6 Risikobildet
Notat til infrastrukturutvalget
Rådgiver Bjørnar Davidsen, Seniorrådgiver Bjørn Nilsen, Nasjonal sikkerhetsmyndighet, April 2005
6.1 Innledning
Nasjonal sikkerhetsmyndighet er bedt om å gi et innspill til Infrastrukturutvalget som sammenfatter risikobildet med bakgrunn i informasjon fra ulike kilder, herunder Politiets sikkerhetstjeneste og ulike forskningsmiljøer. Det presiseres at risikobildet er komplekst og at dette notatet derfor gir et innblikk i enkelte forhold ved risikobildet. Det er lagt spesiell vekt på å beskrive sårbarheter i forhold til spionasje, sabotasje og terrorhandlinger, hvor konsekvensen av anslag kan innebære en utfordring for vår nasjonale sikkerhet.
6.2 Generelt om risikobildet i vår tid
Det har i de senere årene vært gjennomført en rekke offentlige utredninger hvor det nye risikobildet Norge står overfor, har vært drøftet. Generelt kan det sies at utviklingen har gått fra en ganske entydig og klart dimensjonerende trussel til et variert og diffust trusselbilde . Tidligere var vern om landets suverenitet (territorielt og statsmessig) det sentrale sikkerhetsmessige fokus. Etter den kalde krigens epoke, har den tradisjonelle militære trussel mot Norge blitt sterkt redusert. I St.meld. nr. 17 (2001-2002) Samfunnssikkerhet står det:
«Vi står overfor et mye bredere og mer diffust trusselbilde enn tidligere, kjennetegnet av glidende overganger mellom det nasjonale og det internasjonale, og mellom fred, krise, væpnet konflikt og krig. Norge kan i økende grad bli trukket inn i konflikter i den lavere del av krisespekteret, og vi kan bli trukket inn i konflikter på en indirekte måte. I sum er de potensielle truslene som vi står overfor som en del av en mer global verden ikke blitt borte – de er flere og mer uoversiktlige.»
Perioden med bortfall av den kalde krigen faller tidsmessig sammen med en annen viktig utvikling, nemlig inngangen til informasjonssamfunnet og globaliseringen som dette fører med seg. Vi har i løpet av de siste to tiårene sett en eksplosiv utvikling innen informasjons- og kommunikasjonsteknologi (IKT). Nye sårbarhetsområder har dermed blitt introdusert, selv om teknologien også gir bedre muligheter for å forebygge uønskede hendelser. Ved siden av at denne teknologien etter hvert tas i bruk på stadig flere områder i samfunnet, har fremveksten av et Internett på verdensbasis skapt en helt ny epoke.
Et sentralt kjennetegn ved denne samfunnsutviklingen, er at stabile og fungerende IKT-systemer i stadig økende grad er en forutsetning for at samfunnsmaskineriet skal virke. Det er også slik at måten teknologien tas i bruk på gjør at det er stadig flere tannhjul som griper i hverandre, selv på tvers av sektorer. Samfunnets infrastruktur på nær sagt alle områder drives på en eller annen måte av IKT-systemer.
Det nye trusselbildet har mange fasetter; noen av dem er knyttet nettopp til infrastrukturens avhengighet av IKT. IKT representerer en helt spesiell verdi for samfunnet. At samfunnet er blitt så avhengig av fungerende IKT-systemer, gjør at trusler mot disse får en helt ny dimensjon. For 15 år siden ville feil eller sammenbrudd i en datamaskin kun føre til meget begrenset skade. I dag kan en tilsvarende hendelse gi omfattende og kanskje katastrofale virkninger.
Utviklingen har gått så raskt at vi kanskje ikke kan sies å ha full kontroll over situasjonen. Hvor sårbare er vi egentlig? Hvilke trusler vil være dimensjonerende for valg av sikringstiltak? Hvilke er de viktigste truslene i dag, i morgen?
Det kan observeres noen trender som kanskje kan si noe om hva oppmerksomheten bør rettes in mot:
Det er flere angrep som er koordinerte med økonomiske, politiske eller samfunnskritiske mål
Server-, klient- og applikasjonsparken i Norge blir mer og mer homogen
Norske virksomheter er raske til å ta i bruk ny teknologi
Norge har høy utbredelse av bredbånd
Teknologi blir brukt på nye måter for å bli hørt; demonstrasjoner, utpressing
Nye sammenstillinger av angrepstyper blir brukt av organiserte kriminell miljøer – ikke alltid veldig sofistikerte, men enklere angrep
Det er en nedgang i helgene med antall automatiske angrep mot mål
Derimot en økning i antall angrep i helgene mot hjemmebrukere, hvor sosial manipulasjon er fremtredende
Organiserte kriminelle bruker kombinasjoner av spam 1 , sosial manipulering, id-tyveri, phishing 2 etc. for å kunne angripe for eksempel nettbanker.
De mer langsiktige trendene kjennetegnes ved en angrepsvektor med elementer av nektelsesangrep, koordinert med økonomiske eller politiske mål. En annen langsiktig trend er at norske, samfunnskritiske kontrollsystemer blir koblet opp mot Internett. 3 Det er også en økende motivasjon for økonomisk vinning ved såkalte zero-day-attacks. 4
Politisk motiverte nektelsesangrep har man sett mye av i enkelte deler av verden (eksempel i Midt-Østen). Denne angrepstypen er vanskelig å spore. Det finnes heller ikke noe internasjonalt lovverk som retter seg mot dette.
Til nå har vi ikke sett at elektroniske informasjonssystemer har vært utsatt for angrep, verken av fysisk eller elektronisk karakter, som med rimelighet kan betegnes som terrorisme. Ikke desto mindre gjør infrastrukturens avhengighet av IKT-systemene disse til et potensielt mål, ikke bare for terroristorganisasjoner. Muligheten til å være proaktiv i forhold til å vurdere truslene, avdekke sårbarhetene og forberede tiltak som kan redusere konsekvensene ved et angrep mot infrastrukturen, må utnyttes.
6.3 Risikobegrepet
En vanlig forståelse av risikobegrepet er at det utledes av to komponenter; sannsynligheten for at en uønsket hendelse skal skje og hvilke konsekvenser dette kan medføre.
Den tradisjonelle definisjonen av risikobegrepet som et produkt av sannsynlighet for en uønsket hendelse og konsekvensen denne hendelsen gir, blir likevel ikke et hensiktsmessig utgangspunkt når det gjelder for eksempel trusselen som utgjøres av terrorgrupper.
Det kan i stedet være nødvendig å anvende en metode som gir et grunnlag for å si noe om hvilken mulighet det er for at en slik trussel skal føre til utløsning av en uønsket hendelse gjennom utnyttelse av sårbarheter.
Det er avdekking av sårbarheter og tiltak for å redusere denne, som kan redusere mulighetene for et vellykket anslag. En kan gå ut fra at for eksempel et informasjonssystem som ikke har god nok beskyttelse i form av brannmurer, vil være mer sårbart overfor angrep og at muligheten for at dette informasjonssystemet rammes dermed vil være større.
Konsekvensene av ondsinnede handlinger kan være så store at de truer rikets sikkerhet og vitale nasjonale interesser. Stortinget vedtok i 1998 Lov om forebyggende sikkerhetstjeneste (sikkerhetsloven), som skal sikre at en grunnsikring til enhver tid er på plass for informasjon og objekter av spesiell verdi for samfunnet, gjennom blant annet å stille krav til defensive sikkerhetstiltak.
Det er ikke mulig å forutsi med særlig grad av sikkerhet hvor trusselaktører vil angripe. De defensive sikkerhetstiltakene har derfor som utgangspunkt at den samfunnsmessige verdien identifiseres og danner utgangspunkt for tiltakene, slik at tiltak skal være på plass alle steder hvor det finnes en mulighet for anslag som kan medføre betydelige, samfunnsmessige konsekvenser.
Konsekvensvurderingen er styrende ved fastsetting av sikkerhetsmessig verdi på informasjon og objekter. Dess større konsekvens det får dersom informasjon blir kjent for uvedkommende eller et objekt ødelegges for eksempel av terrorister eller sabotører, dess større sikkerhetsmessig verdi har objektet eller informasjonen. Det er avgjørende for samfunnssikkerheten at virksomheter er i stand til å foreta en vurdering av hva som har sikkerhetsmessig verdi slik at objekter og informasjon som virkelig har samfunnsmessig betydning, blir beskyttet. Det er ikke mulig å beskytte absolutt alt, derfor må en gjøre et utvalg. Nasjonal sikkerhetsmyndighet vil kunne bistå i en verdivurdering. Det er imidlertid virksomhetene selv som må foreta den innledende verdivurderingen. Nærhet til og erfaring fra oppgaveløsningen innenfor egen sektor eller egen virksomhet, gir et godt grunnlag for å kunne foreta en verdivurdering.
Bak de tilsiktede, ondsinnede handlingene står en trusselaktør . Trusselaktører kan være alt fra misfornøyde ansatte i en bedrift til pressgrupper, organiserte kriminelle, terroristorganisasjoner eller andre stater. Muligheten for at spionasje, sabotasje eller en terrorhandling faktisk vil finne sted har blant annet sammenheng med egenskaper hos trusselaktøren. Sentrale vurderingstema i denne forbindelse vil være aktørens intensjon og kapasitet .
Intensjonen, altså ønsket om og viljen til for eksempel å utføre en terroraksjon, er i første rekke styrt av motivasjonen. Motivasjonen vil også påvirke forhold som besluttsomhet, grad av voldsanvendelse og vilje til å overse risiko ved gjennomføring av aksjoner.
Eksempel på motiverende faktorer hos forskjellige trusselaktører kan være:
politiske
ideologiske
kriminelle
religiøse
hevn
økonomiske
etterretning
Ulike katalysatorer kan påvirke valg av både mål og tidspunkt for et angrep. Katalysatorer kan være av forskjellig karakter:
Hendelser : Kan være relatert direkte eller indirekte til angriperen, for eksempel en personlig opplevelse eller tilgang til et nyhetsinnslag som fører til at en forhåndsplanlagt aksjon settes i verk. Det kan også være endringer i politiske forhold mellom land eller andre konflikter, som får stor oppmerksomhet.
Teknologiendringer : Viktige teknologiendringer skjer stadig. Nye anvendelsesområder synliggjøres, og det kan også gi nye sårbarheter som kan utnyttes. Dette kan i seg selv være en katalysator for å utløse angrep.
Personlige forhold : Endringer av personlig karakter hos en (potensiell) trusselaktør kan utløse og gi motivasjon for å utføre en ondsinnet handling. Ikke minst i forhold til innsidetrusselen, er dette en type katalysator som det må tas hensyn til.
Kapasitetsbegrepet beskriver ulike sider ved en trusselaktør, som vil ha betydning for å vurdere hvilken evne denne har til å gjennomføre et anslag av forskjellig styrke og karakter. Teknologisk kunnskap, økonomisk støtte, tilgang på våpen/annet utstyr og nivå på organiseringen er eksempler på elementer som inngår i kapasitetsbegrepet. I vurderinger av kapasitet vil det måtte legges forskjellig vekt på de ulike aspektene, etter hvilken type trusselaktør det er snakk om.
En trusselaktør vil kunne benytte seg av alle tilgjengelige nivåer i sine angrep, inkludert enkle metoder dersom dette kan gi den ønskede effekt. Men det kan også være aktuelt med høynivå/høykapasitets metoder over en lengre periode, for å få en tilsiktet effekt.
Det er grunn til å understreke at ønsket om å skade ser ut til å ligge på et permanent, høyt nivå hos enkelte trusselaktører i dag. Kapasiteten synes imidlertid å være utilstrekkelig på enkelte områder. 5 Tilgang til informasjon om et samfunns sårbare punkter kan være med på å øke kapasiteten hos ondsinnede aktører i forhold til å gjennomføre anslag. I spesielle tilfeller kan en heller ikke se bort fra at ervervelse av sårbarhetsinformasjon faktisk kan bli en utløsende faktor slik at anslag gjennomføres som, uten tilgang på sårbarhetsinformasjon, ellers ikke ville ha blitt gjennomført.
6.4 Risikobildet
Faktorene verdi (hva må beskyttes), sikkerhetstrussel og sårbarhet utgjør til sammen risikobildet. Kjennskap til alle faktorene i risikobildet er en forutsetning for å være i stand til å innrette defensive, forebyggende sikkerhetstiltak på en hensiktsmessig måte.
6.4.1 Hva må beskyttes?
Tidligere har territoriell integritet vært hovedinnholdet i begrepet rikets sikkerhet. Dette er endret nå, blant annet med bakgrunn i det endrede trusselbildet. Fra en situasjon hvor rikets sikkerhet i første rekke var truet av muligheten for en invasjon fra en annen stat, er vårt (og andre) lands sikkerhet i dag utsatt for det som beskrives som en asymmetrisk trussel. Dette innebærer at trusselen kan komme fra ikke-statlige aktører, og den vil kunne medføre bruk av ikke-konvensjonelle midler (inkludert masseødeleggelsesmidler). Fremfor alt vil trusselen også kunne komme gjennom elektroniske nettverk (Internett), og den kan utløses fra hvor som helst i verden. «Spilleregler» ved staters krigføring mot hverandre, som Genevekonvensjonen, overses av de asymmetriske aktørene. Dette gir disse aktørene en mulighet til å øve innflytelse på politisk nivå i stater, blant annet ved å ramme helt vilkårlige personer. 6
Vitale nasjonale sikkerhetsinteresser omfatter kritisk infrastruktur innenfor vitale samfunnsfunksjoner som energi- og matforsyning, samferdsel, telekommunikasjon, helseberedskap samt bank- og pengevesen. Opplistingen er ikke uttømmende.
Et sentralt spørsmål når det gjelder å vurdere om egen informasjon er skjermingsverdig i henhold til sikkerhetsloven, må være om informasjonen i vesentlig grad kan misbrukes slik at virksomheten selv eller andre virksomheter rammes. Et annet spørsmål vil være om sammenstillingen av ugradert informasjon kan utgjøre en så verdifull kunnskapsbase for mulige ondsinnede aktører, at den helhetlige informasjonen vil kunne være skjermingsverdig i henhold til sikkerhetsloven.
Det utgjør en stor utfordring for virksomheter å kunne foreta en vurdering av hvilken samfunnsmessig verdi eksempelvis et informasjonssystem vil kunne få når en ser på den totale informasjonsstrømmen som systemet skal håndtere. En konsekvensanalyse må stå sentralt i en slik vurdering. Hva skjer dersom systemet ikke fungerer? Kan dette ha betydning for rikets sikkerhet eller andre vitale nasjonale sikkerhetsinteresser?
Ulike forhold kan påvirke verdivurderingen. Globalisering og økt avhengighet mellom land og regioner fører til at landegrenser ikke spiller den samme rollen i dag som tidligere i form av sikkerhetsbarrierer. Geografisk avstand har fått redusert betydning blant annet som en konsekvens av grenseoverskridende teknologi. Et eksempel på dette er den ustrakte avhengigheten av Internett, hvor landegrenser ikke eksisterer. Et annet eksempel er samfunnets økende avhengighet av navigasjonssystemer som Global Positioning System (GPS).
Norge er et lite land og må derfor bygge og vedlikeholde allianser for å bevare egen sikkerhet. Alliansebygging kan innebære utfordrende avveininger mellom informasjonsdeling eller skjerming av informasjon overfor motparten.
Prinsippet om skjerming av informasjon for å gjøre spionasje og terror så vanskelig som mulig kan bryte med et annet viktig prinsipp for å bekjempe spesielt terrorhandlinger, nemlig informasjonsdeling fra offentlige myndigheter og ut til befolkningen. Det er antagelig slik at «mannen i gata» gjennom sin årvåkenhet og evne til rapportering av mistenkelige personer/gjenstander/hendelser og lignende, stadig vil bli viktigere for å bekjempe terrorhandlinger i fremtiden. Dette innebærer at offentligheten har et informasjonsbehov. Det kan være grunn til å spørre om ikke «det informerte samfunn» også vil være «det mest motstandsdyktige samfunn» i forhold til terrorhandlinger. Men balansegangen kan være hårfin. Det kan tenkes at visse typer informasjon som, dersom den blir kjent for offentligheten, vil kunne skape unødig redsel. Det kan også være tilfeller hvor informasjon må sikkerhetsgraderes høyt av hensyn til samarbeidende tjenester, slik at en ikke opplever «informasjonstørke» dersom disse tjenestene mener at opplysningene ikke beskyttes tilstrekkelig fra norsk side.
6.4.2 Sikkerhetstrusselen
Spionasjetrusselen 7 eksisterer fremdeles i form av tradisjonell, statsinitiert spionasje. 8 Spionasjen retter seg både mot økonomiske og teknologiske mål, så vel som mot mer tradisjonelle mål som beredskapsplaner, krisehåndteringsevne, forsvarshemmeligheter og sikkerhetspolitiske standpunkter. Skadevirkninger av spionasje som rettes mot økonomiske og teknologiske mål vil blant annet være svekket konkurranseevne og mulig tap av arbeidsplasser. Skadevirkninger av spionasje rettet mot for eksempel sikkerhetspolitiske standpunkter og forsvarshemmeligheter, kan være en svekkelse av norsk strategisk evne til å møte endringer i risikobildet. Samfunnssikkerheten i Norge kan også trues dersom detaljert informasjon om beredskapsplaner kommer på avveie.
Sikkerhetsgradert informasjon vil alltid være av spesiell interesse for fremmed etterretning, fordi informasjonen skal være vurdert som spesielt verdifull, av informasjonsutstederen. Åpent tilgjengelig informasjon, for eksempel i form av stortingsmeldinger og artikler i media, utgjør likevel en svært viktig del av etterretningsbildet. En sammenstilling av ugradert informasjon vil, som tidligere nevnt, på et tidspunkt kunne få så stor verdi som kunnskapsbase for fremmed etterretning, at den totale informasjonsmengden bør sikkerhetsgraderes.
Terrorgrupperinger er også nødt til å samle inn informasjon om mulige mål i forkant av aksjoner. Detaljert informasjon om eksempelvis bygningers tåleevne, vaktrutiner og kontrollsentralers plassering, vil lette gjennomføringen av en aksjon og øke skadepotensialet.
Eksempler viser at fremmed etterretning ofte arbeider gammeldags, med verving som en mye brukt metode . 9 Følgende eksempel viser at spionasjetrusselen fremdeles er reell: Norge utviste i januar 2004 en ambassadesekretær ved den russiske ambassade, som var mistenkt for å utføre aktiviteter som ikke var forenlig med vedkommendes diplomatiske status. 10
På generell basis kan det sies at det finnes et mangfold av metoder for å utføre spionasje. Ny teknologi gir blant annet nye muligheter for spionasje. Samtidig gir også teknologi nye muligheter for forebygging.
Informasjon om planlagte og utførte terrorhandlinger11 i Europa kan si noe om utviklingstrekk i forhold til mål og metode.
Spania ble rammet av en terroraksjon 11. mars 2004. Det har også blitt avverget flere planlagte terroraksjoner i Europa siden år 2000. Det er gjennomgående radikale, islamistiske grupperinger som står bak planene. Målutvelgelsen er variert og omfatter symbolske, militære, statlige og private mål. Når det gjelder metoder , så dominerer fremdeles eksplosiver, blant annet i form av sprengstoffet C4. Sprengstoff i form av ammoniumnitrat, altså kunstgjødsel, som er blandet med for eksempel diesel, synes også å være en aktuell metode. Metoden har blitt benyttet tidligere. Den såkalte Oklahomabomben var laget av gjødsel og drivstoff.
Enkelte av aksjonsplanene tyder på en sterk interesse hos terrorgrupperinger for å utvikle giftstoffer. Beslaglagt datautstyr tyder også på en interesse for å bedre evnen til å utføre angrep mot elektroniske informasjonssystemer. I dag ligger det verktøy for å utføre angrep lett tilgjengelig på Internett. Det kreves ikke spesielle datakunnskaper for å nyttiggjøre seg denne typen verktøy.
6.4.2.1 Nærmere om al-Qaida 12
Begrepet al-Qaida begynte å florere i mediene etter bombingene av USAs ambassader i Kenya og Tanzania i 1998. Begrepet ble brukt som en betegnelse på nettverket til Usama bin Ladin, som erklærte jihad mot USA for første gang i 1996.
Internasjonale forskningsmiljøer har ikke noe fullgodt svar på hva al-Qaida er. Studier av ulike dimensjoner ved al-Qaida kan bidra til å klargjøre bildet noe.
En viktig dimensjon er diskusjonen om al-Qaida er en organisasjon eller en bevegelse . Kilder indikerer at det, tidlig på 90-tallet, fantes ambisjoner om å lage en strukturert organisasjon. Etter 2001 har al-Qaida imidlertid beveget seg mer i retning av å være en bevegelse eller en ide som utøver handlinger gjennom lokale islamistgrupper med ulik grad av tilknytning til «den harde kjernen» av al-Qaida (Usama bin Ladin og hans nære medarbeidere). Sikkerhetmessige konsekvenser av denne utviklingen er blant annet at det som i dag best kan betegnes som et nettverk vil være vanskeligere å bekjempe, fordi limet i nettverket er en felles ideologi som i mindre grad enn før er personavhengig. Det er derfor grunn til å anta at ideologien kan komme til å leve videre, til tross for at enkeltpersoner blir nøytralisert.
En annen viktig dimensjon i studiet av al-Qaida handler om å se på utviklingen hos de lokale islamistgruppene som tidligere har vært mest opptatt av lokale konflikter. Nå kan det i økende grad se ut til at disse grupperingene bifaller ideologien om global jihad.
En tredje dimensjon ved studiet av al-Qaida er den sosiale profilen til medlemmer av al-Qaida og sympatisører. Yngre, muslimske menn med felles bakgrunn fra kamper mot sovjetiske styrker i Afghanistan, grunnla al-Qaida. Lederskapet henvender seg i dag til et yngre, hovedsakelig mannlig publikum. Også her skjer det imidlertid en utvikling, blant annet ved at al-Qaida i løpet av 2003 henvendte seg direkte til kvinner. Kanskje kan en mer pragmatisk holdning til ideologi ligge bak en slik utvikling, selv om henvendelsene i første rekke handler om at kvinner skal støtte sine ektemenn i jihadarbeidet, ikke utføre selvstendige aksjoner. 13
6.4.2.2 Al-Qaida og Internett
Internett blir benyttet på flere måter. Spredning av informasjon er viktig og dette kan skje enkelt og effektivt på Internett. Samtidig er det også naturlig å samle inn informasjon fra Internett. Oppdatert kunnskap om våpen, ny teknologi og fiendens svakheter og styrker vil alltid ha stor nytteverdi i forbindelse med aksjoner.
På en internettside drevet av «al-Qaida på den arabiske halvøy», ble leserne bedt om å fremskaffe informasjon om «økonomiske og militære mål …tilhørende de amerikanske vantro korsfarerne (i Saudi Arabia)». Følgende mål ble nevnt som attraktive:
Kontorer og rørledninger tilhørende amerikanske oljeselskaper
Amerikanske ammunisjonslager
Boligområder og rekreasjonssenter for amerikansk personell
Luftkorridorer
Oppstillingsplasser for tanking av amerikanske fly
Havner brukt av amerikanske militære og kommersielle skip.
Avsenderen foreslo å legge ved bilder og kart for å gjøre det enklere for de som følte seg kallet til å gjennomføre et angrep. Leserne ble også bedt om å legge ut navn og adresser på høyerestående militært personell og etterretningstjenestemenn.
Det antas at al-Qaida har intensjoner om å gjennomføre angrep mot samfunnskritiske objekter via Internett. Fremdeles vet man imidlertid lite om hvor alvorlig cybertrusselen fra al-Qaida og allierte grupperinger egentlig er. Amerikanske myndigheter mener å ha sterke indikasjoner på at al-Qaida nettverket har gjort forberedelser for fremtidige cyberangrep, fortrinnsvis rettet mot elektrisitetsforsyningen, telefonnettet, damanlegg og atomkraftverk samt kontrollsystemer for lufttrafikken. Også britiske myndigheter mener at de ødeleggende konsekvensene av vellykkede cyberangrep er vel kjent i hackermiljøene. 14
Det er imidlertid uklart hvilken kapasitet al-Qaida har i dag, til å gjennomføre angrep. Spørsmålet er kanskje heller om sympatisører av al-Qaida, som bifaller ideologien til nettverket, utgjør den største trusselen foreløpig. Flere islamistiske websider spesialiserer seg på «elektronisk jihad». Under den palestinske al-Aqsa-intifadaen har det vært en rekke kampanjer med cyberangrep, både av pro-israelske og pro-palestinske hackere, rettet mot motpartens websider. Pro-palestinske hackere har lyktes med å lukke eller skade nettsidene til en rekke israelske statsinstitusjoner, som det israelske parlamentet, hæren og utenriksdepartementet.
En rekke meget destruktive og ødeleggende virusprogrammer er også spredt gjennom Internett de siste årene. Noen av disse er trolig produsert av hackere med tydelige al-Qaida sympatier. 15
6.4.3 Sårbarhet
Den siste komponenten i risikobildet er sårbarhet. Sårbarhet er svakheter som reduserer eller begrenser evnen i et system eller i samfunnet til å motstå uønskede, negative hendelser. Under sikkerhetsloven manifesterer hendelsene seg i første rekke som spionasje, sabotasje eller terror. 16
6.4.3.1 Internett
Internett er tidligere nevnt som et område av stor verdi for samfunnet. Stadig flere tjenester i samfunnet, både offentlige og private, baserer seg på bruk av Internett. Internett er et system som i utgangspunktet var designet nettopp for å være robust og redundant, slik at mulighetene for å utføre sabotasje mot Internett skulle være små. Enkeltpunkter i Internettsystemet kan imidlertid være sårbare, både overfor logiske angrep i form av for eksempel tjenestenekt, og overfor konvensjonelle angrep i form av eksplosiver. Det er ikke utenkelig at kapasiteten på Internett vil bli betydelig dårligere dersom nøkkelpunkt skulle falle ut for eksempel som en følge av sabotasje, eller av andre, kanskje mer naturlige årsaker, som utstyrsfeil.
Det synes i dag som om forskningsmiljøene mangler kunnskap i forhold til konsekvenser ved bortfall av nøkkelpunkt i Internett. Det synes imidlertid klart at dersom sårbare punkter rammes så hyppig at angrepstakten overstiger systemets reparasjonstid, kan skaden gjøres mer eller mindre permanent. 17 En konsekvens av hyppige tjenestenektsangrep kan være sterkt redusert kapasitet i Internett, som igjen blant annet kan føre til at tjenester som nettbank ikke lenger vil være tilgjengelig.
Varslingssystem for digital infrastruktur (VDI) registrerer stadig kartleggingsforsøk via Internett, rettet mot de deler av kritisk infrastruktur som er tilknyttet VDI. Kartleggingsforsøk kan etterfølges av mer målrettede angrep. VDI vil, i tilfelle forsøk på koordinerte angrep skulle bli oppdaget, varsle berørte virksomheter raskt slik at disse kan treffe tiltak. Norge behøver imidlertid også en enhet som kan koordinere respons på alvorlige IT-sikkerhetsangrep på nasjonalt nivå, når angrepet er rettet mot kritisk infrastruktur.
6.4.3.2 Mulig effekt av nettverksterrorisme
Det har hittil ikke vært påvist noe koordinert eller vidtrekkende nettverksangrep som har ødelagt kritisk infrastruktur noe sted. Likevel kan det ikke avvises at det økende antall av tilsynelatende tilfeldige nettverksangrep i noen tilfeller er initiert av terrorgrupper. Det finnes undersøkelser 18 som viser at i siste halvdel av 2002 var virksomheter innen kritisk infrastruktur på topp av listen over mål for nettverksangrep. En annen rapport, utarbeidet av British Columbia Institute of Technology og PA Consulting Group tok utgangspunkt i data helt fra 1981. Rapporten påviser en ti-dobling i økningen av nettverksangrep mot infrastruktur og SCADA-systemer 19 etter år 2000. USAs forsvarsdepartement har også påvist en sterk økning i forsøk på inntrening i militære IKT-systemer.
Det er ulike synspunkter på i hvilken effekt nettverksangrep vil ha på kritisk infrastruktur. Noen mener at koordinerte nettverksangrep kan bli benyttet for å forsterke effekten av konvensjonelle angrep. Andre er mer usikre på hvor ødeleggende effekten vil kunne bli av direkte angrep på kritisk infrastruktur. Mens enkelte mener at virkningene kan slå alvorlig ut i økonomien, mener andre at de forskjellige systemene allerede er svært robuste og at gjenoppretting etter et angrep vil kunne gå relativt raskt slik at katastrofale effekter unngås.
I juli 2002 ble det gjennomført et krigsspill i regi av US Naval War College under tittelen «Digital Pearl Harbour». Scenariet var et koordinert nettverksangrep gjennomført av terrorister mot kritisk infrastruktur. Resultatet av det simulerte angrepet viste at den mest sårbare infrastrukturen var Internett selv, i tillegg til IKT-systemer innen den finansielle infrastrukturen. Spillet viste også at forsøkene på å ødelegge telekommunikasjonsnettet i USA ble mislykket på grunn av stor redundans i nettet. Hovedkonklusjonen den gang (i 2002) var at et «digitalt Pearl Harbour» for USA var mindre sannsynlig.
Som nevnt utpekte selve Internett seg som det mest sårbare i denne sammenheng. Det ble oppdaget en alvorlig svakhet i SNMP-protokollen 20 som kunne ha gitt angripere mulighet til å ramme Internett katastrofalt over hele verden. Informasjonen om denne svakheten ble holdt tilbake så lenge at alle leverandører kunne rette programvarefeilen og korrigere maskiner over hele verden.
Eksempelet viser at uoppdagede sårbarheter til en hver tid utgjør en trussel, avhengig av hvem som oppdager sårbarheten og dermed muligheten til å utnytte den. Man kan tenke seg en meget alvorlig situasjon dersom noen finner en tilsvarende sårbarhet og i tillegg gjør en grundig planlegging av hvordan den skal utnyttes før den oppdages og korrigeres. Dette kalles «Zero-Day Attack» (se også kap. 2).
6.4.3.3 Navigasjonssystemer
Samfunnets avhengighet av navigasjonssystemer som GPS, øker. Eksempler på bruksområder er innen alle deler av transportsektoren, energisektoren, telekommunikasjon, finanssektoren, fiskerisektoren, miljøsektoren, nødetatene og militærsektoren. GPS har ulike svakheter eller sårbare områder. Andre radiotjenester, for eksempel innenfor VHF-båndet, kan gi forstyrrelser som kan medføre interferens og påfølgende unøyaktighet eller manglende evne til å ta imot signaler fra satellitter. Det finnes også muligheter for å forstyrre GPS-systemet bevisst ved bruk av jammeutstyr. Jammeutstyr er kommersielt tilgjengelig. Utstyr som sender ut villedende signaler er også en sikkerhetsmessig utfordring. Galileo er et europeisk alternativ til GPS som er under utvikling nå. Navigasjonssystemene vil være interoperable. To uavhengige navigasjonssystemer kan gi betydelig redundans og minske sårbarheten.
6.4.3.4 Elektroniske informasjonssystemer
Sårbarheten knyttet til elektroniske informasjonssystemer blir stadig større, samtidig som stadig større deler av samfunnet blir mer avhengig av disse. En årsak til økt sårbarhet er at det stilles store krav til mobilitet. Begrepet mobilitet kan dekke områder som trådløs teknologi, mobiltelefoner, personal digital assistants (PDA), bærbare PCer og så videre.
6.4.3.4.1 Trådløse nettverk
Bruk av trådløst nettverk har blitt svært populært både blant hjemmebrukere og bedrifter. Gjennom media har det blitt satt søkelys på institusjoner som benytter trådløse nettverk uten noen form for kryptering. Dette gjør at nettverket ligger helt åpent for uvedkommende. De to krypteringsprotokollene WEP 21 og WPA 22 som omfattes av dagens standard for kryptering (802.11), har også mangler i forhold til sikkerhet, men vil i alle fall gi en bedre beskyttelse enn om nettet ligger åpent.
6.4.3.4.2 Mobiltelefoner
Mobiltelefoner kan manipuleres uten at eieren av telefonen er klar over dette. En slik manipulering kan føre til at det er mulig for utenforstående å benytte mobiltelefonen som et medium for avlytting av sensitiv informasjon. Mobiltelefoner får stadig ny funksjonalitet. Evne til å ta opp lyd og bilde med stadig bedre kvalitet, representerer en sikkerhetsmessig ufordring.
6.4.3.4.3 Minnepinner og PDA
PDAer og minnepinner (memory sticks) har etter hvert fått stor lagringskapasitet. Lagringskapasiteten øker stadig. Relativt store mengder informasjon kan dermed tas med ut av det kontrollerbare området til virksomhetene. Fysisk sikring i forbindelse med små, flyttbare enheter innebærer en stor utfordring. En PDA kan inneholde informasjon som gir tilgang til virksomhetens nettverk.
6.4.3.4.4 Kompleksitet og avhengighet
Informasjonssystemene består generelt av stadig flere komponenter som fører til en kompleks konfigurasjon og administrasjon. Integrering av systemer og produkter fordi det oppstår nye ønsker om hva systemet faktisk skal kunne gjøre, kan medføre økt sårbarhet. Det blir stadig vanskeligere å ha en fullstendig oversikt over blant annet sikkerhetsløsningene i systemet, og om disse er konfigurert slik at de virker hensiktsmessig. Personellet som skal operere systemene blir også stilt overfor stadig større utfordringer som krever at kompetanse vedlikeholdes og utvikles. Det er heller ikke heldig dersom enkeltpersoner blir alt for sentrale i utvikling og drift av et komplisert informasjonssystem. Virksomheter kan bli for avhengige av enkeltpersoner i sin oppgaveløsning.
6.4.3.4.5 Særlig viktige datasystemer
Datasystemer med kritiske oppgaver, som for eksempel styringssystemer i forbindelse med fjernregulering av petroleumsproduksjon, adgangskontrollsystemer, bagasjescanningssystemer på flyplasser, betalingssystemer og andre systemer av betydning for samfunnssikkerheten, leveres av private aktører. Dersom leverandørene ikke har behov for sikkerhetsgradert informasjon i forbindelse med sin leveranse, vil leverandørene normalt ikke omfattes av sikkerhetsloven. Dette innebærer igjen at det ikke finnes noen hjemmel for å etterspørre eksempelvis sikkerhetsklareringer eller dokumentasjon på implementerte sikringstiltak hos leverandøren, som kan redusere risiko for at ondsinnede aktører får mulighet til å gjennomføre anslag. En kan ikke utelukke at dette forholdet gir større mulighet for ondsinnede aktører til å plante feil i et kritisk datasystem, eller på annen måte sette et informasjonssystem ut av funksjon.
6.4.3.5 Problemet med avhengigheter på tvers av infrastrukturer
En viktig del av trusselbildet utgjøres av den til dels uforutsigbare avhengigheten på tvers av ulike infrastrukturer. Vi vet en del om disse avhengighetene (se for eksempel rapporter fra tidligere BAS-prosjekter), men nøyaktig hvordan disse avhengighetene påvirker utfallet av et større angrep eller utfall i en sektor er fortsatt vanskelig å forutsi.
En eller annen form for kaskadevirkning vil kunne bli resultatet av et angrep. Ett eksempel er resultatet av «Blaster-ormen» i august 2003, som slo ut en lang rekke datamaskiner i flere dager. Det er antatt at virkningen av dette også forplantet seg og forverret situasjonen ved det store strømutfallet 14 august i USA, ved at kapasiteten i kommunikasjonen fra styringssystemer ble sterkt redusert. Varsling og styring kom dermed ikke frem i tide til underliggende systemer.
SCADA-systemer kan vise seg å utgjøre stadig større sårbarhet for samfunnet. I store deler av kritisk infrastruktur utgjør disse systemene en helt sentral del. Det er automatiserte systemer med liten bemanning, og de er som regel avhengige av forbindelser til punkter som ligger spredt omkring og ofte på vanskelig tilgjengelige steder.
Noen eksperter mener at disse systemene er særlig sårbare, og at den vitale rollen de har gjør dem særlig interessante for nettverksterrorisme. Tidligere var disse systemene isolert fra andre systemer i tillegg til å bestå av proprietær programvare. I dag er det mer og mer vanlig at det benyttes hyllevare-programmer (COTS 23 ), og dessuten er de i stadig større grad knyttet sammen med andre nettverk, for ikke å si Internett. Enkelte mener at mange SCADA-systemer har utilstrekkelig beskyttelse mot nettverksangrep og vil forbli sårbare fordi de virksomhetene som benytter seg av systemene i for liten grad fokuserer på sikkerheten. Fordi slike systemer har så høy grad av krav til tilgjengelighet (driftes som regel på 7/24/365-basis), blir kanskje ikke korreksjoner i programvare lagt inn så raskt som de burde.
Imidlertid gis også uttrykk for at SCADA-systemene og den kritiske infrastrukturen er mer robust og motstandsdyktig enn antatt, og at normalisering av driften som regel ikke vil ta særlig lang tid. I den forbindelse vises det til at det faktisk skjer ganske mange tilfeldige hendelser og feil i disse systemene fra tid til annen; hendelser som i noen grad forårsaker virkninger som kan likne på dem fra et nettverksangrep. Som regel får disse hendelsene ikke så omfattende effekter. Dersom et nettverksangrep skal kunne få en terrorliknende effekt, vil angrepet måtte rette seg mot mange mål samtidig og over lengre tid.
6.4.3.5.1 Innsideproblematikk
Teknologien skaper store endringer i forhold til måten mennesker organiserer sin virksomhet på. Organisasjoner veves i stadig større grad sammen ved hjelp av IT-systemer. Interaksjonen mellom menneske, teknologi og organisasjon kan skape økt sårbarhet. Holdninger og atferd på individuelt plan som i sin helhet utgjør organisasjonskulturen i en virksomhet, kan føre til økt sårbarhet ved at informasjonssikkerhet ikke tas på alvor.
Computer Security Institute (CSI) og Federal Bureau of Investigation (FBI) sin store undersøkelse om datakriminalitet i USA, viser at innsidemisbruk av nettverk er den nest største sikkerhetstrusselen. Bare virusangrep er større. 24
CERT/CC 25 i USA rapporterer at mens 43% av alle som svarte i en undersøkelse viste til økende trussel mot nettverksangrep de siste årene (2004). Av disse svarte over 30% at de ikke visste om trusselen skyldtes innside eller utside! Av de som mente de hadde kunnskap om dette, ble 71% av angrepene initiert fra utsiden, mens 29% kom fra innsiden 26 .
Årsakene til innsideproblematikk kan deles inn i ni underkategorier 27 ut fra hendelsens natur og motivasjon: Ønske om økonomisk gevinst, ulykkelighet, dekke over feil, lage og løse kriser, støtte eksterne grupperinger, misbruk av informasjon, tyveri av maskinvare eller programvare, bruk av utstyr til privat sammenheng og feil som skyldes interaksjon mellom brukere og datamaskiner.
6.4.3.6 Kraftsektoren
Kraftsektoren er spesielt interessant i forbindelse med samfunnssikkerhet. Fellesnevneren for Internett og elektroniske informasjonssystemer er nettopp kraftsektoren. Uten elektrisk strøm vil verken Internett eller elektroniske informasjonssystemer kunne fungere. Selv om det i mange tilfeller er etablert redundans blant annet i form av reservestrømløsninger, er det sannsynlig at det vil kunne oppstå problemer over tid dersom strømmen er borte. Kraftsektoren har imidlertid innført en del tiltak som skal redusere risiko for ondsinnede, tilsiktede handlinger. Et eksempel på tiltak er «Forskrift om beredskap i kraftforsyningen» som trådte i kraft 1.1.2003. Det kan også bemerkes at kraftforsyningen i Norge er mindre sårbar enn i andre land, blant annet på grunn av at avhengigheten av det enkelte produksjonsanlegg er mindre. 28
6.4.3.7 Transportsektoren
Transportsektoren utpeker seg som et attraktivt mål for terrorhandlinger ved at transportmidler kan benyttes både som leveringsmiddel for eksplosiver og som våpen i seg selv. I tilknytning til transport er det ofte store folkeansamlinger, noe som i seg selv også er et attraktivt mål.
Ødeleggelsespotensialet ved for eksempel å kapre en tankbil fylt med bensin for deretter å kjøre den inn i en bygning/installasjon, er dramatisk. Kjøretøy benyttes også svært ofte som plattform for eksplosiver, eksempelvis i selvmordsangrep. Denne type angrep, som kommer svært hurtig og gjerne helt uventet, har økt terroristenes sjanser til å ramme såkalte «harde» mål, det vil for eksempel si militære mål, dramatisk. Det er særdeles vanskelig å forebygge selvmordsaksjoner av denne typen. Fysiske barrierer må ha en kraftig dimensjonering for å kunne stanse store kjøretøy effektivt. I et bymiljø vil det uansett være svært problematisk å oppnå avstand til detonasjonen, selv om en har fysiske barrierer.
Det bør være et mål for sikkerhetsarbeidet at det ikke skal være enkelt å få tilgang til store kjøretøy som transporterer farlig gods. Tilgang til farlig gods på generell basis, herunder eksplosiver, bør gjøres så vanskelig som mulig for ondsinnede aktører. 29
Folkerike områder vil alltid være attraktive mål for terrorhandlinger. Jernbanestasjoner og lufthavner kan nevnes i denne sammenheng.
Det har vært få angrep mot maritime mål i den vestlige verden, sammenlignet med angrep mot andre typer mål. Skip som transporterer eksplosiv eller giftig last kan være et mål i seg selv. Men skipet kan også utnyttes for å ramme andre mål, slik at skipet blir et våpen. Et skip i fart vil være spesielt sårbart overfor angrep for eksempel fra selvmordsaksjonister i småbåter fylt med sprengstoff. Skip som ligger i havn vil kunne beskyttes bedre mot terrorhandlinger enn skip som er i fart. International Maritime Organization (IMO) har vedtatt internasjonale sikkerhetsbestemmelser for skip og havner. Bestemmelsene trådte i kraft 1.7.2004.
6.4.3.8 Petroleumssektoren
Petroleumssektoren er viktig for den norske stat. Den daglige verdien av norsk gasseksport i 2004 var på ca. 260 millioner kroner. Petroleumssektoren er også viktig i en større sammenheng ved at Norge er en viktig leverandør av særlig gass, til blant annet Europa. Manglende sikringsnivå i Norge sammenlignet med andre land, kan gjøre det mer attraktivt for ondsinnede aktører å gjennomføre handlinger her. En bevissthet om dette hos utenlandske kjøpere av norske petroleumsprodukter, kan i verste fall føre til at andre leverandører, med et høyere sikringsnivå, blir valgt.
Produksjon og eksport av olje og gass må kunne skje uhindret av for eksempel terrorhandlinger. Rørledningssystemet i seg selv, samt installasjoner til havs, kan være et mål for sabotasje og terrorhandlinger. Men ulike forhold gjør at transportsystemet er robust.
En historisk gjennomgang 30 av terroranslag mot olje- og gassinstallasjoner viser at anlegg på land er langt mer utsatt for anslag enn de som er til havs. Viktige anlegg på land i Norge kan være attraktive mål for ondsinnede aktører. Petroleumssektoren har tradisjon for å være dyktige i forhold til «safety». Tiltak i forhold til «security», som innebærer økte kostnader uten at det synes som om en reell trussel foreligger, synes ikke å være like høyt prioritert i Norge, til tross for sektorens betydning for samfunnet i sin helhet. Sektoren faller i dag utenfor sikkerhetslovens virkeområde. 31
6.4.3.9 Menneskelige sårbarhetsfaktorer
Tekniske sikkerhetstiltak har ikke særlig verdi dersom organisasjonskulturen gir rom for å bryte regler/tekniske barrierer fordi det kan være både praktisk og tidsbesparende.
Mennesket er en barriere mot sikkerhetstruende virksomhet ved at mennesket følger de regler og rutiner som er gitt. Årvåkenhet er en stor styrke og den viktigste deteksjonsmekanismen for sikkerhetstruende virksomhet.
Samtidig har mennesket fri vilje og egne følelser, noe som innebærer spesielle utfordringer i forhold til forebyggende sikkerhetstjeneste. Press utenfra, som kan ha sin årsak i for eksempel dårlig økonomi, kan gjøre en person ustabil. Lojalitet til den virksomheten som en arbeider i, kan bli satt på prøve i en omstillingsfase. Oppsigelser kan medføre misnøye, som igjen kan gå ut over lojalitetsfølelsen. Ansatte kan, i visse tilfeller, dermed bli en sikkerhetsrisiko.
6.4.4 Hvor reell er trusselen om nettverksterrorisme?
I utgangspunktet er det viktig å skille mellom «nettverksangrep» og «nettverksterrorisme». Det første begrepet omhandler alle logiske angrep, så vel store som små, som kan rette seg mot enkeltmaskiner hos privatpersoner eller bedrifters informasjonssystemer. Nettverksterrorisme må defineres som omfattende logiske angrep som fører til store ødeleggelser og betydelige tap av liv. Selv om hackeres aktiviteter på nettet kan føre til omfattende skadevirkninger, ville det ikke være riktig å sette alle hackere i samme kategori som terrorister.
Det er vanskelig å forestille seg at nasjonal infrastruktur som vannforsyning, strømforsyning, kraftforsyning etc. kan rammes katastrofalt på grunn av terror i form av logisk angrep fra utsiden alene, uten at det også er etablert noen form for støttespillere på innsiden. På grunn av den sikkerheten som tross alt finnes i disse systemene er et fullstendig fjernstyrt terrorangrep med slike virkninger mindre sannsynlig. Ikke desto mindre skal man være oppmerksomme på de stadig sterkere koblingene som skjer mellom prosess-systemer og Internett.
Det er mulig å hacke seg inn i IT-systemer som styrer for eksempel vannforsyning. Men det er ikke uten videre enkelt å skulle overta styringen uten at dette oppdages av det ordinære driftspersonellet. Å hacke seg inn i slike nettverk for å gjøre skadeverk er fortsatt vanskeligere enn å plassere en bombe på et strategisk sted. Selv om terrorister kan ha aldri så onde hensikter, vil de fortsatt være opptatt av hvilke midler som er mest effektive ut fra en «kost/nytte-betraktning». Det er jo heller ikke slik at det finnes én logisk bryter noe sted verken i kraftforsyningen, telesystemene eller andre steder som har en «steng alt»-funksjon!
Den største trusselen fra så vel rene hackere som terrorister er et angrep som kombinerer bruk av fysiske midler og logisk inntregning. Logisk angrep som forhindrer planlagt respons og andre nødtiltak, saboterer transport eller telekommunikasjon ved hjelp av innsidere kan mangedoble effekten av et vel planlagt angrep.
Den angrepsformen som fortsatt er mest sannsynlig er den vi har sett til nå, med spredning av ondsinnet programvare via e-post og på andre måter i nettverket., identitetstyveri og phishing, DDoS angrep og endring av data via åpne og skjulte angrep. Slike kriminelle angrep kan utløses meget enkelt og av svært mange mennesker. Vi har imidlertid sett svært få (om noen) eksempler hittil på forsøk på å slå ut for eksempel strømforsyningsnettverk på denne måten.
Uansett vil slike angrep, dersom de skal komme på en terrorists agenda, høyst sannsynlig måtte betinge hjelp fra innsiden. Trusselen må følgelig også sees i sammenheng med innsidetrusselen.
Den raske utviklingen i nettverksangrep fra så vel organiserte kriminelle som andre grupper, gjør at myndigheter må ta på alvor behovet for å beskytte kritisk infrastruktur kontinuerlig på 24/7-basis. Selv uten terrorangrep med katastrofale tap er virkningene av alle de pågående angrepene i seg selv en grunn til å beskytte seg.
Kanskje er særlig små og mellomstore bedrifter (i tillegg til privatpersoner) særlig utsatt ved at de ikke har tilstrekkelig kompetanse og økonomiske midler til å skaffe seg tilfredsstillende beskyttelse. Selv om de ikke er utpekte mål for spesielle angrep, vil mange av dem før eller senere bli offer for ett av de utallige angrepene som settes ut i livet uten noen bestemt adresse.
Som nevnt vil et målrettet og effektiv logisk angrep mot et mål kreve bistand fra noen på innsiden. En enkelt ansatt vil kanskje ikke alene kunne sette opp et slikt angrep. En misfornøyd ansatt som arbeider på et særlig viktig sted kan bestikkes eller trues, eller kanskje frivillig stille seg til rådighet for noen på utsiden som har kapasitet til å planlegge et større angrep. Akkurat dette har vært demonstrert mange ganger i for eksempel svindelsaker eller når særlig alvorlige hackerangrep har vært gjennomført.
En mer inngående vurdering av trusselen fra terrorgrupper må innbefatte konkret vurdering av intensjon og kapasitet hos bestemte, identifiserte grupperinger. Dette ville forusette etterretningsinformasjon som nødvendigvis er sikkerhetsgradert. Likevel kan det gjøres noen generelle betraktninger om dette.
Terroristgrupper har i det store og hele ikke vist seg å være innovatører. (Ett viktig unntak er i så fall planleggingen, forberedelsene og gjennomføringen av terrorangrepet 11.9.2001.) I lang tid har terroren hatt som middel å forårsake mest mulig fysisk ødeleggelse og tap av menneskeliv. Konvensjonelle våpen er blitt brukt, gjerne improviserte eksplosiver og andre våpen. Et eksempel på mindre vanlig middel var bruken av sarin fra sekten Aum Shinrikyo i Tokyos undergrunnsbane i 1995. Men også her var formålet å skade størst mulig antall personer, for på den måten å skape frykt i samfunnet. I den grad kritisk infrastruktur har vært gjenstand for angrep fra terrorgrupper, har det også vært benyttet konvensjonelle midler.
Det finnes enkelte momenter som kan virke i retning av å avstå fra å benytte logisk nettverksangrep som terrormiddel:
Usikkerhet om virkningen
Et logisk angrep mot for eksempel et SCADA-system som styrer funksjoner i kritisk infrastruktur, kan ha potensial til å være ødeleggende og forårsake mye skade og kanskje også tap av menneskeliv. Dette er et hovedmotiv for en slik terroraksjon. Med mindre angriperen virkelig har detaljert kjennskap og nærmest kan forutsi virkningen, kan han risikere at virkningen uteblir eller også forblir ukjent. Dersom driftspersonell faktisk er i stand til å håndtere situasjonen som oppstår som følge av angrepet, vil formålet med angrepet jo heller ikke bli oppfylt. På den annen side ville virkningen av et konvensjonelt angrep vise seg øyeblikkelig, og krever dessuten i mye mindre grad deltaljkunnskaper om systemet.
Gjenoppretting etter logisk angrep enklere
Et logisk angrep mot et SCADA-system forutsetter at angriperen er i stand til å manipulere systemet mer eller mindre på dets premisser. Dersom angrepet oppdages raskt, vil det som regel være mulig å korrigere skaden samt forebygge ytterligere ødeleggelse. Slik gjenoppretting vil gå raskere enn etter et konvensjonelt angrep, gjennom reinstallering av operativsystem og nødvendige applikasjoner, innhenting av sikkerhetskopier etc. Til sammenlikning vil gjenoppretting etter konvensjonelt angrep kunne medføre atskillig mer omfattende arbeid. Fra en terrorists synspunkt vil muligheten for rask gjenoppretting bety et langt mindre effektivt angrep.
Mulighet for benekting av hendelsen
I alminnelighet vil dette kunne være aktuelt for en utøver av et ordinært logisk angrep, nemlig å skjule kilden for angrepet og eventuelt hvem som har utført det. Men benekting kan også tenkes fra «offerets» side. Dersom viktige samfunnskritiske mål er angrepet, men rask respons har gjort det mulig å avgrense skaden, vil det kanskje være mulig å skjule hva som faktisk har skjedd. Selv om angrepet ble vellykket i større eller mindre grad, vil det fortsatt være vanskelig å påvise hvem som utførte det og hvordan det faktisk skjedde. Resultatene etter et konvensjonelt angrep vil være langt vanskeligere å benekte, for ikke å si umulig. Dersom det viser seg å være vanskelig å påvise at resultatet etter et logisk angrep faktisk skyldtes et terrorangrep, vil effekten av det som sådant bli redusert.
6.4.4.1 Trusler om logiske angrep med andre motiver
Helt siden «world wide web» så dagens lys tidlig på 90-tallet har politisk motiverte logiske angrep forekommet, også kalt «hacktivism». Til å begynne med var dette ikke en veldig utbredt aksjonsform, men i de senere år har vi sett stadig flere eksempler. Politisk motiverte nettverksangrep ble iverksatt under Balkan-konflikten, under globaliseringskonferansen og i forbindelse med politisk massemobilisering i Nederland i mai 2004.
Slike politiske nettverksangrep involverer vanligvis «defacing» 32 (med politisk budskap) eller en eller annen form for tjenestenektangrep (DoS) fra grupper av hackere eller enkeltpersoner. Denne typen nettverksaksjoner vil sjelden kunne føre til katastrofal skade eller true liv og helse.
Enhver virksomhet eller organisasjon som er knyttet til Internett står overfor en trussel om et nettverksangrep. Hyppigheten av søk med ondsinnede motiver på nettet, økningen av stadig mer informasjon om sårbarheter i maskiner og på nett og stadig flere rapporter om alvorlige nettverksangrep illustrerer at muligheten for et angrep er svært høy og antallet mulige angripere likeså.
Motivene for slike angrep varierer fra rene økonomiske, ønske om å utnytte andres ressurser, skaffe seg konkurransefortrinn til ønske om ren ødeleggelse. Dessuten er dette som oftest «blind vold» ved at de som utfører angrepene er mindre interessert i hvem de rammer enn det å utføre et angrep i seg selv.
Trusselen om et nettverksangrep må altså sies å være høy. Dette vil hovedsakelig ikke dreie seg om en terrortrussel, økt internasjonal spenning eller konflikter stater imellom.
Misbruk av uttrykket «nettverksterrorisme» og å løfte dette opp som den største trussel i dag vil imidlertid kunne avlede oppmerksomhet mot andre former for nettverksangrep som har kapasitet i seg til å gjøre stor skade på virksomheter, og også på kritisk infrastruktur. Slike angrep forekommer ofte og vil fortsette å gjøre det. Fokuset bør derfor være på trusselen om alvorlige og skadelige nettverksangrep uavhengig av hvem som utfører dem og hva motivene kan være. Gjennom å ta disse truslene på alvor vil man ha et godt utgangspunkt for å beskytte seg mot alle former for nettverksangrep.
6.5 Kort om organisatoriske og juridiske sikkerhetsmessige utfordringer
De senere år har flere statlige virksomheter blitt skilt ut som egne selskaper. Endringer i eierskapsforhold innen kritisk infrastruktur gir sikkerhetsmessige utfordringer. Sikkerhetsloven vil stort sett ikke være gjeldende for samfunnsviktige institusjoner etter at denne type endringer har funnet sted.
En årsak til dette er at virksomhetene helt og fullt privatiseres og dermed faller utenfor sikkerhetslovens virkeområde.
En annen årsak er at virksomhetene organiseres på en annen måte enn tidligere, for eksempel som statlige aksjeselskap hvor staten eier størstedelen av selskapet. Sikkerhetsloven gjelder ikke for aksjeselskap.
Det er derfor av sikkerhetsmessig betydning at sektordepartementene fortløpende vurderer om et selskap eller en institusjon bør omfattes av sikkerhetsloven, og eventuelt fremmer forslag om dette til Forsvarsdepartementet, slik sikkerhetsloven gir adgang til. 33
Det er naturlig nok ikke slik at en virksomhet automatisk vil få redusert risiko for å bli rammet av spionasje, sabotasje og terrorhandlinger, dersom virksomheten blir omfattet av sikkerhetsloven. Mange samfunnsviktige aktører har også flere tiltak på plass allerede i dagens situasjon, selv om de ikke omfattes av sikkerhetsloven. 34
Sikkerhetsloven beskriver likevel et rammeverk av tiltak som, dersom reglene implementeres, vil gi en helhetlig grunnsikring. Et viktig fortrinn med sikringsregimet som beskrives av sikkerhetsloven, er de klare krav som settes blant annet til verdivurdering av informasjon, sikkerhetsgradering og håndtering av denne. Innledningsvis ble det poengtert at tilgang til sårbarhetsinformasjon, eksempelvis beredskapsplaner og planer for fysisk sikring av en samfunnsviktig institusjon, faktisk kan være med på å utløse anslag . En måte å redusere risiko for anslag på, er derfor å beskytte virksomhetens sårbarhetsinformasjon. Sikkerhetsloven angir også at selve objektet skal skjermes gjennom ulike tiltak, for eksempel fysiske sikringstiltak. Nærmere regler om dette forventes å komme.
6.6 Hva vet vi om sikkerhetsnivået i virksomheter i dag? 35
Det er, på generelt grunnlag, vanskelig for virksomheter å vurdere om informasjon skal gis beskyttelse i form av en sikkerhetsgradering. Endringer i risikobildet ser ikke ut til å bli oppfanget i form av endringer i virksomheters praksis i forhold til sikkerhetsgraderinger. Dette innebærer at informasjon som burde ha blitt beskyttet ikke blir beskyttet, eller at virksomheter bruker unødige ressurser på å beskytte informasjon som ikke er spesielt verdifull.
Det ser ikke ut som om virksomheter evaluerer egne sikkerhetstiltak i særlig grad. Dette innebærer at virksomheter egentlig ikke vet om sikkerhetstiltakene gir den sikkerhet de er ment å skulle gi. Flere virksomheter gjennomfører ikke en autorisasjonsprosess. Autorisasjon er et sikkerhetstiltak som skal sikre at den sikkerhetsklarerte har tilstrekkelig kunnskap om håndtering av skjermingsverdig informasjon. Politiets sikkerhetstjeneste har i april 2005 uttalt at spionasjevirksomheten mot Norge og norske forhold har økt de siste årene. Det er derfor bekymringsfullt at autorisasjonsprosessen ikke ser ut til å bli prioritert som et viktig, forebyggende sikkerhetstiltak rettet særlig mot å redusere risiko for spionasje.
Organiseringen av sikkerhet ser ut til å bli nedprioritert når virksomheter er i en omstillingsfase. Dette er spesielt uheldig fordi virksomheter ofte er mest sårbare nettopp i en omstillingsfase, hvor det skjer endringer både innenfor personell og materiell.
Fotnoter
Uønsket, elektronisk post som sendes ut i store mengder.
Forsøk fra tredjepart på å lure et individ, en gruppe, eller en organisasjon til å gi fra seg sensitiv informasjon. Motivet bak phishing er i de fleste tilfeller økonomisk. Begrepet er phishing er ikke nytt. Det ble første gang nevnt på Internett i nyhetsgruppen alt.2600 i januar 1996 og ble da brukt for å omtale handlinger utført av enkelte angripere som stjal America Online (AOL) brukerkonti. En typisk angrepsmetode benyttet i forbindelse med phishing, er bruk av forfalskede e-post meldinger hvor avsenderen utgir seg for å være en pålitelig kilde, eksempelvis en bank eller et kredittkortselskap. E-posten inneholder gjerne en link til et nettsted, hvor brukeren registrerer sine sensitive data. Nettstedet kan i utgangspunktet se helt legitimt ut, men alt er i realiteten en forfalskning designet for å få tak i sensitiv informasjon.
Konfidensialitet kan ivaretas ved eksempelvis bruk av Virtual Private Network (VPN), som gir kryptert forbindelse på Internett. Problemet kan imidlertid bli manglende tilgjengelighet. Dersom en Internet Service Provider (ISP) får problemer med sin leveranse av Internett, kan det ta tid å få rettet opp feilen. Dette kan, i de tilfeller hvor kritiske systemer er koblet opp mot Internett, få alvorlige konsekvenser.
En sårbarhet som blir utnyttet, eksempelvis av hackergrupperinger, før den blir rapportert inn til sikkerhetsmiljøet.
Fremstilling og spredning av biologiske våpen synes for eksempel å være såpass komplisert at terrorgrupperinger så langt ikke har lyktes med dette i særlig grad, selv om intensjonene synes å være til stede.
Et kjent eksempel kan være Filippinenes tilbaketrekning av sine styrker i Irak etter en kidnapping av filippinske statsborgere, som ikke hadde noe med styrkene å gjøre.
Sikkerhetsloven § 3 nr. 3: «Spionasje; innsamling av informasjon ved hjelp av fordekte midler i etterretningsmessig hensikt.»
Politiets sikkerhetstjeneste peker på at flere stater utfører etterretningsvirksomhet med fordekte midler i og mot Norge. (PSTs ugraderte trusselvurdering 2005).
Politiets sikkerhetstjeneste forventer at utenlandske etterretningstjenester også i 2005 vil forsøke å verve nordmenn med tilgang til sensitiv og skjermingsverdig informasjon. (PSTs ugraderte trusselvurdering 2005).
Aftenposten, 21.8.04.
Sikkerhetsloven § 3 nr. 5: «Terrorhandlinger; ulovlig bruk av, eller trussel om bruk av, makt eller vold mot personer eller eiendom, i et forsøk på å legge press på landets myndigheter eller befolkning eller samfunnet for øvrig for å oppnå politiske, religiøse eller ideologiske mål.»
Blant annet basert på et notat fra FFI: «Transnasjonale terrororganisasjoners bruk av medier og massekommunikasjon: Case al-Qaida», notat på oppdrag fra Nasjonal sikkerhetsmyndighet (NSM) september 2004.
Tsjetsjenske kvinner, de såkalte «sorte enkene», har gjennomført flere aksjoner mot russiske interesser. Årsakene til disse kvinnenes handlinger er sammensatt, men det ser ikke ut til at al-Qaida foreløpig har hatt spesiell innflytelse på handlingsmønsteret. Andre forhold, som kvinnenes tap av ektemenn/slektninger i russiske krigshandlinger i Tsjetsjenia, kan være en motivasjonsfaktor. Radikale islamister skal også ha forsøkt å rekruttere særlig kvinner i Tsjetsjenia for å gjennomføre terrorhandlinger, idet islamistene mener at kvinner kanskje ikke avsløres så lett.
Stephen Cummings, direktør for National Infrastructure Security Coordination Centre.
Dan Verton i Computerworld 20 november 2002.
Teknisk og menneskelig svikt samt naturskade kan også lede til sikkerhetsbrudd og kompromitteringer. Dette viser blant annet at sammenhengen mellom tilsiktede og utilsiktede hendelser kan være sterk i forhold til forebyggende sikkerhetstjeneste, fordi konsekvenser av hendelsene kan være de samme.
FFI/rapport-2004/01666: «CYBERSPACE SOM SLAGMARK: Refleksjoner omkring Internett som arena for terrorangrep» av Iver Johansen.
Symantec Internet Security Report, Feb. 2003, p.48
SCADA: Supervisory Control and Data Acquisition System
SNMP: Simple Network Management Protocol
Wired Equivalent Privacy.
Wi-Fi Protected Access.
COTS: Commercial-Off-The-Shelf
Power, Richard (2002): Computer Crime and Security Survey, Computer Security Institute & Federal Bureau of Investigation.
CERT/CC: Computer Emergency Response Team Coordination Center
«E-crime Watch Survey Shows Significant Increase in Electronic Crimes», CSOonline.com, 25.mai 2004
Albrechtsen, E. (2002): A review of the insider threat to organisations’ information security level. Department of Industrial Economics and Technology Management, NTNU, Trondheim.
Stortingsmelding nr. 39 2003-2004 «Samfunnssikkerhet og sivilt-militært samarbeid», s. 9.
Direktoratet for samfunnssikkerhet og beredskap har varslet at det vil bli innført strengere krav til sikring av eksplosivlagre mot innbrudd (www.dsb.no 3.3.05).
FFI/rapport-2004/01682.
Det kan nevnes at petroleumstilsynet ble etablert 1.1.2004 og har som prioritert oppgave satt i gang en oppfølging av sikkerhet og beredskap ved landanleggene.
Uønsket endring av web-side
Departementene ble bedt om å foreta en slik vurdering i skriv fra Forsvarsdepartementet, datert 10.9.2003 (2003/00851-25-/FD I 4 jur/JHO/353. Senere er virkeområdet utvidet til å omfatte bl.a. Telenor ASA og Avinor AS. Enkelte andre virksomheter vurderes nærmere.
Konkurransemessige hensyn kan være årsaken til at sikringstiltak er på plass. Muligheten for tap av fortjeneste og omdømme dersom virksomheten for eksempel rammes av kriminalitet, kan være med på å begrunne implementering av sikringstiltak.
Nasjonal sikkerhetsmyndighet innhenter informasjon om sikkerhetstilstanden gjennom tilsyn, resultater fra spørreundersøkelser, innrapporterte hendelser, innhenting av informasjon fra samarbeidende tjenester og ulike fagmiljøer, samt medieovervåkning.