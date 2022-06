HACKERANGREP: Den russiske hackergruppen Killnet har publisert dette bildet med ansiktet til utenriksminister Anniken Huitfeldt på Telegram. Oversatt til norsk betyr teksten «Fru Feil. Anniken Huitfeldt!»

NSM om angrepene: Tror ikke det var avledning for mer alvorlig angrep

Onsdag ble nettsidene til en rekke norske virksomheter angrepet. Trafikken fra angriperne har nå avtatt, men det er ventet at slike angrep kan skje igjen.

Det var et såkalt tjenestenektangrep som rammet en rekke virksomheter mandag. Det er et angrep der den som angriper sørger for svært høy trafikk inn mot nettstedet.

Trafikken kommer fra forskjellige steder rundt om i verden, og gjør at de vanlige brukerne opplever ustabilitet. Målet er ofte å ta ned et nettsted.

Et tjenestenektangrep er ikke det samme som hacking. Når noen blir hacket kan persondata komme på aveie, det skjedde ikke denne gangen.

Virksomheter som BankID, Arbeidstilsynet, Skatteetaten, NRK, VG og NAV ble utsatt for angrep onsdag. Flere kunne oppleve at nettsidene ikke fungerte.

Torsdag ettermiddag er situasjonen en helt annen:

– Vår vurdering, ut fra dialog med berørte virksomheter i tillegg til vår egen monitorering, er at dette nå er håndtert, og at tjenestene som har vært berørt er i normal drift. Dette skyldes både at virksomhetene det gjelder iverksatte effektive tiltak gjennom gårsdagen, i tillegg til at trafikken fra angriperne har avtatt, skriver fungerende leder av Nasjonalt cybersikkerhetssenter Lene Kaland.

Den russiske gruppen Killnet har varslet at de ville gjennomføre angrep mot norske virksomheter.

Det er ikke bekreftet at det var denne gruppen som sto bak angrepene onsdag, men gruppen har tatt ansvar for angrepet.

Også regjeringen har rettet pekefingeren mot Russland. Justisminister Emilie Enger Mehl sa at alt tyder på at angrepet kom fra et russisk kriminelt miljø.

VG har stilt Nasjonal sikkerhetsmyndighet en rekke spørsmål om angrepet.

De sier blant annet at dette angrepet ikke fikk store konsevenser, men at mulighetene for mer alvorlige angrep finnes:

– Kan dere bekrefte at det er Killnet som står bak?

– Det er ikke NSM sin oppgave å knytte denne typen aktivitet eksplisitt til en aktør. Vår oppgave er først og fremst å hjelpe til med å håndtere konsekvensene av den.

Norges nasjonale cybersenter sitt operasjonssenter i Oslo. Dette er den operative delen av Nasjonal sikkerhetsmyndighet (NSM) som håndterer alvorlige dataangrep mot samfunnskritisk infrastruktur og informasjon.

– Er det grunn til å frykte for viktige funksjoner som vannforsyning og strøm? Er dette noe dere følger med på?

– Mulighetene for at cyberoperasjoner kan sette denne typen kritiske funksjoner ut av spill finnes. Man har åpent kjente eksempler fra de senere år på at dette har skjedd, for eksempel med deler av strømnettet i Ukraina i 2015 og 2016. Det er ikke noe den jevne nordmann trenger å frykte i hverdagen, men det er absolutt en del av risikobildet vi følger med på. Vi har god dialog med viktige aktører innenfor relevante sektorer om datasikkerhet, og det gjøres mye bra arbeid med å sikre denne typen verdier mot dataangrep.

– Hvilke konsekvenser har dette fått? Hvilke konsekvenser frykter dere?

– For samfunnet hadde gårsdagens hendelser så godt som ingen praktisk konsekvens, utover at visse tjenester eller nettsider var utilgjengelige eller kunne oppleves som tregere over en begrenset periode.

– Det som kanskje er viktigere, er den såkalte signaleringseffekten en slik operasjon har på befolkningen og samfunnet, ettersom det skaper støy og kan danne grunnlag for frykt og usikkerhet. Ved denne typen angrep kan en slik effekt være en viktigere del av intensjonen bak enn det å faktisk skape praktiske problemer.

– Var gårsdagens angrep bare avledning?

– Det har vi ingen grunn til å tro. Vi har ikke grunnlag for å vurdere gårsdagens angrep som en avledningsmanøver for andre, mer alvorlige angrep.

– Har dere en «svarteliste» med konkrete hackergrupper dere holder et øye med?

– Vi følger situasjonen i cyberdomenet i stort. Vi kan ikke konkret liste opp hvilke aktører dette dreier seg om. Overordnet baserer vi fokuset vårt i stor grad på trusselbildet vi får fra våre samarbeidspartnere, blant annet fra Etterretningstjenesten og Politiets sikkerhetstjeneste. Den ugraderte utgaven av dette trusselbildet er beskrevet i disse tjenestenes åpne trusselvurderinger.

– Er dette den nye normalen? Kan vi forvente flere angrep?

– Gårsdagens hendelse faller noe utenfor en normaldag i Norge, men det er mest med tanke på støyen, oppmerksomheten og panikken det skapte. Nasjonal sikkerhetsmyndighet og Nasjonalt cybersikkerhetssenter, jobber hver dag med å håndtere dataangrep som ofte er minst like alvorlige for samfunnet som gårsdagens hendelser, men som av ulike grunner går mer under radaren på offentligheten, og hvor effektene er mindre synlige i det offentlige. Det kan for eksempel være enkeltvirksomheter som utsettes for løsepengeangrep, bedrifter som får stjålet bedriftssensitiv informasjon, eller spionasje mot offentlige myndigheter.

– Hvorfor regnes dette som lavskala angrep? Hva skal til for at det regnes som storskala?

– «Skala» i denne sammenhengen kan henvise til ulike ting. Hvis man med «skala» refererer til antall virksomheter så var det riktignok ett enkelt angrep som rammet mange. Men når vi snakker om praktisk konsekvens så er skalaen lav.

Kan dere forklare konkret og lettbeint for den vanlige leser det tekniske som skjer i praksis, når det utføres et slikt angrep?

– Enkelt forklart: Det som faktisk skjer når du besøker en nettside (for eksempel vg.no) er at du sender nettverkstrafikk til den nettsiden, med en forespørsel om å få se på den. Så sender den nettverkstrafikk tilbake til deg, og viser deg nettsiden du vil ha. Hele dette rigget er satt opp for å tåle en viss mengde av denne typen trafikk. Det kan sammenlignes med en motorvei som har begrenset plass: Hvis fryktelig mange begynner å sende trafikk mot den samme nettsiden samtidig, så blir det trafikkork. Da begynner alt å gå saktere, helt til nettsiden går i kne. Måten man håndterer dette på blir da å dirigere trafikken på andre måter, eller blokkere visse typer trafikk, for å løse opp «trafikkorken».