Tekst: Claude R. Olsen og Magne S. Otterdal

Jørgen Botnan er ansvarlig for Nasjonal Sikkerhetsmyndighets inntrengingstesting, som tester sikkerheten i grunnleggende nasjonale funksjoner og skjermingsverdige objekter.  Teamet hans benytter et bredt spekter av virkemidler.

IDENTIFISERER VERDIER

– Det starter med å identifisere verdier og så brukes de virkemidler en har til disposisjon for å prøve å ramme verdiene på en eller annen måte.  Det kan være å stjele, ødelegge eller manipulere informasjon eller ødelegge fysiske prosesser, sier Botnan.

Han peker på flere innfallsvinkler utfra en helhetlig tenkning, hvor de rene ikt-angrepene der det brukes en datamaskin til å angripe et nettverk er en av flere metoder som testes for å avdekke sikkerhetshull. 

– Det kan også være å lure mennesker eller manipulere noen til å gjøre noe de kanskje ikke skulle ha gjort, slippe deg inn et sted du ikke skulle ha sluppet inn eller at en rett og slett må ta seg inn som i et innbrudd, sier Botnan.

I tillegg til dette sier den nasjonale sjefhackeren at mye jobb gjøres med å hente informasjon i åpne kilder.

– Det kan være alt fra sosiale medier til offentlige postjournaler, stillingsutlysninger og så videre.

– Hvor store verdier går tapt i Norge som følge av cyberkriminalitet?

– Det tror jeg ingen vet, men at det er et betydelig problem – det er det ikke tvil om.  Vårt hovedfokus er statssikkerhet, og vi ser på oss selv som natteravnen –  vi var der da det ikke skjedde. Så for enhver pris så er det enkelte ting en må forhindre at skjer.

BANK ER SOM ANNEN VIRKSOMHET

Botnan sier det kan være annerledes i finanssektoren, der det er organiserte kriminelle som helt åpenbart ser en finansiell gevinst med å gjennomføre både utpressing og regulære hackerangrep og manipulering av kontoer.

– Hva kan du si om sårbarheten til bankene?

– Banker er som virksomheter for øvrig.  For alle praktiske formål er en arbeidsplass en arbeidsplass.  En har kontornettverk, en har helt vanlig standard datamaskiner. En har kontorbygninger som har sårbarheter som alle andre kontorbygninger. 

Hovedbudskapet fra Botnan er at en bank ikke er noe vesentlig annerledes enn annen virksomhet eller prosessindustri.

– Å stjele gullbarrer er ikke hovedmålet til tyvene lenger.  Det blir mer og mer likt, for det er digitale verdier, tillit, omdømme det er snakk om.  Jeg ser ikke noen vesensforskjell mellom en bank og en annen virksomhet i Norge.

HJEMMEKONTOR UTE AV KONTROLL

– Hva har pandemien ført til når det gjelder sårbarhet?

– Hjemmekontoret.  Det er ikke noe tvil om at økt mobilitet og arbeid hjemmefra utgjør en formidabel økning i risiko. Det er ille nok, en er sårbar nok, når en er på kontoret.  Men når en trekker med seg it-utstyret hjem, med barn og familie og alle mulige slags digitale dingser som finnes i vanlige norske hjem nå, da er det klart at jobb-pc som en har litt ekstra tillit til plutselig opererer i et miljø fullstendig ute av kontroll. En har ingen oversikt over sårbarheter eller trusler som en omgir seg med.

Det er ikke noe tvil om at økt mobilitet og arbeid hjemmefra utgjør en formidabel økning i risiko

Jørgen Botnan, seksjonsleder i Nasjonal Sikkerhetsmyndighet

Botnan ber folk se seg rundt hjemme og tenke litt og reflektere over det.

– En vil se at det er enormt mye der som kommuniserer trådløst, som har smartfunksjonalitet i alt fra kjøleskap til lyspærer. Alle disse tingene er sårbare, og indirekte vil de kunne gjøre jobbutstyret sårbart.

DE EKSTRA SÅRBARE MOBILENE

– Hva kan bedriftene og medarbeiderne gjøre for å trygge virksomheten på hjemmekontoret?

– Skal en øke sikkerheten må en iverksette tiltak som ikke alle ansatte nødvendigvis setter pris på. Utstyret må låses ned. Mobiltelefonen som brukes i en fin blanding av jobb og privat, det er ikke trygt. Skal en ha en trygg mobiltelefon som en kanskje kan driste seg til å ta med inn i et møte kan det ikke være noe candycrush eller facebook på den.  Da må den låses helt ned til beinet, og heller ikke ha en vanlig appstore.  Den må ha virksomhetens egne, godkjente apper.

Botnan konstaterer at mobilpraksisen antagelig er det største sårbarhetsproblemet i bedriftene. På spørsmål om hvordan utrullingen av 5G vil på virke mobilsårbarheten, svarer han at 5G-telefonene er nok en datamaskin for Nasjonal Sikkerhetsmyndighet.

– Mange har fokusert på at hjemmekontor kan gi besparelser for bedriftene, men vil ikke sikkerhetskostnadene jevne ut gevinsten?

– Det er helt åpenbart en kostnad.  Da må en jo foreta en verdivurdering.  Kanskje deler av virksomheten har et ekstra skjermingsbehov, kanskje de får noe sikkerhetsspesielt utstyr, mens for vanlige ansatte må en bare vurdere risikoen. Er det akseptabelt eller er det ikke.

Jørgen Botnan er krystallklar på hva bedriftene må gjøre dersom sikkerheten på hjemmekontorene skal løftes til et nivå som tåler at en håndterer sensitivt materiale:

– Da er en nødt til å ha veldig, veldig sterk sentral kontroll på det fra virksomheten. Det er ingen vei utenom!