- Nordmenn generelt lider av det samme som bedrifter: De tenker "Hvorfor skulle jeg være et mål?", samtidig som angriperne også her i stor grad har økonomiske motiver og går mot alle, sier Tom Heine Nätt, førstelektor ved Høgskolen i Østfold, til kode24.
De siste årene har Norge sett en rekke dataangrep mot norske bedrifter og etater. Amedia, Nortura, Stortinget og Nordic Choice Hotels er bare noen av ofrene for cyberkriminelle. Samtidig går Norge også inn i en tid der større cyberangrep fra stater brått har blitt en realitet, etter Russlands invasjon av Ukraina.
Nätt er forfatter av læreboken Datasikkerhet og har en inngående kjennskap til det norske trusselbildet. Ifølge ham er ikke norske bedrifter og privatpersoner forberedt på å møte dagens cyberkriminelle.
En markant dreining
Ifølge Nätt har det de siste fem årene vært en forholdsvis markant dreining i motivene til angrepene - fra angripere som er ute etter informasjon, kontroll eller å skade målet, til økonomisk vinning.
For den sistnevnte gruppen av angripere er fremgangsmåtene ofte teknisk enklere, der verktøypakker er lett tilgjengelige.
- I tillegg er sosial manipulasjon blitt et meget sentralt verktøy i fremgangsmåtene.
Så lenge motivet ikke er å knekke teknologien i seg selv, så vil angripere finne enkleste vei inn.
- Av den grunn er for eksempel sosial manipulasjon av brukerne en mer aktuell fremgangsmåte for angriperne, sier han.
De kriminelle vinner
Førstelektoren peker på at de litt "mykere" sidene av informasjon- og datasikkerhet i lang tid har vært "ingen sitt ansvar", og har falt mellom IT og HR/ledelse.
- Derfor er man dårligere rustet der. I tillegg er det langt lettere å kjøpe inn nytt utstyr eller oppdatere et verktøy, enn det er å oppdatere menneskelig sikkerhetskompetanse og sikkerhetskultur. Endringen i angrepsmetoder har også kommet raskere enn mottiltakene, slik de som regel gjør.
Nätt legger til at økonomisk vinning i prinsipp vil ha alle bedrifter og organisasjoner som mulige mål.
- Det gjør at det er mange nye og "lavthengende frukter" for angriperne. Dette er et svært viktig poeng, da veldig mange bedrifter står ganske uforberedt på den nye trusselen. Spesielt gjelder dette bedrifter som både har tenkt, og fortsatt tenker; "Hvorfor skulle noen være interessert i å angripe oss? Vi gjør da ikke noe spennende eller oppbevarer sensitiv informasjon".
Hacker-knepene du bør vite om i 2022: SQL injection, XXE, XXS og SSRF
Har mye å gå på
Nätt mener at mange bedrifter har gjort en god jobb med tanke på den tekniske sikkerheten, men at for få har tatt inn over seg at det tekniske i dag kun utgjør en del av angrepet.
- Jeg tror veldig mange bedrifter har mye å gå på når det kommer til sikkerhetskultur og rett og slett opplæring av ansatte – spesielt ansatte som ikke direkte er involvert i utvikling og drift av IT-systemer. Sagt litt mer formelt er nok mange gode på datasikkerhet, men ikke informasjonssikkerhet, sier forskeren.
Førstelektoren mener samtidig at fokuset på informasjonssikkerhet er styrket betydelig de siste fem årene. Noe av årsaken er et tydelig fokus fra myndigheter og bransjeorganisasjoner, men også innføringen av GDPR:
- Selv om denne loven går på personopplysninger og skal være til hjelp for "brukeren", er mange av kravene i loven generelt nyttige for bedrifters sikkerhet, slik som kravet om en form for internkontroll og risikovurdering. Bedrifter fikk da også et påskudd for å gjøre sikkerhetsarbeid, og alle konkurrenter måtte gjøre det samme.
Tredobling av datatrusler: - Norske virksomheter tar ikke situasjonen nok på alvor
Like som bedriftene
Ikke ulikt bedrifter, har privatpersoner satset alle "alle kort" på teknisk datasikkerhet, mener Nätt. Han legger til at de stoler svært mye på at sikkerhetsverktøy slik som antivirus og spam-filter skal fjerne alle farer, uten å forstå hva de faktisk kan gjøre og ikke.
- Faktisk så mye at mange blir sløvere med sikkerheten enn de ville vært uten disse verktøyene.
I tillegg mener han at mange har en "overraskende stor tro" på at tjenestene de benytter er 100 prosent sikre.
«Få innser også at egne handlinger er en svært viktig brikke i sikkerheten.»
- Få innser også at egne handlinger er en svært viktig brikke i sikkerheten, spesielt ved sosial manipulasjon. Man baserer seg i stedet på at tjenestene skal "passe på meg og mine data" i alle situasjoner.
Nätt mener at det fremdeles står mye igjen når det gjelder utdanning. Samtidig viser han til at sikkerhet på kort tid har blitt "obligatorisk" i stedet for valgfag i de fleste IT-utdanninger i høyere utdanning.
- Riktignok burde det på sikt vært en mer integrert del av utdanningene, slik at man ikke først lærer IT-fag og så separat lærer sikkerhet i for eksempel programmering.
Stortinget trenger flere sikkerhetsfolk: - Men kompetansen mangler
Cyberkrigføring
Seniorforsker Karsten Friis ved Norsk Utenrikspolitisk Institutt (Nupi) har tidligere uttalt at Russlands invasjon av Ukraina kan gi en økt risiko for digitale angrep fra Russland.
Ifølge Nätt er cyberkrigføring noe mange anser for å være fremtidens måte å bedrive krigføring på. Her vil mye være informasjonsinnhenting, men også spredning av propaganda.
- Som svar på sanksjoner eller alternativ til sanksjoner kan tjenestenektangrep være veldig aktuelt. Dette gjelder nok også generelt, og ikke bare i forbindelse med denne krigen.
- Er vi forberedt på potensielle cyberangrep fra russisk hold?
- Ikke godt nok. Når mottiltak øker, øker også kompleksiteten på angrepsmetoder. Aktørene, slik som Russland, har nok forholdsvis stor kapasitet, kunnskap og ressurser, til bruk i slike angrep.
Nätt tror at mange etater og bedrifter har forberedt seg på angrep med økonomiske mål, men nok er dårligere sikret for angrep med tanke på målene i cyberkrigføring.
- Fremgangsmåtene, målene og mottiltakene vil være veldig annerledes. Å bare tenke tanke på benytte ressurser på denne typen trusler var nok helt uaktuelt for svært mange bare for noen uker eller måneder siden.