Forsvarsminister Frank Bakke-Jensen og statsminister Erna Solberg under et besøk hos Forsvarets spesialstyrker på Rena.
Forsvarsminister Frank Bakke-Jensen og statsminister Erna Solberg under et besøk hos Forsvarets spesialstyrker på Rena. Foto: Torbjørn Kjosvold/Forsvaret

Vil styrke Norges evne til å utføre offensive cyberoperasjoner

– Når tilrettelagt innhenting er på plass vil den gi oss langt bedre mulighet til å oppdage digitale angrep tilsvarende det vi så mot Stortinget nylig, sier forsvarsminister Frank Bakke-Jensen til TV 2.

I forrige uke sa regjeringen at norske myndigheter har tydelig informasjon om at Russland sto bak cyberangrepet mot Stortinget.

Norge tok det diplomatiske skrittet attribusjon, altså plassering av skyld, da regjeringen pekte på Russland.

Ifølge avviksmeldingen som Stortinget sendte til Datatilsynet 6. september, hadde det funnet sted uautorisert pålogging på epostkontoene til et mindre antall stortingsrepresentanter og ansatte i administrasjonen og gruppesekretariatene.

1. september orienterte Stortingets direktør Marianne Andreassen offentligheten om dataangrepet.
1. september orienterte Stortingets direktør Marianne Andreassen offentligheten om dataangrepet. Foto: Terje Pedersen/NTB

Digitale spor

Personopplysninger som var oppbevart på epostkontoer var blitt hentet ut.

Informasjonen som var på avveie kunne ifølge Stortinget brukes til utpressing, eller misbruk av identitet eller betalingskort.

Da de hemmelige tjenestene undersøkte hvordan dataangrepet var gjennomført, ble det oppdaget at angrepet hadde etterlatt seg tekniske spor som ga grunn til å tro at også andre land hadde vært utsatt for lignende.

Ettersom Politiets sikkerhetstjeneste (PST) ikke hadde kapabiliteten, var det etter det TV 2 forstår Etterretningstjenesten som var i stand til å bearbeide de digitale sporene etter datainnbruddet.

Vil styrke E-tjenesten

Spionasje over internett er ifølge Nasjonal sikkerhetmyndighet (NSM) billig, gir gode resultater, og har lav risiko, og er derfor kosteffektivt for fremmede etterretningstjenester.

Justis- og beredskapsminister Monica Mæland, 
statsminister Erna Solberg og forsvarsminister Frank Bakke-Jensen under fredagens pressekonferanse.
Justis- og beredskapsminister Monica Mæland, statsminister Erna Solberg og forsvarsminister Frank Bakke-Jensen under fredagens pressekonferanse. Foto: Jil Yngland/NTB

Nå vil regjeringen styrke Etterretningstjenestens evne til å avdekke digitale trusler.

Digitale nettverksoperasjoner bærer preg av å være mer koordinerte og effektive enn tidligere, og Norge må ifølge regjeringen regne med å bli hyppigere utsatt for påvirkningskampanjer eller digitale angrep.

Evnen og kompetansen til offensive cyberoperasjoner skal ifølge forsvarsbudsjettet for 2021 videreutvikles.

Cyberforsvaret har ansvaret for defensive cyberoperasjoner.

Det er Etterretningstjenesten som har ansvaret for og gjennomfører alle typer offensive cyberoperasjoner, som også innebærer utnyttelse av datanettverk for etterretningsformål.

Forsvarsdepartementet vil ha sjefen for Etterretningstjenesten som «cyber commander» for militære cyberoperasjoner som skal ledes fra et militært cyberoperasjonssenter i Etterretningstjenesten.

Ifølge Etterretningstjenesten defineres datanettverksoperasjoner som tiltak for å utnytte eller påvirke motstanderens datanett og beskytte egne nett.

– E-tjenestens evne i fred, krise og i væpnet konflikt til å følge, attribuere, varsle og aktivt motvirke digitale trusler også før hendelser inntreffer, skal videreutvikles, heter det i revidert langtidsplan for Forsvaret.

NUPI-forsker: – Kan også utføre angrep

Forsvarsminister Frank Bakke-Jensen (H) knytter satsingen til såkalt tilrettelagt innhenting, eller digitalt grenseforsvar. Kostnadsrammen for prosjektet er ifølge forsvarsbudsjettet for 2021 på nærmere 1,1 milliard kroner.

– Når tilrettelagt innhenting er på plass vil den gi oss langt bedre mulighet til å oppdage digitale angrep tilsvarende det vi så mot Stortinget nylig. Norsk utenlandsetterretning er en grunnstein for Norges forsvar og sikkerhet. Vi er nødt til å følge med på hva som skjer rundt oss, også i det digitale rom. Etterretningstjenesten skal bidra til å beskytte vårt samfunn og våre verdier mot trusler utenfra. Det legger den nye etterretningsloven til rette for, sier Bakke-Jensen til TV 2.

Karsten Friis, leder i forskningsgruppen for sikkerhet og forsvar i NUPI, mener at dette vil gi Etterretningstjenesten mulighet til å oppdage og følge med på trusselaktørene langt bedre enn i dag.

Admiral Nils Andreas Stensønes ble i september utnevnt til ny sjef for Etterretningstjenesten.
Admiral Nils Andreas Stensønes ble i september utnevnt til ny sjef for Etterretningstjenesten. Foto: Stål Talsnes/TV 2

Seniorforskeren ved NUPI viser til at det er Etterretningstjenesten som er gitt det nasjonale ansvaret for å avdekke utenlandske trusselaktører ved alvorlige cyberoperasjoner rettet mot Norge.

– De er også ansvarlige for å planlegge og gjennomføre offensive cyberoperasjoner. Det vil i praksis stort sett bety etterretning i digitale nettverk utenfor Norge, men de kan også utføre angrep mot aktører som angriper norske nettverk. Dette er en form for selvforsvar som er tillatt etter folkeretten under «særlige forhold» som det heter. Men når denne selvforsvarsretten trår i kraft er debattert, sier Karsten Friis til TV 2.

Ifølge norske og internasjonale eksperter har det politiske landskapet endret seg de siste årene, og tiden da man unnlot å eksponere hvem som står bak, er over.

  • I 2017 sa PST at den russiske hackergruppen «Cozy Bear» sto bak forsøket på datainnbrudd hos PST, Utenriksdepartementet, Aps stortingsgruppe og Forsvaret.
  • I et omfattende og målrettet dataangrep mot norsk olje- og energisektor i august 2014 var det over 50 forsøk i form av eposter med infiserte vedlegg.

Avdekket stort angrep i 2011

Første gang Norge avdekket et omfattende og bredt dataspionasjeangrep, var i november 2011. Statoil var blant flere norske selskaper som ble rammet av den omfattende cyberoperasjonen.

Johan Sverdrup er det tredje største oljefeltet på norsk sokkel.
Johan Sverdrup er det tredje største oljefeltet på norsk sokkel. Foto: Carina Johansen/NTB

NSM varslet Forsvarsdepartementet og Justisdepartementet om en rekke målrettede angrep mot olje og gass-sektoren, energisektoren og forsvarsindustrien.

Likhetstrekk i hvordan dataene ble lastet ut via nettverkstrafikk og måten viruset var programmert på, gjorde at NSM slo fast at det var samme aktør som sto bak angrepene.

Bare det siste året hadde minst ti ulike saker blitt avdekket, heter det i varselet som TV 2 har fått innsyn i. Det faktiske antallet ble antatt å være langt høyere. I mange av tilfellene hadde angriper vært inne på systemene i flere måneder.

Skreddersydde eposter

Analytikerne i NSM ble overrasket da de oppdaget store likheter mellom de ulike sakene:

– Det er nesten som om de som står bak har gått på samme skole. Det er store likheter mellom både skadevare, kode og angrepsmetodikk.

Angrepene hadde ifølge NSM ved flere tilfeller skjedd i forbindelse med at firmaene utførte større kontraktsforhandlinger.

– Skreddersydde eposter med virus er sendt til utvalgte personer i store norske bedrifter for å stjele all informasjon på datamaskinene. Det dreier seg eksempelvis om dokumenter, industritegninger og brukernavn og passord, skrev NSM i varselet som ble sendt til alle departementer.

Ifølge sikkerhetsmyndighetene var dataangrepene skreddersydd for ikke å oppdages av antivirusløsninger.

– I bedrifter som er angrepet har de derfor ikke blitt klar over angrepene før i ettertid. Dette gjør det sannsynlig at industrihemmeligheter fra ulike bedrifter har blitt stjålet og sendt digitalt ut av landet, skrev NSM i varselet.

Fordi flere av bedriftene ikke hadde god nok datasikkerhet og logging, ble det antatt at bakmennene tok med seg store mengder informasjon.

Ifølge en rapport fra det amerikanske sikkerhetsselskapet Mandiant sto en statlig, kinesisk militær hackergruppe bak det omfattende angrepet mot Norge i 2011.

Relatert