Informasjon til øvingsleder

Innledende om scenarioet

Det varsles stadig oftere om at trusselaktører kompromitterer IT-systemene til norske organisasjoner.

Utenlandsk etterretning eller kriminelle, utnytter dårlig sikrede (?) servere for å skaffe seg kontroll over informasjon, eller for å etablere «kommando- og kontrollservere i Norge». Slike kommando- og kontrollservere inngår så i trusselaktørens globale infrastruktur. I slike tilfeller utgjør ikke de kompromitterte systemene et mål i seg selv, men fungerer som mellomledd for trafikk mellom trusselaktøren og målet. De blir brohoder i videre operasjoner mot andre mål.

Aktørene bruker skanningaktivitet mot åpne kilder (OSINT – Open scource intelligence) (eksempelvis IP-adresser) for å finne veier inn i systemene etc. Organisasjonens infrastruktur kan så bli forsøkt kompromittert for å få tilgang til data og informasjon eller som nevnt for å få fotfeste i organisasjonens infrastruktur.

Et eksempel på dette er såkalt APT-angrep (advanced, percistent threat/avansert, vedvarende tussel). Dette betyr at de datakriminelle bryter seg inn i en bedrifts infrastruktur, og samtidig skjuler sin tilstedeværelse i systemet. Tiden i skjul benyttes til å feste grepet i datasystemet, og til å skaffe seg mer tilgang for så å samle og overvåke/stjele mer informasjon.

Inngangen i systemene kan eksempelvis være ved å finne passord fra din epost/LinkedIn/Facebook-side, slik som nevnt i øvelsen «Personopplysninger på avveie – Phishing».

Konsekvensen kan være direkte innbrudd i sårbar informasjon, bruk av kompromitterte, legitime websider for spredning av spionprogramvare med mer.

Spørsmål for å drive diskusjonsøvelsen fremover

  • Hvordan er patcherutiner i organisasjonen?
  • Hvordan blir serveren monitorert med tilhørende alarmsystemer (CERT-funksjon)?
  • Hvordan er aksesser for brukeridentiteter med administrasjons- og logg rettigheter administrert og kontrollert?
  • Er det tilstrekkelige krav om informasjonssikkerhet knyttet til IT-driftsleverandør og hvordan følges det opp at disse kravene etterfølges?
  • Er det foretatt penetrasjonstesting?
  • Er det mulig at svindlerne kan ha fått uautorisert tilgang til organisasjonens e-postløsning?
  • Er det noen som kan ha overvåket internkommunikasjonen over lengre tid, og fulgt selskapet tett? Hvordan kan vi avdekke dette?
  • Hvordan kan noen komme seg på innsiden av organisasjonens systemer?
  • Er det foretatt risikovurderinger i forhold til om slike hendelser kan oppstå og hva som er konsekvensene for organisasjonen (og andre)?
  • Føres det logger/tilsyn med bedriftens databevegelser?
  • Fungerer kvalitetssystemet og oppdatering av kvalitetssystemet?
  • Hvordan kvalitetssikres rutiner? Hvordan følges disse opp og sjekkes?
  • Hva sier organisasjonens rutiner? Er alle kjent med rutinene?
  • Har vi riktig kompetanse til å håndtere slike saker?
  • Har vi rikelig med logger og kompetanse til å forstå disse?
  • Er systemene tilrettelagt for sikring av bevis?
  • Hvilken kontroll har organisasjonen på utstyr? PC, laptoper, mobil etc.
  • Hvilke DPT (Data Protection tools) har organisasjonen for å unngå slike hendelser?
  • Hvordan varsles det om slike hendelser intern i organisasjonen?
  • Hvordan varsles det om slike hendelser eksternt (partnere/kunder/leverandører…) om det er behov for det.?
  • Hvilke planer er utarbeidet for å håndtere slike hendelser i organisasjonen?
  • Hvordan involveres fagforeninger? Er det informasjon som må/bør gis til fagforeninger?
  • Når er en sikker på at en er tilbake i normalsituasjon?
  • Har organisasjonen en kommunikasjonsplan for bruk ved en krise/alvorlig hendelse, inkl. roller og ansvar og som kan indikere nødvendig kommunikasjon? Partnere / samfunnsaktører?
  • Kontroll på infrastruktur, har vi smittet noen samarbeidspartnere etc.?
  • Hva med omdømme/renommé?
  • Hva med økonomisk tap på kort og lang sikt?
  • GDPR?
  • Følgeskader?