Hybrid krigføring

2016-05-08

På Sikkerhetsdagen i Alta hadde vi PST (Politiets Sikkerhetstjeneste) som key note. Dette er et av de mest spennende foredragene jeg har hørt på lenge. 007 og James Bond i Dronningens tjeneste er gone.

Thomas Tømmernes
Thomas Tømmernes IT-sikkerhetsekspert

Tilbake sitter Kåre Korpulent, en lettere «stappmett» datanerd med colabunn-briller, en haug sjokolade og Redbull på et rotete skrivebord foran flere skjermer. Kåre er James Bond i 2016.

PST med flere frykter hybrid krigføring mot Norge, og med mulighetene, naiviteten og folks vilje til å dele ALT så er vi sikkert der for lenge siden.  Engod artikkel om dette kan du lese her (Russland opererer med både irregulære og regulære styrker i Øst-Ukraina).

Hva er buzz-ordet «hybrid krigføring»?

Norsk Utenrikspolitisk Institutt oppsummerer det slik:

  • «Konvensjonell krigføring» er det når to staters regulære styrker anvender tradisjonelle militære våpen og taktikk mot hverandre. Hybrid krigføring kan sies å ligge i spenningsfeltet mellom konvensjonell og ukonvensjonell krigføring.

Kilde: nupi.no

Skremmende og fjernt fra Ola Normann. Eller er det egentlig det?

Ulike type angrep

Det er flere metoder som blir brukt (jeg fokuserer på det som er IT-relatert da dette er vår bransje)

Økonomiske og finansielle metoder
Bruk av økonomiske og finansielle virkemidler kan tvinge en annen aktør til å endre sin politikk eller posisjon i en konflikt. Dette kan gjøres ved hjelp av tradisjonelle økonomiske virkemidler (boikott, sanksjoner, blokader, embargoer) eller gjennom økonomiske insentiver (investeringer, bistand, korrupsjon) eller ved bruk av finansielle virkemidler for å skade en annens økonomi.

Angrep på norsk infrastruktur
Om hackerne går etter kraft-bransjen (vi har flere å velge mellom) er oljesektoren et yndet mål for blant annet botnet-angrep fra diverse aktivister. Dette er selvfølgelig forferdelig irriterende, og det skader effektiviteten, og gjennom dette igjen skader økonomien.

Kidnapping
Mange opplever også å bli utsatt for «kidnapping» gjennom målrettede angrep mot virksomheten der hackerne ikke stjeler, men ødelegger tilgangen til virksomhetens egne data.
Datamaskinen og programvaren fungerer fortsatt, men dine personlige filer (for eksempel dokumenter, regneark og bilder) er kryptert. De kriminelle beholder den eneste kopien av dekrypteringsnøkkelen på sine servere slik atdu kan ikke låse opp filene dine uten deres hjelp. De gir deg en meget kort tidsfrist (eksempelvis 72 timer) til å betale de for nøkkelen. Dekrypteringsnøkkelen er unik for hver datamaskin, du kan derfor ikke ta andres nøkkel til å låse opp filene dine. Avgiften de krever er $300 eller EUR300, betalt med MoneyPak; eller BTC2 (2 Bitcoins er for tiden ca $280).

Hva om vi snur oss mot vannkraft (eller andre styringssystemer)?
Dersom kriminelle gjør målrettede angrep mot styringssystemene til et vannkraftverk, kalt Supervisory Control And Data Acquisition (SCADA), og begynner åpne dammer i tide og u-tide, da vil vi selvfølgelig få oversvømmelser, ødelagte hus, jorder og kanskje til og med menneskeliv vil gå tapt.

raging river long exposure with bluish tinge color

SCADA er et begrep for styring og overvåking av automasjons- og kontrollsystemer. SCADA er kanskje best kjent i industriell sammenheng, men det er verdt å merke seg at denne teknologien også benyttes til overvåking og kontroll av mye av infrastrukturen vår, som trafikksignaler, strømforsyning, gasslinjer, vannverk, lufttransport, verft, oppdrettsanlegg, roboter, innen helse og diverse velferdsteknologi for å nevne noen områder.

Stadig flere prosesser blir automatisert overalt i samfunnet. Med denne automatiseringen åpner det seg også store muligheter for å angripe systemene.

Det vil si at alle styringssystemer egentlig kan bli angrepet.

Hva er neste effekt?
Økonomien i Norge vakler, strøm blir veldig dyrt, og vi må kanskje kjøpe inn «billig» kullkraft fra land som produserer dette. Hva med ringvirkningene? Forurensning? Global oppvarming? Havene stiger, byer oversvømmes.

Over en tredel av verdens befolkning bor innenfor en stripe på 100 km fra kysten. Når havet gjennom de kommende årene stiger, antar klima­endringseksperter at mange av verdens største byer vil bli stadig mer utsatt for oversvømmelse.

Kilde: natgeo.no

Nå er jeg vel langt forbi James Bond og Kåre Korpulent, og sitter i et romskip sammen med Luke Skywalker i SciFi-verdenen?

Vel… Egentlig ikke. Truslene er helt reelle, samme hvor naive vi ønsker å være. Strutse-taktikken fungerer også dårlig når hullet fylles med vann. Hold pusten.

Utfordringer: tvetydighet og handlingslammelse

Bruken og kombinasjonen av ulike maktmidler er med på å skape tvetydighet. Med dette menes fiendtlige handlinger som er vanskelige å definere og gjenkjenne som en krigshandling. Da kan det være vanskelig å vite sikkert hvem som utfører handlingene. Dette omtales gjerne som «attribusjonsproblemet» og forekommer svært ofte i forbindelse med cyberangrep.

Kilde: Norsk Utenrikspolitisk Institutt

Et godt eksempel er den mystiske dataormen Stuxnet, som angrep og ødela deler av Irans atomanlegg i 2010. Det var lenge uvisst hvem som hadde utviklet ormen og plantet den i det iranske systemet. Først i 2012 kom det fram USA og Israel sto bak. Tvetydighet om hvem som står bak eller hva som er målet, skaper problemer for politiske beslutningstakere og ikke minst for legitimering av handlinger overfor folkeopinionen. Tvetydigheten øker dermed handlingsrommet for en angriper, spesielt med tanke på å kjøpe seg tid før motparten kan reagere.

Les artikkelen om Iran som arresterte Stuxnet-hackere.

Jeg maler fanden på veggen for å vekke folk, og du bør være våken.

Fortvil ikke: det finnes preventive IT-sikkerhetsløsninger for de fleste angrep. Teknologi kombinert med rådgivning er ofte et langt skritt i riktig retning for å komme hackere i forkjøpet.

Tilbake til hverdagen

Her i Oslo er alt trygt og godt, og langt fra PST og Sikkerhetsdagen i Alta.
Om du våknet ved å lese dette blogginnlegget er kanskje IT-sikkerhet mer spennende og mye viktigere for samfunnet enn du trodde?
Atea har gjennomført 6 av årets 11 sikkerhets dager, det begynner å bli fullt på de som står igjen, så meld deg på i din nærmeste by.

Vi ses kanskje i Oslo 11.mai, eller i en av de resterende byene?

/Thomas