Nyhetsbrev

Motta siste nytt fra Arbeidsliv i Norden med e-post. Nyhetsbrevet utkommer 9 ganger i året.

(Påkrevd)
Du er her: Forside i Nyheter i Nyheter 2021 i Vil ha felles nordiske sanksjoner mot land som angriper digitalt
Nyhet

Vil ha felles nordiske sanksjoner mot land som angriper digitalt

| Tekst og foto: Bjørn Lønnum Andreassen

Kompetansen på cyber-sikkerhet i Norden øker, men hva skjer når angripende land avsløres? På Nordisk råds temasesjon diskuteres den 30. juni et forslag om at de nordiske landene skal vil nå vurdere felles sanksjoner ved cyberangrep. Det er et forslag som får støtte fra forskere i Norge.

- Cyperangrep er alvorlige trusler ikke bare mot de nordiska landene men også globalt. De angriper noe av det viktigste vi har, nemlig vårt demokrati og våre åpne samfunn. Derfor er det ekstremt viktig at vi løfter frem dette i Nordisk Råd og ser på hva vi kan gjøre i fellesskap for å møte trusselen. Både cyber-trusler og pandemien er eksempel på utfordringer som krever nordisk og internasjonalt samarbeid hvis vi skal finne løsninger, sier Bertel Haarder, president for Nordisk Råd i 2021.

Han får støtte av Maria Bartnes, som er forskningssjef ved forskningsstiftelsen SINTEF, avdeling Digital i Trondheim og er tilhenger av den nordiske ideen.

- Samfunnet er midt oppe i et rush av digitalisering. Alle mulige systemer kobles på nett. System kobles sammen og vi introduserer programvare og IT i alle bransjer, sier hun og ramser opp: Oljeindustri, helsesektor, vannforsyning og andre kritiske funksjoner.

Økende avhengighet

Bartnes leder systemutvikling og sikkerhet ved SINTEF, og er samtidig førsteamanuensis II ved Norges teknisk- naturvitenskapelige universitet NTNU i Trondheim.

– Med mer digitalisering i samfunnet oppnår vi økt funksjonalitet. Vi kan bedre overvåke og fikser feil uten å dra ut i felt. Vi får bedre styring og reduserer feil ved å bruke teknologi. Samtidig introduserer vi nye sårbarheter. Større avhengighet mellom forskjellig infrastruktur innføres også. Alle funksjoner i samfunnet har blitt avhengig av strøm og IKT. Samtidig er strøm og IKT gjensidig avhengig av hverandre, sier hun og utdyper.

- En feil i et system kan føre til store konsekvenser i et annet system langt unna. System som man ikke umiddelbart tenker på. Det blir da krevende å analysere risiko, og krevende å forstå hvordan vi skal hindre angrep, sier Bartnes.

Mer komplekst

- Før hadde hver bransje egne systemer og full oversikt over systemene man hadde i drift. Man visste hvor inngang og utgang i systemene var, og hvordan hackere kunne komme seg inn. Hvilke skade hackere kan gjøre har blitt mer krevende å vite nå, og mer krevende fremover, sier hun.

- Hvor mye mer sårbare er vi i Norden nå sammenliknet med for 10 år siden?

- Avhengigheten mellom systemene har økt. Dermed har samfunnets sårbarhet på en måte økt kraftig. Men samtidig har bevisstheten økt, og sikkerhetsteknologien er bedret. Sikkerheten har ikke stått i ro mens utviklingen av teknologien har gått videre, sier hun legger til at forbrukerteknologi koblet på nett øker, særlig i Norge.

- Sikkerhet ved sykehus er kritisk, der mange bruker mye forskjellig medisinteknisk utstyr på nett. Utstyr som gjør livet bedre for pasienter er også på nett. Det gir fordeler og mer mulig sårbarhet.

Store kapasiteter

Kina, Russland, Iran og Pakistan er blant de norsk etterretning har listet opp som påtrengende aktører.

- Fremmede stater blir mer slagkraftige. Hvis noen virkelig vil angripe oss er det lite vi kan gjøre. De har store ressurser, og kan bruke år på å bygge opp et angrep. Det sier noe om motivasjon og ressursene som er tilgjengelig.

- Vi kan bli bedre på å utvikle sikrere teknologi med. Det er funksjonalitet som driver utviklinga av teknologien. Så kommer man på behov for sikkerhet når teknologien er tatt i bruk. Men vi må bake inn sikkerhet i utviklingen av teknologien tidligere. Sikkerhet bør bli et konkurransefortrinn, slår hun fast.

Det kommer fram at ikke alt kan forebygges.

- Noe kan ramme oss og da må vi være i stand til å begrense konsekvensene. Nye angrep synes å være omtalt i mediene hver uke, forteller hun og viser til det som skjedde på østkysten av USA.

Källa: Skärmdumpar YouTube

Når datanettverket til rørledningsselskapet Colonial Pipeline ble kapret var det "Big News" i hele USA. Skjermdumper fra ulike nyhetssendinger.

Colonial Pipelines IT-systemer ble rammet. Selskapet transporterer bensin, diesel, flybensin og fyringsolje fra raffinerier. Rørledningsnettet som ble rammet strekker seg fra Texas til New Jersey.

- Rørledningen ble satt ut en ukes tid. Bensinprisene gikk i været og panikken slo til. Panikk er en nyttig effekt for de som vil skade et samfunn. I Norge er Stortinget og et helseforetak angrepet. Det er en skummelt og interessant tanke å finne ut: hva får hackerne ut av å angripe politikere i parlamentet? De kan komme langt i å forstå saksgang og relasjoner og dermed bli i stand til å påvirke politiske prosesser. Dette er vanskelig å oppdage for oss som samfunn, sier hun og understreker at politisk spionasje kanskje er bland de verste eksemplene.

- Når er en politisk beslutning påvirket utenfra - og når er den reell? Uønsket påvirkning over tid kan være med å styre samfunnet vårt. Dette er krevende. Også derfor er samarbeid om felles sanksjoner i Norden muligens positivt, mener forskningssjefen.

- Vi kan lettere oppdage, avdekke og beskytte oss. Vi har mye til felles. Felles tankesett og syn på personvern om hvordan man skal operere i det digitale rom, gjør at vi kan tjene på samarbeid. Det er ikke landegrenser på internett. Sånn sett virker det rart om et land bare skal beskytte hva som er innenfor egne grenser, klargjør Bartnes.

Foto: Bjørn Lønnum Andreassen

Maria Bartnes ønsker seg felles krav om IT-sikkerhet i EU. 

Hun tror kompetansen på datasikkerhet øker i årene framover. Styre og ledere i bedrifter og organisasjoner må stille krav til løsninger med en høyere sikkerhetsnivå. For det er sånn at de som lager IKT-løsninger ikke implementerer sikkerhet hvis sikkerhet ikke står i noen krav-spek ved bestilling. Integreres sikkerhet, øker sikkerheten og det lønner seg. Sikkerhet har kommet inn på styrerommene og det mer enn for 10 år siden.

Sertifikat og lov?

- Hvem som helst kan lage og selge en IT-løsning, app eller dings uten å være sertifisert. Uten minimumskrav til sikkerhet. Sertifisering kunne gjort at produkter ble mulig å sammenlikne. Da ville det bli lettere å velge produkt etter hvor sikkert utstyret er. Dette er forbrukerorientert, men også høyst gyldig på f.eks sykehus, bedyrer hun.

- EU har fått felles lov om personopplysninger. Kunne vi ikke fått til noe tilsvarende på krav om IT-sikkerhet? spør hun og utesker at et felles regelverk kunne sette noen minimumskrav.

Mer enn aktivister

Trusselaktører kan kategoriseres i en trussel-pyramide forklarer Nils Kalstad. Han leder Institutt for informasjonssikkerhet og kommunikasjonsteknologi ved NTNU, som også holder til i Gjøvik.

- Noen hackere kan sammenliknes med aktivister som demonstrerer i gatene med banner og rop. De kan bare ønske å teste ut teknologien. Neste i pyramiden er lett- og organisert kriminalitet. Så kommer aktører som støttes av fremmede stater, og på toppen er fremmede stater. Informasjon er grunnlag for spionasje, som alle land har drevet med i lange tider. Dette er bare en ny arena for det. Det blir lettere å drive operasjoner med påvirkning, eller deep fake news som det kalles, altså på mellomstatlig nivå. Feilaktig eller tilpasset informasjon som går som legitim informasjon over tid spres for å dreie opinion og virkelighets-oppfatning i deler av befolkningen. Internett har virkelig gjort verden mindre.

Studier bedret

Gjennom rundt sju år har mulighetene til å studere digital sikkerhet ved NTNU blitt forbedret.

- Kapasiteten er tredoblet. Studiene ar attraktive og populære med god søkning. Digital sikkerhet skal inn i grunnutdanningen gjennom nye rammeplaner. Også virksomheter satser mer på etter- og videreutdanning med støtte fra forskningsrådet. En bekymring kan knyttes til spesialistutdanning med litt få norske kandidater på doktorgradsutdanning på informasjonssikkerhet ved alle universitetene, formidler han og tar med at mange norske med mastergrad lett heller tar en attraktiv jobb i stedet for PhD.

Nyhetsbrev

Motta Arbeidsliv i Norden gratis med e-post. Nyhetsbrevet utkommer 9 ganger i året.

(Påkrevd)
h
This is themeComment