Tech

Sikkerhetstest ga direkte adgang til offentlig datasystem

Foto: Santoelia / Shutterstock / NTB/Scanpix.

Foto: Santoelia / Shutterstock / NTB/Scanpix.

Artikkel av: NTB
20. mars 2018 - 15.37

Da Norsk sikkerhetsmyndighet (NSM) i fjor skulle teste datasikkerheten i en statlig virksomhet, behøvde de ikke akkurat å bryte seg inn.

Hvert år tester Nasjonal sikkerhetsmyndighet sikkerheten til mange offentlige virksomheter. Også private virksomheter som forvalter samfunnskritisk teknologi, kan bli testet av ekspertene i NSM.

I sin årsrapport for 2017 som ble offentliggjort tirsdag, skriver NSM at de i 2017 gjennomførte et «e-postangrep» mot en virksomhet i norsk statsforvaltning.

Det endte dårlig. Eposten som ble sendt ut, var laget for å pirre nysgjerrigheten til de ansatte. Den inneholdt en simulert skadevare og en lenke som – hvis den ble klikket på – dirigerte brukerne til en tilsynelatende legitim nettside som ba om brukerens påloggingsdetaljer.

Ni av ti

– Ni av ti klikket på den tilsynelatende legitime lenken. Fem av ti aktiverte den simulerte skadevaren. Tre av ti oppga sine påloggingsdetaljer til virksomhetens systemer, skriver NSM i rapporten.

– Dette er stort sett det vi ser i alle testene vi gjennomfører. Dette er bekymringsfullt. For det er et budskap som ikke har gått inn, sier NSM-direktør Kjetil Nilsen til Aftenposten.

Han er nedslått over nivået på sikkerheten og ber offentlige så vel som private å bli mer bevisst på farene ved et svakt IT-forsvar.

– Ved å komme oss inn på denne måten kan vi endre innhold, ødelegge funksjonalitet, slette innhold eller slå av systemet, sier han.

Åpne dører

NSM gjorde også fysisk inntrengning ved å komme seg inn i lokaler gjennom trege dører for så å plante fiendtlig datautstyr på maskiner i organisasjonen.

– NSM fikk fysisk tilgang til en offentlig virksomhet ved å ta seg inn en åpen kantinedør de ansatte brukte for å trekke frisk luft. Vel inne i lokalene fant teamet fysiske tilkoblingsmuligheter på taket. Virksomheten var trolig ikke klar over tilkoblingsmuligheten, og det var liten sannsynlighet for at kompromittering kunne bli oppdaget, skriver de i rapporten.

I sensornettverket Varslingssystem for digital infrastruktur (VDI) kan NSM måle angrep eller forsøk på innbrudd hos offentlige virksomheter eller bedrifter som forvalter eller eier kritisk informasjon eller kunnskap i Norge. I fjor avslørte sensorene i systemet 20.000 mistenkelige datastrømmer. Etter sjekk var det 5.000 varsler som ble fulgt opp som en ekte trussel.

Rapporten avdekker også at dårlig sikkerhet mellom organisasjonens eget nettverk og eksterne tjenester man kjøper fra andre, utgjør en betydelig sikkerhetsrisiko.