Svar
Heidi Grande Røys: Innledning
Jeg antar at stortingsrepresentant Sorteviks spørsmål har sin bakgrunn i en artikkel som stod på trykk i Aftenposten 28.06.08. I artikkelen blir det hevdet at over 80 statlige og kommunale nettsteder skal ha spredd datavirus. I følge artikkelen skal flere tusen uskyldige databrukere ha fått infisert PC-en sin.
Mitt departement har vært i kontakt med både Telenors Security Operations Centre (TSOC) og NorCERT i Nasjonal sikkerhetsmyndighet (NSM) ifm. denne saken. NSM er fagmyndigheten som koordinerer forebyggende sikkerhetstiltak og kontrollerer sikkerhetstilstanden i de virksomheter som omfattes av sikkerhetsloven. Direktoratet er administrativt underlagt Forsvarsdepartementet, og rapporterer med faglig ansvarslinje til Justis- og politidepartementet for oppgaveløsning i sivil sektor og til Forsvarsdepartementet for militær sektor. Se forøvrig også Regjeringens presisering av departementenes samordnings- og sektoransvar for IKT-sikkerhet i kap. 9.4.1 i St. meld. nr 17 (2006-2007) Eit informasjonssamfunn for alle.
Både TSOC og NorCERT kan avkrefte at det finnes en konkret liste med over 80 navn med statlige eller kommunale infiserte nettsteder. Dette tallet er kun et beregnet estimat, basert på den overordnede oversikt som de to institusjonene til enhver tid besitter.
Hva har skjedd?
I følge TSOC og NorCERT dreier dette seg om klassiske hackerangrep der det foretas automatisert kartlegging av kjente sårbarheter i webapplikasjoner (dvs. program som kan kjøres i en nettleser). Dette er sårbarheter som er veldig vanlige, og som forekommer i svært mange offentlige og private webapplikasjoner. Ettersom slike kartlegginger er automatisert, og foregår på en tilnærmet vilkårlig måte, definerer ikke NorCERT dette som et målrettet angrep mot norske virksomheter og kommuner. Enkelte offentlige nettsider skal likevel ha blitt infisert med ondsinnet kode som kan bringes videre til besøkende som har svak sikkerhet, dvs. at de ikke har oppdatert operativsystem eller sikkerhetsverktøy på egen PC.
Disse sikkerhetsproblemene skyldes i hovedsak at mange norske virksomheter – både i offentlig og privat sektor, herunder kommunene – ikke foretar jevnlig oppdatering av sine sikkerhetsløsninger og applikasjoner. Manglende oppdatering medfører at kjente sårbarheter ikke blir rettet, og virksomhetenes nettsider blir således sårbare mot denne typen angrep. Manglende sikkerhetskultur i virksomhetene kan således resultere i at nettsidene blir infisert av skadelige programmer (virus og trojanere).
De som surfer på slike kompromitterte nettsider kan, hvis deres egen PC er dårlig sikret, bli infisert av en liten ”tag” som sender brukerens PC til en tredjepart. Resultatet kan være at en ekstern aktør får kontroll over PC-en.
Finansiell vinning er den viktigste motivasjonsfaktoren for disse angrepene. Angriperne ønsker å få tilgang til bakenforliggende databaser, private PC-er mv. slik at de får mulighet til å hente ut informasjon evt. å redigere den informasjonen som ligger der.
Kan og bør navnet på nettsteder som har dårlig IT-sikkerhet offentliggjøres?
TSOC og NorCERTs har døgnkontinuerlig overvåking av kartleggings- og angrepsaktiviteter som foregår i nettet. Bildet er svært dynamisk, og omfatter bare Telenors kunder eller NorCERTs utvalgte virksomheter (dvs. et utvalg eiere av samfunnskritisk infrastruktur).
Ifølge TSOC og NorCERT er det ikke uvanlig at man registrerer at en virksomhet har en eller flere infiserte websider. Dette er noe som skjer jevnlig i både store og små virksomheter. Dette fenomenet må således ses på som en del av den daglige sikkerhetsutfordringen som virksomhetene står overfor. Virksomhetenes interne oppfølging varierer. Når en sårbarhet er oppdaget gjør noen virksomheter noe med dette umiddelbart, enkelte bryr seg ikke, eller ”skal se på det når de får tid”. Utfordringen her er m.a.o. ikke manglende identifisering eller varsling, men det å få alle norske virksomheter til å ta disse problemene på alvor. Mange norske virksomheter mangler rett og slett gode regler og rutiner for oppfølging av IT-sårbarhet i virksomheten.
En alminnelig offentliggjøring av virksomheter som er berørt av store og små svakheter i sine datasystemer, lar seg vanskelig gjøre. Det finnes rett og slett ikke slike nasjonale oversikter, og om de fantes – eller ble utviklet – ville de kun gitt et ”øyeblikksbilde”, og ikke et representativt bilde av situasjonen. En virksomhet som er rammet i dag, kan ha tettet sårbarheten i morgen. En offentliggjøring av hvem som har, eller har hatt, problemer med dårlig websikkerhet kan dessuten bidra til å svekke tilliten generelt til virksomheter i offentlig og privat sektor.
I stedet for en offentliggjøring bør alle norske virksomheter oppfordres til å være åpen om sine sikkerhetsproblemer, og å investere tid og krefter for å løse problemet. Det er også viktig med statlig påvirkning slik at virksomhetene prioriterer å bygge opp en intern sikkerhetskultur som kan bidra til å styrke virksomhetens – og samfunnets – generelle IT-sikkerhet. I denne forbindelse kan bl.a. Norsk senter for informasjonssikring (NorSIS) bistå virksomhetene med råd og veiledning. Dette er også en tilnærming som NSM har tatt til orde for.
Hva kan gjøres for å motvirke at dette skjer?
En av de største utfordringene for informasjonssikkerheten er manglende sikkerhetsbevissthet hos brukere. Mange virksomheter og enkeltindivider undervurderer risikoen ved dårlig informasjonssikkerhet. Manglende forankring og prioritering i virksomhetens ledelse er også en utfordring. Mange enkeltindivider, enten de er hjemmebrukere eller ansatt i en virksomhet, har en generell mangel på kunnskap og bevissthet omkring behovet for informasjonssikkerhet, og hvilken rolle de selv spiller som aktør i et nett.
For å styrke informasjonssikkerheten i Norge la regjeringen i desember 2007 frem ”Nasjonale retningslinjer for å styrke informasjonssikkerheten 2007-2010”. Formålet med retningslinjene er å skape en felles forståelse for hvilke utfordringer vi står overfor, og identifisere områder der det er behov for å gjøre en ekstra innsats for å styrke den nasjonale informasjonssikkerheten. Retningslinjene skal bidra til å fremme en bedre forståelse for hvordan alle brukere, utviklere og tilbydere av IKT kan dra fordel av, og bidra til utviklingen av en sikkerhetskultur på området.
Retningslinjene er primært innrettet mot offentlige myndigheter i staten. Gjennomføring av retningslinjene kan også berøre kommuner, fylkeskommuner, næringsliv, private organisasjoner, husstander og enkeltpersoner.
I samsvar med ansvarsprinsippet vil det enkelte departement ha ansvar for å følge opp retningslinjenes innsatsområder innenfor sitt ansvarsområde. Departementene skal i samarbeid med underlagte virksomheter sørge for sektorvis oppfølging, og at tiltak i nødvendig grad blir koordinert med andre departementer. Fornyings- og administrasjonsdepartementet har et overordnet samordningsansvar for oppfølging.
Et sentralt innsatsområde i retningslinjene er økt innsats for bevisstgjøring og kunnskapsspredning. Bevissthet om risikoer og tilgjengelige beskyttelsestiltak er den første forsvarslinjen for sikkerheten i IKT-systemer. Bevisstheten og kunnskapen hos befolkningen generelt skal derfor økes. Etablerte og målrettede tiltak for å styrke bevisstheten om IKT-sikkerhet skal videreføres. Dette gjelder blant annet aktivitetene til Norsk senter for informasjonssikring og Post- og teletilsynets opplysnings- og veiledningsaktiviteter inkludert sikkerhetsportalen Nettvett.no.
God ressursutnyttelse på området tilsier et tett samarbeid mellom myndighetene, næringslivet og private organisasjoner. Myndigheter med ansvar for sikkerhet og beredskap skal derfor, i samarbeid med privat sektor, bidra til bevisstgjøring om trusler, opplyse om tiltak og påvirke til gode holdninger. Leverandører av produkter og systemer vil bli oppfordret til å legge til rette for at alle produkter og systemer rettet mot massemarkedet ledsages av lettfattelig opplysnings- og opplæringsmateriale om informasjonssikkerhet.