Det russiske angrepet i februar i fjor ble også starten på krigføring via nettet, men disse cyberangrepene startet lenge før stridsvognene og flyene passerte grensen til Ukraina. Russland har helt siden okkupasjonen av Krim-halvøya i 2014 brukt Ukraina som treningsfelt for cyberoperasjoner, og da krigen startet, kom det også angrep via nettet mot mange mål i Ukraina.
Angrepet som fikk mest oppmerksomhet internasjonalt var forstyrrelsene av satellittkommunikasjonen med Viasat-nettverket. Her ble det brukt såkalt wiper-skadevare, det vil si datavirus som rett og slett kan ødelegge alt det kommer over på det tekniske utstyret.
– Cyberoperasjonene startet bare noen timer før den militære invasjonen 24. februar, forteller Gullik Gundersen. Han er nestleder for Nasjonalt cybersikkerhetssenter. Dette er igjen en del av NSM – eller Nasjonal Sikkerhetsmyndighet.
Dette angrepet rammet imidlertid ikke bare Ukraina. Det forstyrret satellittkommunikasjonen i landet som ble angrepet, men det skapte også problemer i flere andre europeiske land.
– Tusenvis av internettbrukere over hele Europa mistet nettilgangen, noen i opptil to uker, sier Gundersen. Han forteller at meteorologene på Hopen og Bjørnøya mistet internett, telefon, radio og TV, og nesten 6.000 tyske vindturbiner ble også påvirket. – Dette angrepet har så langt hatt størst synlige konsekvenser i og med at det traff langt utenfor Ukrainas grenser.
NSM har fulgt aktivitetene og angrepene nøye siden 2014. Dette året ble det avholdt presidentvalg i Ukraina, og russiske hackere klarte å skape store problemer og forsinkelser for valgkommisjonen. De neste årene kom det flere angrep mot strømforsyningen i Ukraina, og i 2017 kom så NotPetya-angrepet mot både private og offentlige virksomheter – den gangen beskrevet som det mest ødeleggende cyberangrepet noensinne.
Ifølge amerikansk etterretning var det den militære russiske etterretningen GRU som sto bak angrepet. – Skadevaren krypterte og ødela på den måten harddisker, og den spredte seg globalt, forteller Gundersen.
Dette forsøket ble avverget, men det hadde potensial til å forårsake en katastrofe i vannforsyningene i alle disse landene.Gullik Gundersen, NSM
NSMs tall forteller om globale økonomiske tap som en konsekvens av dette angrepet estimert til over 10 milliarder dollar. 49.000 systemer i 65 land ble rammet.
Året etter kunne et nytt cyberangrep har forårsaket enda større skader – men da rettet mot en klorstasjon knyttet til vannforsyningen i både Ukraina, Moldova og Belarus. – Dette forsøket ble avverget, men det hadde potensial til å forårsake en katastrofe i vannforsyningene i alle disse landene, sier Gundersen.
Godt digitalt forsvar
Cyberangrepene knyttet til invasjonen startet altså mer enn en måned før russiske stridsvogner og kampfly krysset grensen. I midten av januar skjedde det et massivt russisk cyberangrep mot mer enn 20 offentlige mål i et forsøk på å begrense Ukrainas evne til å møte det militære angrepet.
Cyberangrepet klarte ikke å ødelegge den digitale infrastrukturen, men det var likevel et tegn på at også nettet ville komme til å spille en rolle i krigen.
Etter invasjonen i februar har det vært en jevn strøm av nye russiske cyberoperasjoner, men disse har ikke bidratt til krigslykken i den grad det var fryktet. Ingen av de påfølgende angrepene har hatt noen stor militær betydning, og cyberaktiviteten ble også redusert etter noen ukers krigføring.
Mange av angrepene er blitt rettet mot ukrainsk infrastruktur, og på samme måte som den tradisjonelle krigføringen har cyberangrepene forsøkt å ramme strømtilførselen. Men det ukrainske forsvaret har også klart seg godt på nettet, ikke minst takket være hjelp fra både land og private selskaper.
Den amerikanske tenketanken Carnegie Endowment er en av mange institusjoner som har gjort sin vurdering av hvorfor cyberangrepene ikke har hatt den ventede effekten.
Tenketanken peker i første rekke på at cyberangrep må foregå i et tempo som Russland bare var i stand til de første ukene. Samtidig har forsvarsverkene som Ukraina har satt opp sammen med sine støttespillere fungert.
Russland har heller ikke utnyttet sivile cyberkriminelle i den grad man kunne frykte.
Destruktive cyberoperasjoner er tidkrevende og ganske kostbare.Gullik Gundersen, NSM
Men Carnegie peker også på hvordan Russland tidligere har gjennomført større angrep, og at disse kom litt ut av kontroll. Cyberoperasjoner har en tendens til å gå utover landegrenser, de rammer land som opprinnelig ikke var et mål for operasjonen, og Russland kan derfor ha holdt igjen på cyberaktivitetene av frykt for negative konsekvenser fordi de kan ramme land utenfor krigssonen – land som støtter Ukraina.
Krigen har også ført til at Russland har mistet tilgangen på vestlig teknologi, noe som bare delvis er blitt erstattet av kinesisk. På toppen av dette har mange av landets teknologer og IT-eksperter flyktet fra landet.
– I en konflikt velger man de virkemidlene som har størst effekt. Destruktive cyberoperasjoner er tidkrevende og ganske kostbare, istemmer Gundersen. – Skadevare har en begrenset levetid, og veldig mange får effekt bare én gang.
NSM-spesialisten er også enig i at Ukraina har fått satt opp gode forsvarsverker. – Det vil jeg tro. Ukraina har jobbet veldig målrettet mot dette i lang tid for å styrke motstandskraften. De visste at de kom til å bli angrepet enda en gang.
– Men, påpeker Gundersen, – disse angrepene har vært under grensen for konflikt. Og det er kanskje der cyberkrigføringen har størst effekt. I denne gråsonen under radaren, der du har en rekke virkemidler for å holdes under grensen for væpnet konflikt. Men som likevel er egnet til å destabilisere et land.
Vil påvirke støttespillerne
Cyberkrigføring og -aktiviteter begrenser seg imidlertid ikke til militære mål. Innhenting av informasjon kan være en like stor trussel som regulære cyberangrep. Her kan også hackere som støtter det russiske angrepet spille en rolle i å hente informasjon som Kreml-regimet kan utnytte.
Det mest nærliggende er informasjon om hvor de ukrainske styrkene befinner seg, men det kan i ytterste konsekvens også avsløre hvor president Zelenskyj befinner seg.
En annen effekt av cyberangrep eller cyberaktiviteter kan være påvirkning av befolkningen – både innenfor og utenfor Ukraina. Her er det bare å minnes hvordan Russland skal ha brukt nettet til å påvirke presidentvalg i USA. – Cyberoperasjoner kan kartlegge eller ødelegge infrastruktur, men den kan også brukes til å påvirke opinionen, sier Gundersen.
– Motstandsviljen i Ukraina er høy, men det er vanskelig å fortsette kampen uten forsyninger fra Vesten. Derfor er det en absolutt bekymring for hvordan Russland kan bruke cyber som virkemiddel for å redusere hvordan befolkningen i andre land støtter de vestlige bidragene til Ukraina. Vi kjenner ikke konflikten på kroppen på samme måte som befolkningen i Ukraina gjør.
Sikkerhetsselskapet Mandiant er datterselskap av Google, og har kommet med flere analyser av den globale sikkerhetssituasjonen. Her er også en av konklusjonene at Moskva har utnyttet alt fra åpne statsstøttede medier til skjulte plattformer og kontoer for å forme den offentlige oppfatningen av krigen.
Disse operasjonene har nettopp som mål å bryte den internasjonale støtten til Ukraina og å undergrave den innenlandske støtten til Ukrainas regjering. Men den har også som mål å opprettholde den innenlandske støtten i Russland for krigen.
Mindre skremselseffekt
Den operative driften av NSM har også blitt påvirket av krigen – ikke minst i form av et økende antall henvendelser.
– Det vi har merket etter invasjonen, er at behovet for informasjon og beslutningsstøtte, både i forvaltningen og i det private næringslivet, er blitt ekstremt mye høyere enn tidligere. Den sikkerhetspoliske situasjonen har satt sikkerhet på dagsorden på en helt ny måte, sier Gundersen. – Vi merker at terskelen for å ta kontakt med oss er vesentlig lavere.
Men han konstaterer også at den effekten som krigen hadde i starten også har avtatt. – I begynnelsen av krigen ble tjenestenektangrep mot Norge slått opp med krigstyper. Da var Norge under angrep.
– Nå får tilsvarende hendelser knapt en notis. Den umiddelbare skremselseffekten er blitt mindre, mener Gundersen.
NSM flagger at trusselbildet er mer alvorlig enn noensinne, og dette er også erfaringen til selskaper som sitter nærmest data- og sikkerhetsressursene i det norske næringslivet. – Så langt i 2023 har vi allerede rykket ut og hjulpet norske virksomheter i flere hendelser enn i hele 2022, sier Thomas Tømmernes, leder for IT-sikkerhetsarbeidet i børsnoterte Atea. – Men i hvor stor eller liten grad dette kan relateres til krigen, det vet vi ikke.
Det hevdes at både krig og terrorisme finansieres med svindelpenger.Thomas Tømmernes, Atea
Det som likevel er påfallende, er hva slags type angrep de aktuelle selskapene er blitt utsatt for. – Veldig mye er det du kaller løsepengevirus, ransomware, eller digital utpressing.
Tømmernes mener økningen kan ha en mulig link til krigen.
Ringe hackernes supportavdeling
– Det hevdes at både krig og terrorisme finansieres med svindelpenger. Tidligere var dette penger fra narkotikahandel, men nå er det lettere å skaffe penger via nettet. Penger som hentes inn via IT-kriminalitet skal nå være verdens tredje største økonomi.
– Penger anskaffet via løsepengevirus kan være med på å finansiere krigen for Russland?
– Det er ikke mulig å linke disse sakene til noen konkrete land eller organisasjoner som finansierer krigen, så det vet vi ikke. Men både norske myndigheter og utenlandske eksperter peker stadig oftere i retning av et par stormakter når de legger frem sine trussel- og risikovurderinger. Det gjør til og med NSM.
For Tømmernes har det tidligere ikke vært vanlig å navngi den eller de mistenkte bak IT-angrep og andre cybertrusler, men nå er ikke lenger myndighetene redde for å tråkke noen på tærne. Russland og Kina er landene som løftes frem.
– Er beskyttelsen mot løsepengevirus blitt dårligere?
– Veldig mange av angrepene skjer ved hjelp av proffe hackere, og i tillegg er cyberkriminalitet nå blitt så kommersialisert at man kan bestille det som en tjeneste.
Men det stopper ikke der.
– Det er kommet så langt og blitt så profesjonelt at du kan ringe supportavdelingen hvis du ikke lykkes med angrepet.
– Supportavdelingen?
– Ja, supportavdelingen der du har kjøpt angrepet. Nå kan man kjøpe et angrep med for eksempel løsepengevirus som en tjeneste. Du betaler hvis du lykkes, og det er gjerne en cut av utbyttet.
– No cure, no pay?
– Nettopp. I dette markedet er det nå like mange businessmodeller som det du fi
nner i det private næringslivet, sier Tømmernes. – Og det er blitt en kjempebusiness.
– Hvor mange betaler løsepenger?
– Det er et fåtall som betaler.
– Men da snakker du om de selskapene som kommer til dere?
– Ja, det stemmer. De som kommer til oss har en viss kompetanse, de vet at det finnes hackerjegere, de vet at det finnes profesjonelle folk som kan dette her.
Dette er også et så stort antall at det lønner seg å drive med ransomware.Thomas Tømmernes, Atea
Tømmernes mistenker at de selskapene man aldri får høre om, de som ikke melder seg, det er de som betaler.
– Dette er også et så stort antall at det lønner seg å drive med ransomware.
– Hva slags virksomheter er de mest utsatte?
– Det er alle. Det handler ikke om hvem du er. En biltyv stjeler ikke bilen din fordi du har en Porsche, de stjeler den fordi den ikke er låst. Du kan egentlig sammenligne en hacker med en biltyv. De går nedover gaten og kjenner på alle dørhåndtak, til de finner en som er åpen. De hacker de som ikke har sikret seg godt nok.
– Er vi sikre nok?
Løsepengevirus kan være en viktig brikke i den russiske finansieringen av krigen, men mange av de angrepene som lettest kan linkes til Russland for Norge sin del er blitt utført av hackergruppen Killnet. – De har utført såkalte tjenestenektangrep, det vil si å overbelaste webservere med trafikk slik at de kneler. Dette gjorde de mot flere kjente websider som de allerede hadde utforsket og funnet sårbare for denne type angrep, sier Tømmernes.
– Her gjorde de ingen skade utover det at noen tjenester ikke var tilgjengelige, men angrepene fikk mye oppmerksomhet som “krigshandlinger”, der russiskvennlige hackere lyktes med angrep på norske tjenester. Målet var å skremme, og det fikk de til gjennom all medieoppmerksomheten.
Sikkerhetssituasjonen i flere andre sektorer er imidlertid langt mer utsatt, og i kjølvannet av Russlands angrep på strømforsyning og annen infrastruktur i Ukraina peker Tømmernes blant annet på rapporten fra nesten to år siden der Riksrevisjonen mente at NVE ikke har sikret den norske kraftforsyningen godt nok mot dataangrep.
– Her kan et angrep få kjempekonsekvenser. Man snakker gjerne om to typer angrep på slike industrielle nettverk. Det ene er at man rammer serverparken, det andre at man hacker seg inn og kan begynne å lukke igjen kraner eller skifte vekslingsspor. I verste fall kan man da lamme økonomien, mener Tømmernes.
Og det er ikke bare NSM som merker effekten av krigen. – Vi får nesten daglig spørsmålet: Er vi sikre nok? Det er vanskelig å gi et svar, men min anbefaling til alle som går rundt med en litt dårlig følelse i magen er å ta det som kalles en modenhetsanalyse.
– Da får man et selskap til å gå igjennom hele virksomheten, både teknologisk og organisatorisk, og det ender opp med en tiltaksliste på hvor man er sårbar. Hvor man bør bruke penger for å sikre seg.
– For det vil komme flere angrep?
– Det kommer hele tiden. Den bølgen alle eksperter spådde har vi riktignok ikke sett noe til, men det sitter proffe hackere og jobber med å komme seg inn. Det er ren utopi å tro at de ikke vil prøve seg.
