I fjor gjennomførte de blant annet flere e-postangrep mot offentlige virksomheter, skriver Aftenposten.no. Ett av tilfellene er beskrevet i NSMs årlige risikorapport, «Risiko 2018».

En rekke e-poster, utformet for å fange de ansattes oppmerksomhet og nysgjerrighet, ble sendt ut. Resultatet ble sliK:

  • 9 av 10 trykket på den tilsynelatende legitime lenken

  • 5 av 10 aktiverte den simulerte skadevaren

  • 3 av 10 oppga sine påloggingsdetaljer til virksomhetens system

Kan ta full kontroll

NSM-direktør Kjetil Nilsen er ikke overrasket over resultatet:

– Dette er stort sett det vi ser i alle testene vi gjennomfører. Dette er bekymringsfullt. For det er et budskap som ikke har gått inn, sier Nilsen til Aftenposten.

NSM-direktør Kjetil Nilsen er ikke overrasket over at norske virksomheter er for dårlige på sikkerhet. Foto: BERIT ROALD/NTB SCANPIX

Norges ekspertorgan for IKT-sikkerhet gjennomfører flere inntrengingstester årlig. De avslører ofte at ansatte oppgir opplysninger de ikke skal dele.

– Hvis det hadde vært en annen aktør enn NSM som «angrep» denne offentlige virksomheten, hvor alvorlig hadde dette vært?

– Vi ender opp med at vi kan ta kontroll over datasystemet vi tester. I klartekst: Ved å komme oss inn på denne måten kan vi endre innhold, ødelegge funksjonalitet, slette innhold eller slå av systemet.

Nilsen sier at andre inntrengere kunne gjort det samme.

– Er dette et skrekkeksempel, eller er det som ventet?

– Det er mer eller mindre det vi venter i de fleste virksomheter. Det er viktig at virksomhetene bygger en robusthet som gjør at du ikke kommer inn over alt hvis du kommer inn ett sted. Det er noe vi dessverre ser at alle ikke klarer.

Gjemte seg på toalettet

NSM-direktører beskriver sikkerhetssituasjonen som «utfordrende».

– Vi står ovenfor en stadig økende risiko. Vi fokuserer ofte på den største trusselen, statlige aktører. Men aktørene er mange.

De ser ofte at verktøyene som blir tatt i bruk, blir stadig mer avanserte, men mer tilgjengelige.

– Men det enkle virker ofte. De gamle metodene blir fortsatt tatt i bruk.

NSM klarte å få fysisk tilgang til lokalene til en offentlig virksomhet ved «diskret» å ta seg inn en dør som sto åpen etter en person hadde gått inn.

«Testpersonellet gjemte seg på virksomhetens toalett inntil alle virksomhetenes ansatte hadde gått hjem for dagen og sto dermed fritt til å koble fordekte digitale enheter til virksomhetens nettverk», skriver NSM i rapporten.

For dårlig på grunnleggende sikkerhet

Det ble registrert rundt 22 000 uønskede hendelser mot informasjonssystemer i fjor, skriver NSM. Rundt 2500 av disse ble fulgt opp av NSM NorCERT (Nasjonalt Cybersikkerhetssenter). Av dem igjen er det de alvorlige som NSM bruker «brorparten» av ressursene deres på.

– Vi har valgt å ikke skrive et nøyaktig antall. En sak kan være alvorlig, men ramme bare én, mens andre rammer mange. Det vi ser, er stadig flere alvorlige avanserte angrep.

NSM-direktøren er bekymret over at norske virksomheter fremstår som lite motstandsdyktige.

– Vi er for dårlige til å rette ressursene ditt de trengs. Det er ofte ikke gjort nødvendige risikovurderinger eller elementære vurderinger. Når det grunnleggende ikke blir gjort, blir det som å gå rundt med plaster og plastre der såret måtte oppstå, sier han.