 |
|
ANALYSE: Her analyseres datatrafikk som er unormal i Forsvaret.
|
Angrepene mot Forsvarets datanettverk har vært sofistikerte og nytenkende i datasammenheng. De er utført på en helt ny måte, uten
at Forsvarets sikkerhetstjeneste (FOST) vil utdype hvordan angrepene har fortonet seg. FOST følger fortløpende angrepene.
Forsvarssjef Sverre Diesen, Forsvarsstaben og Nasjonal sikkerhetsmyndighet (NSM) er holdt orientert om dataangrepene.
Har kontroll. Major Ivar Kjærem er fungerende seksjonssjef i ved Forsvarets senter for beskyttelse av kritisk informasjon (FSKI) i FOST.
Han bekrefter overfor F at angrepene mot Forsvarets datanettverk har pågått over lengre tid.
– Men jeg kan ikke kommentere innholdet i den saken vi nå jobber med. Det jeg kan si, er at vi har kontroll over situasjonen,
sier han. FOST ser svært alvorlig på saken og mye av organisasjonens virksomhet på Jørstadmoen har vært fokusert mot inntrengerne.
Etter det F kjenner til, skal angriperne ikke ha fått tak i verken dokumenter eller vital informasjon fra Forsvarets interne
datanettverk.
Storebror? Tekst, tall og grafikk ruller over de 23 dataskjermene i analysesenteret til ved FSKI på Jørstadmoen utenfor Lillehammer.
Stille sitter fire-fem ansatte å kliprer på tastaturene.
Hva er det de gjør?
Overvåker de e–post landet over? Ser de hva du og jeg gjør når vi er ute og surfer på nettet? Finner de ut om du og jeg bevisst
eller ubevisst besøker en internettside med lite flatterende innhold?
Vi har jo friskt i minne alt oppstusset da media avslørte det som ble kalt overvåking av e-post fra både Slottet, Statsministerens
kontor og justisdepartementet. FOST fikk razzia av Kripos, og saken er fremdeles under etterforskning, uten at Kjærem frykter
resultatet.
– Jeg kan ikke uttale meg om den saken da den er under etterforskning, sier Kjærem, men han regner med at Kripos gjør en grundig
jobb i saken.
 |
|
HAR KONTROLL: Major Ivar Kjærem.
|
Ser trafikken. Tilbake til deg og meg. Og vår datatrafikk.
– Ser dere hva vi gjør på Internett?
– Nei, vi kan ikke se hva den enkelte bruker i Forsvaret gjør på Internett. Ei heller lese noen e-postforsendelser, forsikrer
han.
– Vår jobb er å detektere og håndtere angrep fra utsiden mot Forsvarets datanettverk, det være seg fra fremmed etterretning,
spam eller ondsinnet programvare.
– Men det kan være en e-post som trigger våre sensorer til å gi alarm, legger han til.
For, det er ikke uvanlig at alarmen går ved FSKI hos FOST. Hver dag skjer det flere titalls ganger.
Sensoralarmer. Spesielle sensorer overvåker internettrafikken rett på utsiden av Forsvarets brannmurer. Sensorene fungere slik at FSKI
ikke kan se hvem brukeren er, men kun hvilke avdelinger som bruker linje gjennom den aktuelle sensoren. Oppdages det unormal
mengde såkalt metadatatrafikk, trigges sensorene og alarmen går, i form av en farget linje på stor dataskjerm i FSKI. Jobben
til de ansatte på FSKIs analysesenter er da å vurdere om de står overfor inntrengningsforsøk fra fremmed etterretning, angrep
fra datakriminelle, spam eller ondsinnet programvare, det siste oftest gjemt på internettsider som kan ha vært troverdige
nok.
Men i de aller fleste tilfellene er det falsk alarm.
– Men det er fullt mulig for etterretningstjenester og datakriminelle å legge inn skjulte ondsinnede programmer på en helt
vanlig brukt internettside. Den som surfer, vet ikke selv om angrepet, men våre sensorer kan bli trigget av at ondsinnede
programmer og spam forsøker å ta seg inn gjennom brannmuren, forteller Kjærem. Brukeren vet ikke selv om dataangrepet – for
på vedkommendes skjerm lyser alt som vanlig.
– Når alarmen går, er angrepet på gang. Derfor følger vi opp alle alarmer kontinuerlig for å håndtere slike angrep, sier
Kjærem
– Kan vi få spørre hvor mange slike sensorer FOST har utplassert i Forsvaret i dag?
– Nei, men det er mer enn én.
Det er vanskelig å pågripe noen som helst for ugjerninger mot datanettverk. Som oftest kommer det fra servere plassert i utlandet
– og der gjerningspersonen er ukjent.
– Vi har aldri sett våre fiender i hvitøyet. Så langt har vi ikke kommet. Men vi jobber for å oppdage hva de gjør og dermed
nekte dem å ødelegge noe som helst, sier Kjærem.
Paal Ravnaas pr@fofo.no
Foto: TORGEIR HAUGAARD/FMS
Forsvarets senter for beskyttelse av kritisk informasjon (FSKI)
■ Holder til på Jørstadmoen utenfor Lillehammer
■ 33 stillinger, derav åtte sivile
■ Rapporterer til forsvarssjefen via sjef FOST
■ Etablerer i disse tider Forsvarets alarmsentral
■ Har direkte krypterte linjer til forsvarssjefen, Forsvarsstaben og Forsvarets operative hovedkvarter
■ Har kommunikasjonsløsninger for hemmelige data i Forsvaret
Slik ser FOST datatrafikken
FOST bruker to forskjellige typer nettverkssensorer for å detektere mulige angrep på informasjonssystemene.
■ 1. Den ene typen sensor kalles inntrengningsdeteksjonssystem (IDS). En IDS søker automatisk gjennom nettverkstrafikken
og ser etter bestemte mønstre i datatrafikken. På denne måten kan den oppdage virus og andre former for angrep. Når IDS–en
finner mistenkelig nettverkstrafikk, gir den en alarm som formidles videre til en av operatørerne i FOST sitt analysesenter.
■ 2. Den andre typen sensor benyttes for å samle inn statistiske data om nettverkstrafikken, såkalte trafikkdata. Trafikkdata
er den delen av en nettverksstrøm som inneholder informasjon om hvilke adresser som kommuniserer, hvilke tjenester som benyttes
og hvor mye informasjon som oversendes. Ved å analysere trafikkdata er det mulig å fastslå hvilket land og hvilken organisasjon
en nettverksstrøm går mot.
FOST har oversikt over svært mange adresser som benyttes av organiserte kriminelle miljøer og andre ondsinnede aktører.
PS!
Alle datamaskiner i Forsvaret benytter samme adresse når de bruker Internett. Det er derfor ikke mulig å spore en enkeltperson
uten å slå opp i andre logger. Disse loggene samles inn og lagres av driftsorganiasjonen og utleveres til FOST bare i tilfeller
der det foreligger mistanke om sikkerhetstruende hendelser og der det er nødvendig å lokalisere en datamaskin for å håndtere
hendelsen.
Mange cyber-angrep
Angrep mot nasjonale infrastrukturer, som enkeltlands forsvar eller store offentlige organisasjoner, er flere ganger oppdaget
før de har slått ut datanettverkene.
Men noen ganger har angrepene virket etter hensikten til dem som gjennomfører den.
Det første IT-ekspert og forsker ved institutt for informatikk ved Universitetet i Oslo, Gisle Hannemyr, tenker på, er Estland-historien
fra 2007.
– Landet var så å si offline i flere dager etter at kriminelle eller etterretning fra et annet land slo til mot store offentlige
institusjoner, forteller Hannemyr.
Angrepet ble satt i sammenheng med flyttingen av et gammel sovjetisk krigsmonument, og få var i tvil om at russiske krefter
sto bak. Senere ble en 20 år gammel Kreml-tilhenger tatt for angrepet. Han fikk 9000 kroner i bot.
Han nevner også et eksempel fra USA, der ondsinnede koder ble oppdaget i nettverket som forsyner store deler av USA med strøm:
– Kodene ble plassert ut av cyberkriminelle og kunne bli aktivisert nærmest med fjernkontroll ved en eventuell konflikt. De
ble oppdaget og fjernet, forteller Hannemyr. Han kaller cyberkrigen for «offensive og bevisste trekk som går ut på å ramme
infrastruktur».
– Hva med Forsvaret i Norge, har de noe å bekymre seg for?
– Forsvaret har et lukket datanettverk, men kan likevel bli utsatt for angrep. Det er viktig at man har en organisasjon som
passer på og monitorerer datatrafikken for å oppdage unormal aktivitet. Når overvåkingen av datatrafikken skjer med dette
som formål, vil jeg ikke kalle dette for utilbørlig overvåkning, sier Hannemyr.
Han advarer spesielt mot sider som inneholder pornografisk materiale, kriminalitet eller såkalte «cracks» – sider som viser
hvordan men knekker koder, kopisperrer og lignende.
– Et besøk på slike sider, kan føre til at brukeren får sin datamaskin infisert - uten at vedkommende vet noe som helst.
Skriv ut
Tips en venn