan ikke vurdere pålitelighet ved utstyr i fredstid, det må også fungere i konfliktsituasjoner, sier Jøsang.
– Vi kunne kjøpt russiske jagerfly, men om vi hadde havnet i krig med Russland, tviler jeg på om flyene hadde lettet.
Logikken bak å utestenge Huawei som leverandør av utstyr til 5G-nettet, er det samme. I tilfelle konflikt med Kina kunne en risikere at kommunikasjonssystemene ville sluttet å fungere.
– De fleste angrep kommer gjennom e-post, på SMS eller en annen kommunikasjonskanal, en ansatt klikker på lenken og så starter angrepet, sier han.
Selv med systemer som er frakoblet nettet, har det vist seg at skadevare kommer inn, gjennom utstyr som ansatte tar med og kobler til.
Ansatte er førstelinjeforsvar
Så førstelinjeforsvaret er oppmerksomme ansatte, som ikke åpner vedlegg fra ukjente og som er kritiske til lenker før de klikker.
– Lenker er kjempefarlig, sier Jøsang.
Du trenger ikke gjøre noe på nettsiden, det holder at du har vært der. På nettsider finnes aktiv kode, såkalt javascript. Klikker du på en lenke til en fiendtlig nettside, kan du få skadevare dumpende rett inn på maskinen.
– Men hvordan skal du vite om en lenke er grei?
– Det er kjempevanskelig og krever både årvåkenhet og kompetanse. Du må studere lenken og vite noe om hva det betyr, om domenet ser riktig ut. Det er heller ikke sikkert du ser lenken ved første øyekast. Den kan gjemme seg bak tekst som ser tilforlatelig ut. La musa gli over lenken så ser du den egentlige, råder Jøsang.
Tekniske tiltak hjelper også. Med bedre spamfiltre er det mindre skadelige e-poster som kommer fram til ansatte. Teknologi på maskinene kan hindre skadevare i å kjøre, hvis den først har kommet inn.
– Ansatte bør ha tofaktor-autentisering, mener Jøsang.
Med en to-trinns bekreftelse holder det ikke med brukernavn og passord for å få tilgang til tjenester og systemer, du trenger én ting til, som et fingeravtrykk eller en engangs-kode.
Stortingets server var ikke oppdatert
Å holde programvaren oppdatert er også uhyre viktig. I 2018 ble Stortingets e-post hacket i et angrep som det senere har vist seg at Russland sto bak.
Stortinget har egen exchange-server i kjelleren. Spionasjen ble mulig fordi det var en oppgradering av programvaren som ikke var installert.
– Hvis Stortinget hadde hatt exchange i skyen, ville de ikke blitt hacket. Men dette er et dilemma, en vinner sikkerhet på den ene siden, men mister på den andre, sier Jøsang.
Hvis skaden har skjedd, så må sikkerhetskopien hentes.
– Men dette må virksomheten ha øvd på på forhånd, sier han.
Sikkerhetskultur er altså viktig, men å kunne håndtere cyberhendelser krever spesialkompetanse.
Universitetet utdanner cyberforsvarere
–Vi utdanner studenter i cyberoperasjoner, forteller Jøsang.
For å være en god forsvarer må man også vite hvordan angriperne faktisk jobber. Mange virksomheter tester sine egne nettverk ved å leie inn det som kalles «red teams», som med vilje forsøker å hacke virksomheten.
En ny trussel som har begynt å dukke opp, er avansert sosial manipulering i form av «deep fake», hvor du ikke lenger kan stole på at du kjenner igjen folk på stemmen eller utseende.
– Se for deg et zoom-møte hvor jeg ser og høres ut som deg, sier Jøsang.
Det er en utfordring å finne gode måter å beskytte seg mot det.
– Vi jobber med å sette i gang et tverrfakultært arbeid innen digital sikkerhet ved Universitetet i Oslo, forteller Jøsang.
Digitalt forsvar er ikke bare et teknisk spørsmål, det er i høyeste grad politikk.
– Cybersikkerhet er relevant for alle, på tvers av hele UiO. Juss har sterke miljøer på dette, vi vil gjerne ha med matematikerne til å jobbe med kryptering og statsvitenskap fordi dette er blitt en del av verdenspolitikken. Det kommer en invitasjon til dette samarbeidet i nær framtid, sier Audun Jøsang.
Les også disse sakene fra Universitetet i Oslo:
forskning.no vil gjerne høre fra deg!
Har du en tilbakemelding, spørsmål, ros eller kritikk? TA KONTAKT HER