– Norge trenger en felles digital grunnmur

Fra Cybersikkerhetssenteret ved Cyberforsvaret på Jørstadmoen. Foto: Torbjørn Kjosvold / Forsvaret.

Vi har behov for både digital etterretning og digital sikring.

Av: Simen Bakke, senior informasjonssikkerhetsrådgiver og fagprofil i UTSYN

Tom Røseth ved Forsvarets Høgskole skriver i DN 13. mars om viktigheten av etterretning som beslutningsstøtte for å kunne fatte mottiltak mot digitale trusler, som for eksempel det nylige dataangrepet mot Stortinget. Mye av det Røseth skriver er jeg enig i, og spesielt viktigheten av å balansere sikkerhet, åpenhet og personvern i demokratiske samfunn. Samtidig ser det ut til at Røseth underspiller viktigheten av å sikre vår digitale infrastruktur da han skriver at festninger og kystfort har utspilt sin rolle i den fysiske verden. I den digitale verden kan imidlertid ikke etterretning erstatte moderne beskyttelse av IKT-systemer mot cyberangrep, men supplere den.

«Festning og kystfort»

De fleste som jobber med digital sikkerhet har gått bort fra festning og kystfort tankegangen, eller det som vi innenfor IKT-sikkerhetsdomenet omtaler som perimetersikringen. Altså skillet mellom det som befinner seg innenfor og utenfor brannmurene. Sammenligningen med festning blir derfor noe misvisende som parallell til moderne beskyttelse av digital infrastruktur. I lys av dagens trusselbilde må man også være i stand til å detektere trusselaktørene innenfor egne datanettverk, ikke bare på utsiden. Man forventer med andre ord at datainnbrudd blir et faktum.

En moderne og helhetlig sikkerhetsarkitektur bygger derfor på prinsipper som sikkerhet i dybden og «Zero-Trust». Sikkerhet i dybden handler om å ha mange lag med beskyttelse, slik at hvis trusselaktøren forserer ett lag med sikkerhet, vil de stoppes av det neste. Eller det neste etter der igjen. Kombinert med Zero-Trust prinsippet som handler om at du aldri kan stole på hvem som logger seg på nettverkene slik at all tilgang må verifiseres, reduseres risikoen for vellykkede nettverksoperasjoner.

En slik moderne tilnærming innebærer en erkjennelse av at dagens trusselbilde er så krevende at virksomheter ikke kan stole på at perimetersikrigen, altså den digitale versjonen av Røseths festninger og kystfort, holder trusselaktørene ute.

Identifisere sårbarheter

I tillegg til det nevnte må virksomheten ha tilstrekkelig deteksjons- og hendelseshåndterings- kapabiliteter. Disse må befinne seg lokalt, organisatorisk nært virksomhetens IKT-systemer og støttes av sentrale overvåkningsfunksjoner. Hensikten er nettopp å identifisere sårbarheter og avdekke forsøk på cyberangrep fra trusselaktører. I Norge har vi lokale SOC funksjoner (Security Operations Centre), sektorvise CERT funksjoner (Computer Emergency Response Teams), og Nasjonal sikkerhetsmyndighet (NSM) sitt sentraliserte varslingssystem for digital infrastruktur (VDI) som byggeklosser i varslingssystemet. Dette er målrettet overvåkning av sentrale IKT-systemer som bidrar til å ivareta borgernes personvern samtidig som de beskytter nasjonal sikkerhet. De nevnte tiltakene forhindrer trusselaktører i å få tilgang på våre data.

En slik helhetlig tilnærming til sikring- og målrettet overvåkning beskytter statens IKT-systemer mot angrep, også fra avansere fremmede statlige aktører. Det siste årets hendelser med leverandørkjede angrepet mot SolarWinds og nulldagssårbarhetene i Microsoft Exchange, bekrefter dette. Virksomheter med en sikkerhetsarkitektur basert på Zero-Trust ser ut til å være mindre berørt av de komplekse og avanserte angrepene. Derfor gikk også den amerikanske sikkerhets- og etterretningstjenesten National Security Agency (NSA) nylig ut med en anbefaling om å implementere Zero-Trust i alle datanettverk til kritisk infrastruktur og forsvar.

Viktig etterretning

Jeg er enig med Røseth at etterretning er viktig som beslutningsstøtte på overordnet nasjonalt nivå. Det er derimot mer utfordrende å finne belegg for å hevde at etterretning ville bidratt til å forhindre mange av de digitale angrepene som treffer oss i dag. Hvis det hadde vært tilfellet, så ville ikke USA vært en av de sterkest berørte nasjonene av både leverandørkjede angrepet mot SolarWinds og nulldagssårbarhetene i Microsoft Exchange. Men det ser de altså ut til å være.

Vi har behov for både digital etterretning og digital sikring. Det eksisterer imidlertid et stort forbedringspotensiale når det gjelder å videreutvikle både sikringen og målrettet overvåkning av IKT-systemer i Norge i dag. Tiltak som vil bidra til å beskytte både personvern og nasjonal sikkerhet. Dette er tiltak som ikke kommer i konflikt med grunnleggende demokratiske verdier, men snarere understøtter dem begge.

Et godt sted å starte kan derfor være å følge opp NSMs anbefaling i den nylige lanserte rapporten, Risiko 2021: «Norge trenger en felles digital grunnmur».

 

Først publisert i Forsvarets forum og i DN 17. mars 2021.