OMPRIORITERT: Alle tilgjengelige ressurser er satt inn i etterforskningen av datainnbruddet som ble oppdaget tidlig i januar. Bildet er tatt i operasjonssenteret hvor NSM følger med på datatrafikk og ser etter mulige angrep. Foto: Henden, Harald / VG

Hacker-etterforskning svekker NSMs kapasitet

Færre cyber-angrep mot norske interesser kan bli avslørt, ettersom Nasjonal sikkerhetsmyndighet har satt inn alle tilgjengelige ressurser i etterforskningen av datainnbruddet i Helse Sør-Øst.

ARTIKKELEN ER OVER ETT ÅR GAMMEL

8. januar ble det avdekket unormal aktivitet i datasystemene til Helse Sør-Øst, og det ble klart at uvedkommende hadde brutt seg inn. Dette er landets største helseregion, og betjener 2,9 millioner innbyggere.

Saken etterforskes av Nasjonal sikkerhetsmyndighet (NSM) og PST. Sistnevnte mistenker fremmede makter står bak angrepet.

les også

Dataangrep etterforskes som etterretningsvirksomhet

Etter at det ble klart at Helse Sør-Øst var hacket, har NSM måttet nedprioritere analysearbeidet for øvrig.

Direktoratet overvåker en lang rekke offentlige og private aktører, og slår alarm når de mistenker de har oppdaget et dataangrep. I omtrent én av fire tilfeller er angrepet reelt, men personellet som står bak disse analysene er i stor grad omdisponert til etterforskningen av angrepet mot Helse Sør-Øst.

– Er man mer sårbare nå?

– Det blir en diskusjon. Vi har begrensede ressurser vi må prioritere riktig til enhver tid. Vi har ikke svekket evnen til å oppdage mulige angrep og til å varsle om dem, men vi har mindre kapasitet til å bistå organisasjoner som kan være rammet. Da må de vurdere om de har kapasitet til å gå inn i det selv, eller om de må kjøpe tjenester av det private, sier Hans Christian Pretorius, direktør i avdeling for IKT-sikkerhet i NSM.

KJENNER ET TYVETALLS: Pretorius i NSM forteller de bare kjenner til at et tyvetalls av rundt 5000 cyberangrep lyktes i fjor. Foto: Larsen, Håkon Mosvold / NTB scanpix

5000 i fjor

NSM slo alarm cirka 20.000 ganger i 2017. Av disse betegnes rundt 5000 som reelle, etter at de var analysert.

– Av de har et tyvetalls lyktes. Heldigvis er det ikke mer, sier Pretorius til VG.

Angrepene rammer en blanding av offentlige og private, og er av svært variert karakter. Ifølge Pretorius er det ingen rød tråd, utenom at offeret på et eller annet vis har latt seg være sårbar. En stor del av dem kan regnes som krafsing mot låste dører, men noen lykkes altså.

Ifølge Pretorius forventer NSM en økning i angrep på mellom ti og 20 prosent i år, slik det har vært de siste fem årene. Det finnes ikke tallmateriale for januar i år ennå, men de forventer færre avdekkede angrep – ettersom mye av analyseavdelingen er bundet opp i etterforskningen.

NSM ønsker ikke å gå i detalj rundt hvor mange de bistår med overvåkning, men sier de har relativt god dekning av sensitive virksomheter.

Målrettede angrep

NSM ønsker ikke å gå i detalj om hvem som står bak, men sier de ser et jevnt trykk fra stater som Kina og Russland. I tillegg ser de en kraftig vekst i kriminelle ute etter vinning.

– Av angrepene vi har sett lykkes er det ingen som har forsøkt å ødelegge noe. Samtlige har vært ute etter informasjon, forteller Pretorius.

En av formene for cyberangrep som har lyktes i Norge er såkalt «spearphishing». Falske eposter fra Skatteetaten er en form for vanlig phishing-angrep som baserer seg på store volum i håp om at noen går i fellen.

les også

PST: Russisk etterretning kan gjøre størst skade på Norge

Et spearphishing-angrep er skreddersydd målet og krever informasjon om vedkommende. Dette kan være basert på alt fra åpne Facebook- og Linkedin-profiler, til mer komplisert etterretningsarbeid.

– Du kan faktisk få en epost der det er tydelig at du vet at du har et barn som spiller fotball på gutter-14, som ser ut som et nytt kampoppsett fra oppmann. Epost av denne typen er det veldig vanskelig å reagere på, men åpner du vedlegget har du gått i fellen, sier Pretorius.

Lignende eksempler finnes blant de rundt 20 vellykkede angrepene NSM kjenner fra i fjor.

les også

Kan ikke utelukke at pasientjournaler er på avveie

Ukjent metode

Ingen av partene som håndterer angrepet mot Helse Sør-Øst har ønsket å fortelle om hvordan angrepet skjedde.

I et styremøte i Helse Sør-Øst 1. februar fortalte administrerende direktør Cathrine Lofthus at analysearbeidet for å avdekke hvem som står bak og hva de har gjort, fortsetter, viser et referat.

Ifølge Helse Sør-Øst er det så langt ingenting som tyder på at innbruddet har hatt direkte konsekvenser for pasientbehandling, pasientsikkerhet eller at pasientdata har kommet på avveie, men det kan ikke utelukkes.

Kommersielt samarbeid: Rabattkoder