Målrettede angrep mot norske nettsteder

Flere store norske virksomheter ble i går utsatt for cyberangrep. Viktige nettsider og nettbaserte tjenester var periodevis utilgjengelige og normal drift ble påvirket for mange. Nasjonal Sikkerhetsmyndighet viser til at det fremstår som at det er en kriminell pro-russisk gruppering som står bak angrepene.

Det har, spesielt siden krigen mellom Russland og Ukraina brøt ut, vært utført lignende angrep også i andre land – men ingen har meldt om varige konsekvenser. Slike angrep skaper allikevel raskt usikkerhet i befolkningen og kan dermed også bidra uheldig gjennom påvirkning og ved å trekke oss inn som en aktør og brikke i pågående politiske situasjoner.

Norge har en tydelig rolle i internasjonal politikk med norsk generalsekretær for NATO og som sterk støttespiller for svensk og finsk NATO-medlemskap, og vil med stor sannsynlighet bli mål for ulike varianter av cyberangrep.

Hva kan vi vente oss?

  • DoS (Denial of Service – tjenestenektangrep) Det er aller størst sannsynlighet for DoS-angrep i ulike varianter. Første store bølge kom i går og var rettet mot en rekke statlige aktører. DoS vil i hovedsak sette tjenester ut av spill i en periode ved at tjenester overflommes av trafikk, og dermed overbelastes og både legitim og illegitim trafikk stopper opp. Disse er ofte organisert slik at de forekommer i formen DDoS (Distributed DoS), hvor et nettverk av kompromitterte maskiner verden over kan benyttes til angrepet.
  • Kryptoangrep, hvor hele eller deler av virksomheten blir berørt. Konsekvens vil i hovedsak være tap av data. Denne typen angrep gir angripere mulighet for økonomisk vinning i form av utpressing. Starter ofte med at en bruker klikker på link eller åpner en fil. Her er det viktig å ha kontroll på brukertilganger for å minimere potensielle konsekvenser, samt ha gode backuptjenester og -rutiner for å kunne hente tilbake data.
  • Innbrudd for å hente ut/stjele data. Typisk direkte rettet mot spesifikke ofre. Kan være svært vanskelig å detektere, og pågår ofte over lange perioder.

Hva bør din virksomhet gjøre?

Virksomheten bør skjerpe beredskapen og den generelle årvåkenheten. NSM har utarbeidet sjekkliste for dette som ligger på deres nettsider: https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/nyheter-fra-ncsc/digital-beredskap-i-en-skjerpet-situasjon/

Anbefalte tiltak fra NSM

Tiltakene er basert på NSMs grunnprinsipper

  • Ha oversikt over systemene
  • Ha god og sikret backup (kryptosikker backup)
  • Ha kontroll på sårbarhetsflatene
  • Kontroller brukere og brukertilganger slik at brukere har de tilgangene de trenger, ikke mer
  • Forsterk overvåkning og logging for å bedre kunne detektere et angrep og lettere komme seg ut av et angrep
  • Bedre sikkerhetskulturen hos ansatte
  • Vær forberedt på hendelser og ha en utarbeidet og innøvd beredskapsplan
  • Ha kontroll på leverandører og hvilke avhengigheter som er til disse
  • Beskytt også skytjenester

Hva kan og bør hver enkelt av oss gjøre?

  • Sørg for økt årvåkenhet hos ansatte
  • Forvent økt nettfisking og forsøk på sosial manipulasjon
  • Vær ekstra kritisk til linker i eposter og tekstmeldinger
  • Ha god passordhygiene, dvs. gode sterke passord og ikke gjenbruk av passord på tvers av tjenester
  • Bruk alltid MFA/to-faktor der det er mulig, også på private kontoer. Private kontoer kan ofte bli en vei videre inn til mer kritiske systemer.