Ethvert datasystem kan "knekkes". Hvordan kan man forsvare seg mot det? Illustrasjonsfoto: Thinkstock.

Hva gjør man når hackere kan stenge en oljeplattform?

Spionasje, sabotasje og utpressing truer bedrifter og myndigheter når alle typer datasystemer er koblet sammen via nettet. Men det finnes mottiltak.

Av Claude Olsen

Dataormen Stuxnet som ble oppdaget i 2012, var en vekker for myndigheter og industri over hele verden. Den svært avanserte programbiten kunne infisere styringssystemene i industrien og få dem til å slutte å virke. Det skremmende var at denne dataormen nådde mange av de mest vanlige styringssystemene i industrien.

Dersom en stat eller en hacker kunne spre ondsinnet programvare i et så stort omfang, hva ville bli det neste?

Nå er tingenes internett der “alt” er koblet sammen, på full fart vei inn bedrifter, offentlige kontorer og hjemmene. Hvordan skal vi forsvare oss mot en trussel som vi ikke vet hvordan ser ut eller hvor den vil slå til?

Forsvarer seg mot det ukjente

Forskere ved SINTEF jobber med å finne mottrekk. Her utvikles metoder som gjør at bedrifter og offentlige institusjoner kan håndtere trusler og angrep, også de som ingen har tenkt på.

– Samfunnet er under press med nye mønstre av trusler og sårbarhet. Vanlige tilnærminger med et forsvar basert på klare kontrollrutiner og ansvar feiler når risikoen vandrer mellom ulike områder og sektorer. Det er et sterkt behov for nytenking og nye tilnærminger, sier seniorforsker Tor Olav Grøtan ved SINTEF.

Han leder prosjektet New Strains of Society, som skal utvikle nye vitenskapelige teorier når det gjelder skjulte, dynamiske og det forskerne kaller emergente (tilblivende, fremvoksende) sårbarheter. Partnere er Norges teknisk-naturvitenskapelige universitet, University of Tulsa (USA) og Forsvarets forskningsinstitutt.

Med seg har de den amerikanske professoren Sujeet Shenoi ved University of Tusla. Han underviser studenter i “etisk hacking” for at amerikanske myndigheter skal være på nivå med de ondsinnede dataekspertenes potensielle angrep.

Ethvert datasystem kan “knekkes”

Grøtan og Shenoi Foto C R Olsen 1024

Tor Olav Grøtan i SINTEF Teknologi og samfunn har fått med professor Sujeet Shenoi fra University of Tulsa til å finne hvordan organisasjoner skal håndtere ukjente trusler. Foto: Claude R. Olsen

Professoren har de siste tjue årene undervist nærmere 400 studenter på master- og doktorgradsnivå i hvordan de skal hacke seg inn i myndigheters og bedrifters nettverk. Studentene må sikkerhetsklareres og de må forplikte seg til å jobbe for amerikanske myndigheter etter studiene.

Etter avtale med eierne har studentene hans «brutt» seg inn dypet av styringssystemene for betalingsterminaler, smarte strømmålere, gassrørledninger, kullgruver og vindparker. Hver gang har de lykkes.

– En eller annen, ikke nødvendigvis oss, kan komme inn i ethvert datasystem. Dette må vi leve med og håndtere. Derfor er resiliens (motstandsdyktighet og tilpasningsevne) så viktig sier Shenoi.

Med Norge som datalab

Den amerikanske professoren ser på Norge som et ideelt sted for å utvikle slik motstandsdyktighet.

– Norge er et av de mest digitaliserte land i verden. Med 5,2 millioner innbyggere kan det være et laboratorium for hele verden. Det er vanskelig å få til i USA. Landet er for stort og mangfoldig, sier han.

SINTEF og partnerne ser på tre såkalte trussel-landskaper: oljevirksomhet i nord, en pandemi og IKT i kritisk infrastruktur i olje- og kraftsektorene.

Nylig møttes representanter for Justisdepartementet, Nasjonalt sikkerhetsmyndighet (NSM), Nasjonal kommunikasjonsmyndighet (NKOM), National Security Agency (NSA, USA), Norges vassdrags- og energidirektorat (NVE), Petroleumstilsynet, forskere, konsulenter og bedriftsrepresentanter til en workshop for å adressere sårbarheter i energisektoren.

– Her prøvde vi ut en ny metode for å avdekke de ukjente truslene og sårbarhetene og forberede en stresstest. Folk fra oljesektoren og elkraftsektoren som vanligvis ikke tenker sammen, jobbet og reflekterte sammen. Dette tar vi med oss videre i prosjektet i arbeidet med få utviklet en stresstest-metodikk som undersøker hvor godt  en organisasjon er i stand til å håndtere det uventede, sier Grøtan.

Behovet er absolutt til stede: I 2014 ble Statnett og et hundretalls andre norske bedrifter i energisektoren utsatt for omfattende hackerangrep. De er ikke alene. Alle sektorer i samfunnet blir angrepet og antall angrep øker for hvert år. Statoil stopper for eksempel 10 millioner e-poster med spam hver måned. Åpning av vedlegg er en svært vanlig måte å få skadelig programvare inn i bedrifters datasystemer. En annen er at uoppmerksomme ansatte gir underleverandører og andre eksterne tilgang til datasystemene.

Prosjektet til syv millioner kroner går fra 2014-2017 finansiert av Forskningsrådet.

Her kan du lese mer om arbeidet til professor Sujeet Shenoi: The ethics of Hacking 101 i Washington Post