Vår digitale infrastruktur er sårbar, og regjeringen høyner beredskapen. Eksperter sier at det er umulig å sikre seg helt mot sabotasje og spionasje.
Kommunikasjon, strøm og trafikk er kritiske elementer i vår infrastruktur. Det er lett å tenke seg at fiendtlige cyberangrep kan gjøre stor samfunnsmessig skade. Stenger man for eksempel av strømmen i en by, vil det fort bli kaotisk. Men hvor sannsynlig er det at noe sånt kan skje?
– Det er vanskelig å stå imot dersom store nasjoner vil angripe. USA ødela Irans anlegg for anrikning av uran i 2010, selv om anlegget ikke hadde en eneste kobling til omverdenen. Og Russland slo ut kraftforsyning i Ukraina i 2015, sier Olav Lysne, professor og direktør i Simula.
Lysne var leder for Digitalt sårbarhetsutvalg, som i 2015 leverte en utredning som kartla hvor og hvordan man burde styrke beredskapen og redusere den digitale sårbarheten i samfunnet.
Styrker beredskapen
I år svarer regjeringen med to helt nye ministerposter – digitaliseringsminister og samfunnssikkerhetsminister – besatt av henholdsvis Nikolai Astrup og Ingvil Smines Tybring-Gjedde.
– Digital sikkerhet er en prioritet for regjeringen, men det er likevel en oppgave som samfunnet må løse i fellesskap. Små sårbarheter ett sted kan få store konsekvenser for mange, sa Erna Solberg da hun nylig la fram en ny nasjonal strategi for digital sikkerhet.
– For at et digitalt samfunn som Norge skal fungere, er det nødvendig å gjøre risikoen for at uønskede hendelser rammer oss så liten som mulig, sa samfunnssikkerhetsminister Ingvil Smines Tybring-Gjedde.
Maskiner gjør jobben
Alle moderne samfunn kan bli offer for cyberangrep. Men hvor omfattende kan skadene bli?
– Et angrep kan ikke slå ut hele Norge, men helt klart vitale deler. Cybervåpen brukes mer og mer, med spionasje, sabotasje og påvirkningskampanjer fra Russland og Kina. Det bekrefter både E-tjenesten og PST, sier Karsten Friis, seniorrådgiver og leder for forskningsgruppen for sikkerhet og forsvar ved Norsk Utenrikspolitisk Institutt (NUPI).
I USA er det funnet spionvare fra russere i landets strømsystemer.
– Før var det stort sett hackere som kom seg inn i systemene, nå er det i økende grad selvlærte datamaskiner som leter etter hullene. Alle digitale systemer har svakheter, de er aldri ferdigspikret, sier Friis.
Teknisk sett er det altså mulig for angripere å ta ut det norske strømnettet eller annen digital infrastruktur.
– Disse strukturene er ikke bygget for sikkerhet, men for effektivitet, forklarer Friis.
Samtidig understreker han at et slikt angrep kun vil ha kortvarig effekt. Det samme mener Audun Jøsang, professor ved Institutt for informatikk (IFI). Han er spesialist på cybersikkerhet.
– Det fullt mulig å opprettholde beredskap og sikkerhet slik at eventuelle inntrengere ikke lager vedvarende skade. Det er usannsynlig at det vil ha en katastrofal konsekvens for samfunnet, sier Jøsang.
– Logikken til digitalsikkerhet ligger i motstandsdyktighet. Hvor fort du kommer tilbake til normal drift. Det er alltid en vei inn, så man må ha et system som kan komme tilbake fort, forklarer Friis.
Aktører på innsiden
Olav Lysne forteller at utvalget han ledet, gikk gjennom alle viktige sektorer – som strøm, vann og helse – for å finne svakhetene.
– Det som virkelig er verdt å legge merke til, er den digitale verdikjeden. Alle maskinene er avhengige av hverandre. En mobiloperatør bruker eller leier utstyr av andre. Og får man en inntrenger i kjernestrukturen, kan man få en blackout som berører alt, sier Lysne.
– Selv om leverandøren er fra et vennlig innstilt land, vet man ikke nødvendigvis hvor leverandøren har hentet komponentene sine fra, tilføyer Friis.
Jøsang ved IFI mener det man må ta høyde for når man kjøper teknologi til strukturelt viktige systemer, er hva som kan skje i en konfliktsituasjon, for eksempel en grensekonflikt. Da vil eventuelle nasjonalstater kunne mobilisere sine leverandører. Han bruker Kina med Huawei som eksempel, men påpeker at det også gjelder andre.
– Med Huawei, som har utstyr i hele Europa, har Kina et politisk trumfkort fordi Huawei teknisk sett enkelt kan sabotere kommunikasjonsnettet eller utføre spionasje. I fredstid er dette usannsynlig, fordi det kan bli katastrofalt for Huaweis omdømme, men i en konfliktsituasjon er det plausibelt. Bare muligheten for et slikt scenario svekker per i dag Norges politiske stilling overfor Kina.
Kostbart
Lysne sier at man bør ha en struktur som er diversifisert, med komponenter levert av flere forskjellige leverandører, slik at man ikke en avhengig av én produsent. Problemet er bare at dette er langt mer kostbart.
– Telenor, for eksempel, har selvsagt en egeninteresse av å holde infrastrukturen sin robust. Samtidig skal de forholde seg til sine lønnsomhetskrav. Den offentlige verden er enklere, her kan man sette opp krav. Jeg håper politikerne tar høyde for konflikt når de kjøper kritisk infrastruktur, sier han.
Jøsang nevner som eksempel på dette at forsvaret aldri ville kjøpt jagerfly av et land man har et konfliktpotensial med, uansett om det var billigere og bedre enn «vennlige» alternativer.
En oppvåkning
Friis mener utfordringen er at de aller fleste digitale systemer i samfunnet er på private hender, og hva skal da staten gjøre for å respondere? Hva skal kreves av de private?
– Det er manko på spisskompetent personell på cybersikkerhet. Vi står midt i en oppvåkning, sier Friis.
– Det arbeides godt med dette nå, men det er i et 20-årsperspektiv, sier Lysne. Han har ingen tro på at systemene kan bli hundre prosent sikre. – Samtidig vil jeg ikke male fanden på veggen. Jeg er optimist. Det som er viktig, er at vi kjenner risikoen og forholder oss til den.
Lysne sier vi har god oversikt over hvordan en konvensjonell krig fungerer.
– Men vi har ikke sett en fullskala cyberkrig. Her vet vi ingenting, og kan bare spekulere.
Morten Abrahamsen
Store cyberangrep* Ukraina har blitt cyberangrepet en rekke ganger. 23. desember 2015 ble tre energiselskaper angrepet. Totalt 225.000 strømkunder ble rammet. Mens finanssystemet i landet ble satt ut av et angrep desember året etter.
* Et globalt løsepengevirus tok ned hele statsadministrasjonen i Ukraina i juni 2017. Det rammet selskaper, myndigheter, elektrisitetsforsyning og banker. Angrepet gikk også utover det København-baserte logistikkfirmaet Møller-Mærsk og det norske byggevareselskapet Optimera.
* I januar 2018 ble Helse sør-øst angrepet, etterforskningen ga ikke noe klart svar på hvem som sto bak.
* I april 2018 ble både USA og Europa utsatt for et større angrep. Amerikansk og britisk etterretningstjeneste gikk da ut med et felles varsel: «Russiske statsstøttede aktører bruker infiserte rutere til å utføre angrep som støtter opp om spionasje, utvinning av intellektuell eiendom, opprettholdelse av vedvarende tilgang til lokale nettverk, samt å potensielt legge grunnlaget for framtidige offensive operasjoner.»
* NATO gikk i oktober 2018 ut med opplysninger om at russisk militær etterretning står bak en rekke cyberangrep. Organisasjonen mener Russland står bak hackingen av Verdens antidopingbyrå (WADA), spredningen av gisselviruset Bad Rabbit, som rammet flere flyplasser, hackingen av Demokratenes partiapparat i USA og tyveri av eposter fra en TV-kanal basert i Storbritannia.
Kilder: Aftenposten, NTB, Aldrimer.no, NRK, Dagbladet
