Ny FFI-rapport ser på dataangrepene mot Helse Sør-Øst og fylkesmennene
To dataangrep mot offentlige virksomheter i 2018 ble mye omtalt i norske medier. Det ene var rettet mot Helse Sør-Øst, det andre mot fylkesmannsembetene. En ny FFI-rapport ser nærmere på de alvorlige hendelsene.
FFI-rapporten er laget på oppdrag fra Justis- og beredskapsdepartementet. Den tar for seg hvordan angrepene ble håndtert, og hvilke lærdommer som kan trekkes. Formålet har vært å få kunnskap som kan gjøre at samfunnet takler slike hendelser bedre.
Arbeidet er gjennomført av FFI-forskerne Janita A. Bruvoll, Aasmund Thuv og Geir Enemo.
– Det som skjedde måtte belyses fra mange sider. Oppdraget har krevd kompetanse fra flere miljøer, med forskere fra to av FFIs avdelinger: Totalforsvar og Strategiske analyser og fellessystemer, forteller Bruvoll.
– Det har vært viktig å forstå både informasjons- og kommunikasjonsteknologi (IKT), dataangrep og krisehåndtering.
Lite forberedt på hendelsene
Det ene angrepet var rettet mot systemene til Sykehuspartner helseforetak, som er underlagt Helse Sør-Øst RHF. Det andre var rettet mot fylkesmannsembetene.
Det er vanskelig å slå fast med sikkerhet hva angriperne var ute etter, og hvem de var. Forskerne understreker at FFIs rapport ikke tar for seg spekulasjoner rundt dette.
Hvordan utspant hendelsene seg? Forskerne intervjuet representanter for elleve involverte aktører. Dette inkluderer blant annet departementer, direktorater, etater og de rammede virksomhetene selv. Skriftlige kilder, som erfaringsrapporter og referater, ble studert for å komplementere intervjuene.
– Flere aktører var i utgangspunktet lite forberedt på angrep av en slik karakter og omfang. De hadde i varierende grad oversikt over sine egne verdier og systemer, fastslår Bruvoll.
Trusselaktørene som gjennomførte angrepene er i ettertid blitt omtalt som avanserte og profesjonelle.
– Vi har forsøkt å forstå og beskrive hendelsesforløpet og håndteringen så godt at utfordringer og dilemmaer er blitt synlige. Dermed kan de diskuteres. Slik kan mange bli bedre rustet ved liknende angrep i framtiden, sier forskerne.
To dokumenter for håndtering
FFI ble bedt om å vurdere eventuelle utfordringer eller motstridende elementer mellom to dokumenter:
- Nasjonal sikkerhetsmyndighets (NSM) rammeverk for håndtering av IKT-sikkerhetshendelser
- Departementenes samfunnssikkerhetsinstruks
Et viktig spørsmål var om disse dokumentene er tilstrekkelige. Kunne rapporten eventuelt anbefale videre utvikling av dem, for å bedre den evnen samfunnet har til å håndtere IKT-sikkerhetshendelser?
– Vi ser at NSMs rammeverk har mulighet for forbedring. Det gjelder særlig med tanke på å veilede virksomheter. Det stilles forventninger til dem, både før en hendelse og underveis. Samtidig opplever flere rammeverket som nyttig. Særlig med tanke på etablering av et felles vokabular, og det å forstå hva som er viktig i ulike faser når en IKT-sikkerhetshendelse skal håndteres.
Forskerne har sett på rammeverk og instruks samlet. De konkluderer med at disse dokumentene alene ikke gir et komplett bilde av aktørene. De gir heller ikke full oversikt over de mekanismene som kan være relevante ved større eller sektorovergripende IKT-sikkerhetshendelser. Særlig er beskrivelser av samordningsorganene utelatt.
Å være forberedt omfatter mer enn mange ved første øyekast skulle tro.
Øvelse kommer
Forskerne ble også bedt om å komme med innspill til hvordan øvelsen Digital 2020 kan gjennomføres for å sikre at deltakerne får best mulig utbytte av den. Øvelsen arrangeres av Direktoratet for samfunnssikkerhet og beredskap i høst.
– FFI har mye erfaring med øvelser hvor dataangrep inngår. Sammen med innsikt i hvordan angrepene mot Helse Sør-Øst og fylkesmannsembetene ble håndtert, har vi identifisert flere gode momenter som bør være med i øvelser som denne. Det handler blant annet om informasjonsdeling, vurderinger av operative konsekvenser og fordeling av ressurser, sier forskerne.
Forberedelse viktigst
For å kunne håndtere en hendelse på en god måte når den først inntreffer er det sentralt å være godt forberedt på at ulike typer dataangrep kan ramme en virksomhet.
– Å være forberedt omfatter mer enn mange ved første øyekast skulle tro. Fra et teknisk perspektiv er det viktig med god grunnsikring av IKT-systemene, og god oversikt over hva som skjer i dem. Når alarmen først går er det viktig at planer og prosesser allerede finnes, slik at en vet hva som bør gjøres og kan sette i gang umiddelbart.
Forskerne sier at dette igjen fordrer god innsikt i virksomhetens verdier.
– De må se på mulige konsekvenser av både angrepet selv og eventuelle tiltak som settes inn. I forkant må det legges til rette for samarbeid med de rette partene. Det kan dreie seg om både fagpersonell og myndigheter på et høyere nivå.
Samarbeid på tvers
Samarbeid er et tema som er mye omtalt i rapporten. Dette skyldes at det store antallet aktører som blir involvert i større hendelser. Aktørene kjenner nødvendigvis ikke hverandre godt fra før.
– Vi fant at aktørene under dataangrepene samlet seg for å samarbeide seg imellom i forholdsvis separate klynger. Flere av aktørene kjente ikke til de andre klyngene. Det er ikke noe galt i dette. Tvert imot er det en naturlig følge av aktørenes ansvar og oppgaver. Men det kan oppstå problemer dersom håndteringen av hendelsen krever samarbeid på tvers av klyngene. Trolig vil forskjellige typer hendelser sette ulike krav til samarbeid på tvers av klyngene.
Det er også utfordrende at aktører i varierende grad er vant til å behandle og formidle informasjon på ulike graderingsnivåer.
– En rekke «gamle kjenninger» gikk igjen. Ikke alle aktører har systemer eller rutiner for å behandle gradert informasjon. Ikke alle aktørene var enige i hvilken klassifisering som skulle brukes på informasjon. Det var usikkerhet knyttet til videre spredning internt og mellom enkelte aktører, når det var lagt begrensninger på deling av informasjonseier. Å balansere «need to know» med fornuftige restriksjoner kan være vanskelig, sier Bruvoll.
– Det oppstår også spenninger mellom ulike mandater. Det kan skje når en virksomhet opplever det som sin plikt å skjerme informasjon, samtidig som andre aktører trenger informasjon for å yte best mulig støtte. Dette var også noe vi støtte på i arbeidet vårt: FFI hadde et informasjonsbehov for å løse oppdraget.
«Det gikk jo bra»
En kommentar fra et av de første intervjuene FFI gjennomførte, var at «det gikk jo bra, men vi vet ikke hvorfor». Dette har fulgt forskerne gjennom hele prosessen. Forskerne legger vekt på at det faktisk kan være vanskelig å fastslå om håndteringen av et dataangrep gjør at det går bra.
– En utfordring er at «bra» ikke er så lett å definere. Rent intuitivt har man en forståelse av at fravær av skade er positivt, sier Bruvoll.
– Men hvis muligheten for skade var unødig høy, gikk det da bra? Og hvis vi ikke vet om trusselaktøren oppnådde hensikten sin, gikk det da bra? Hvor mye av utfallet skyldes håndteringen, og hvor mye skyldes det at aktøren valgte å ikke gjøre ting verre? Slike spørsmål er problematiske. Flere av dem er uavhengig av aktørenes innsats for å håndtere hendelsen.
Flere offentlige etater i Norge opplevde nok hendelsene som bevisstgjørende, og de tok lærdom av dem.
Det tekniske er grunnlaget
Rapporten legger vekt på at det ikke alltid så lett å avgjøre hva som er et resultat av det etablerte systemet for å håndtere hendelser, og hva som er resultatet av innsatsen til en spesifikk aktør. Det gjelder særlig når mange aktører bidrar, og de samtidig har ulik oppfatning av hva situasjonen er – og hvordan den bør håndteres.
– Det er selvfølgelig mulig å vurdere enkeltaktørers innsats. Men det har ikke vært vår oppgave, sier forskerne.
For dem er én sammenheng helt sentral: Hva som skjer teknisk, og håndteringen av angrepet.
– Flere av de involverte aktørene har en viss distanse til det som faktisk skjer, rent teknisk. Andre sitter tett innpå trusselaktørens handlinger og den tekniske situasjonen i de rammede nettverkene og systemene. Vi mener at det tekniske hendelsesforløpet må være grunnlaget for det som skjer når hendelsen håndteres, sier Bruvoll, og fortsetter:
– Dette må formidles til dem som er involvert. Det er også fundamentet for læring senere. Små detaljer på teknisk nivå kan ha store følger for hva som er rett håndtering. Derfor har vi i arbeidet vårt lagt vekt på å etablere en god forståelse for hva som har skjedd rent teknisk, der det har vært mulig. Det kan være vel verdt for flere aktører å beskrive denne koblingen i framtidige erfaringsrapporter for dataangrep.
Avslutningsvis forteller Janita A. Bruvoll at gruppa sitter igjen med et inntrykk av at dataangrepene har ført til positive endringer.
– Angrepene skriver seg to år tilbake i tid. Nå er det blitt tatt flere nye grep. Flere offentlige etater i Norge opplevde nok hendelsene som bevisstgjørende, og de tok lærdom av dem.
Henvendelser om denne rapporten kan rettes til Kommunikasjonsenheten: info@ffi.no eller 66 93 49 22 / 99 38 71 30