NOU 2000: 24

Et sårbart samfunn— Utfordringer for sikkerhets- og beredskapsarbeidet i samfunnet

Til innholdsfortegnelse

2 Oversikt over ulike former for trusler mot IKT-systemer

Dersom en aktør ønsker å utføre et digitalt angrep er det et utall framgangsmåter som kan anvendes. Angrepet kan skje fysisk, det kan skje elektronisk eller gjennom personer/agenter. Nedenfor følger en skissemessig oppstilling av noen metoder og teknikker inndelt etter tre hovedkategorier:

Ulike typer fysiske trusler

  • Fysiske angrep på datamaskiner, kommunikasjonsredskaper, programvare, kabler, kontrollmekanismer, telesentraler, kraft- og vannverk osv. Midlene kan være klipping av kabler, ødelegging av harddisker, fjerning av vitale komponenter, bruk av elektromagnetisk puls (EMP), bombing eller forsøk på fysisk å overta IT-kommandosentraler osv. Intensjonen vil være å skade det angrepne mål på en slik måte at det ikke er tilstrekkelig å tilbakeføre informasjon med backup, men at fysisk utstyr må repareres eller erstattes.

  • Sletting eller overskriving av filer, fjerning av programvare m v. Det er minneprodukter, som harddisker, disketter, cd/dvd-plater, tape-streamer m.v. som vil være hovedmålet for slike angrep.

  • Bevisst fysisk tyveri av datahardware- eller datasoftware. Dette kan gjøres med flere hensikter: påføre organisasjoner/bedrifter/stater direkte eller indirekte økonomiske eller intellektuelle tap. Et tyveri kan medføre økonomiske konsekvenser som går ut over det faktiske tap som tyveriet innebærer. Man kan stjele en PC som inneholder unik informasjon som ikke kan gjenopprettes.

  • Naturgitte hendelser som fører til skade på IKT-systemer/IKT-avhengig infrastruktur

Ulike typer elektroniske trusler

  • Logiske angrep på komponenter som utgjør kritiske IKT-systemer kan skape store problemer for eierne av IKT-systemene. Det kan være snakk om spredning av virus 1 , trojanske hester 2 eller Ormer 3 . Den senere tid har vi sett flere store nettsteder blitt utsatt for det som kalles «distributed, coordinated denial-of-service attack». Det vil si at angriperne bruker flere kraftige datamaskiner til samtidig å sende formidable mengder forespørsler mot nettsiden de ønsker å angripe. Dette vil føre til at det angrepne nettstedets servere i verste fall vil bryte sammen, og i beste fall svært vanskelig for andre brukere å komme i kontakt med serveren. 4 Det eksisterer fjernstyringsprogrammer som gir andre muligheten til å operere din datamaskin. De kan i praksis utføre de samme operasjoner som deg, uten at du er klar over det, som for eksempel å slå på mikrofonen i en PC i et møterom for å høre hva som blir sagt. Det er eksempler på at programmerere har laget «bakdører» i programvare. Dette gir mulighet til å logge seg på en maskin uten kjennskap til passord, og kan være et problem der sentralt IKT-personell har sluttet i sitt arbeid og har interesser av å skade tidligere arbeidsgiver.

  • Logiske angrep på komponenter som støtter opp om de kritiske IKT-systemer. Dette er indirekte angrep på støttefunksjoner som IKT-systemene er avhengige av for å kunne fungere. Det kan være ventilasjonssystemer, strømforsyning, vannkjøling m.m. På bakgrunn av dette er det ikke tilstrekkelig at bare IKT-systemene er sikret.

  • Bevisst utnyttelse av IKT-systemer for å tilegne seg informasjon som en i utgangspunktet ikke har rettmessig tilgang til, for eksempel knekking av koder for kryptering/passord for å tilegne seg andres krypterte informasjon. Elektronisk tyveri av dokumenter/informasjon samt spionasje, både industriell og statlig, er et stort problem som man ikke har oversikt over på grunn av store mørketall. 5

Persontrusler og andre trusler

  • Fysiske angrep eller «påvirkning» på menneskene som opererer kritisk infrastruktur eller som innehar spesiell kompetanse. Ved å gjennomføre dette kan utenforstående få «innsidetilgang» til systemer som ellers er godt beskyttet av fysiske og logiske sikringstiltak. Dette vil være et alvorlig problem for virksomheten, da slikt IKT-personell ofte har inngående kjennskap til systemets svakheter og gjennom dette kan påføre virksomheten svært alvorlige skader. 6

  • Ikke-villede feil utført av egne ansatte står for en stor del av den daglige svikten i IKT-systemer. Dette er i hovedsak et kompetanseproblem, men kan også komme av får dårlige kvalitetssikringsrutiner. Mulige årsaker kan være høy rotasjonen av programvarer, at de ansatte får for liten opplæring i å håndtere programmene eller at de ansatte ikke følger de retningslinjene som virksomheten har, eller burde ha, utarbeidet.

  • Tekniske forhold blir en større trussel ettersom systemene blir mer komplekse. Programvarerelaterte problemer, som programvare-inkompabilitet, blir et større problem desto flere programmer man kjører og jo flere leverandører man benytter seg av. Utvikling av åpne globale nett gjør det også lettere å bli påført teknisk svikt. Teknisk svikt kan også være knyttet til hardwaren. Vi har i løpet av de siste årene sett feil ved både prosessorer, RAM-minne og hovedkort til PCer som gjør at de enten ikke kan levere den kvaliteten de er forutsatt å kunne levere, eller at de ikke fungerer i det hele tatt. 7

  • Svikt i leveranser av utstyr og komponenter som følge av just in time produksjon. Vi har sett at datamarkedet er svært flyktig, og produserer med svært små marginer. Dette har, i tillegg til den ekstremt kort levetiden på slike produkter, ført til at de ikke sitter inne med store lagre av sine produkter, men har en produksjonskapasitet som er godt tilpasset det markedet krever. Produsentene sitter som regel ikke inne med noe overkapasitet både verken produksjons- og personellsiden. Disse forholdene gjør produksjonssystemene svært sårbare, noe vi har sett flere ganger de senere årene. 8

Fotnoter

1.

Virus er et kodesegment som dupliserer seg selv ved å knytte seg opp mot filer. Det åpnes når man benytter seg av den infiserte filen.

2.

Dette er programmer som ligger skjult i andre programmer inntil de aktiveres. Da vil de utføre en eller annet uønsket handling som for eksempel sletting av filer eller harddisker eller å lekke informasjon tilbake til utsenderen. I 1997 gjorde American Online brukere av deres systemer klar over at en trojansk hest sirkulerte på e-post. Når programmet som inneholdt den trojanske hesten ble åpnet, sendte det fra seg brukerens brukernavn og passord til utsenderen av den trojanske hesten. Utsenderen ble tatt og innrømmet i rettssaken å ha tilegnet seg mer enn 500 brukernav og passord gjennom det ulovlig angrepet.

3.

Dette er selvkopierende programmer som ikke trenger et vertsprogram. Programmet lager en kopi av seg selv og eksekverer programmet. Det er ikke lenger nødvendig med bruker-intervensjon slik som for virusene for at programmet skal starte. I 1988, spredte en orm seg til mellom 2–6000 datamaskiner i løpet av noen timer. Dette var mellom 5–10 prosent av alle datamaskiner på Internett den gangen.

4.

Angrepet på Yahoo! den 8. februar 2000 er det mest kjente og største slike angrepet i Internetts historie. Millioner av brukere kan ha blitt omfattet av angrepet i det de ikke kunne bruke Yahoo! sine søkemotorer.

5.

Den mest økonomisk sett mest alvorlige hendelsen er påstanden om at europeiske Airbus tapte et anbud på $ 30 mrd. til amerikanske McDonnell-Douglas på grunn av bedriftshemmeligheter fanget opp fra amerikansk hold ved hjelp av avlyttingssystemet Echelon. Påstandene er ikke offisielt bekreftet.

6.

Det er ikke bare gjennom trusler dette kan oppnås. En ansatt kan bli tilbudt arbeid hos en annen virksomhet under den forutsetning at han legger igjen «bugs» eller «bakdører» i softwaren til den konkurrerende virksomheten som gjør at den nye arbeidsgiveren enten vil få et konkurransefortrinn ved at produksjonen hos den opprinnelige arbeidsgiveren svekkes eller at den nye arbeidsgiveren kan ha fult innsyn i sin konkurrents virksomhet uten at denne er klar over det.

7.

Feil i en Pentiumprosessor i 1994 kostet selskapet som laget den, Intel, $ 474 mill. Feilen forårsaket maskinene til å regne feil. En slik feil kunne ha ført til svikt i kritisk infrastruktur med alvorlige konsekvenser som følge. Det ble ikke rapportert om slike feil.

8.

Sist så vi det under jordskjelvet i Taiwan høsten 1999, da prisen på RAM-brikker ble tredoblet omtrent over natten, og flere av prosessorleverandørene klarte heller ikke å tilfredsstille etterspørslen i markedet.

Til forsiden