DATAANGREP: Regjeringen mener at Russland stod bak datainnbruddet mot Stortinget i sommer. Foto: Ørn E. Borgen / NTB
DATAANGREP: Regjeringen mener at Russland stod bak datainnbruddet mot Stortinget i sommer. Foto: Ørn E. Borgen / NTB

Eksperter om angrepet: – Det er veldig sjeldent at man klarer å spore opphavet

Norge anklager Russland for å stå bak dataangrepet mot Stortinget. Datasikkerhetseksperter forteller at det er uvanlig at man med sikkerhet klarer å avsløre hvem som står bak slike angrep.

Tirsdag gikk utenriksminister Ine Eriksen Søreide (H) ut med en offentlig anklage om at det var Russland som sto bak dataangrepet mot Stortinget.

Russlands ambassade i Oslo kaller anklagene uakseptable, mens russiske topp-politikere omtaler anklagene som «fullstendig tull» og anklager uten bevis.

Onsdag gjentok statsminister Erna Solberg (H) anklagen.

– Vi har tydelig og klart sett at det er russerne som står bak dette. Dette er et innbrudd mot Norges fremste demokratiske arena, og det kan vi ikke la gå upåtalt. Derfor har vi sagt det vi vet, nemlig at det er russerne som står bak dette, sier Solberg til TV 2.

To datasikkerhetseksperter TV 2 har snakket med understreker hvor vanskelig det kan være å finne den sikre kilden til slike dataangrep. De er i tillegg svært overrasket over hvor raskt Norge kunne peke ut en syndebukk.

Håper angrepet ikke er kamuflert

Teknologisjef Nils-Ove Gamlem i Check Point Norge har tidligere uttalt at det var to ting som overrasket han da nyheten om hackerangrepet ble kjent i sommer.

SKJULER: Nils-Ove Gamlem er teknologisjef i Check Point Norge. Han forteller at hackere kan være svært flinke til å skjule sine sport.
SKJULER: Nils-Ove Gamlem er teknologisjef i Check Point Norge. Han forteller at hackere kan være svært flinke til å skjule sine sport. Foto: Morten Normann Almeland

– Jeg ble overrasket over er at man allerede dagen etter angrepet ble kjent i media, uttalte at det dreide seg om «et veldig avansert angrep» og det kom fra «en nasjonal aktør». Jeg veldig overrasket over at de kunne trekke den konklusjonen så raskt, sier han.

Da nyheten kom i går, var hans første tanke at han håper at regjeringen har håndfaste bevis som støtter opp under anklagen.

– Jeg håper at de har håndfaste bevis og at angrepet ikke er kamuflert, sier Gamlem, som understreker at han uttaler seg på generelt grunnlag.

Flinke til å skjule spor

Gamlem forklarer at det i noen tilfeller kan være enkelt å spore kilden til et dataangrep.

– Angrepet eller den såkalte skadevaren har alltid en signatur eller et fotavtrykk, og dette kan ha blitt analysert tidligere. Da er det mulig å se hvem som sendte skaden og hvem som som har utviklet den. Denne signaturen er eksempelvis som en side i en bok. Hvordan avsnittene er laget kan gi svaret på hvem som har skrevet den, sier han.

Er det profesjonelle aktører som står bak, kan de derimot være særdeles flinke til å skjule sine spor.

– Noen ganger kan det se ut som noen har sendt det, men så er det i realiteten noen helt andre som står bak. Dette utgjør en stor risiko for å ta feil, sier Gamlem.

– Sjeldent man kan konkludere

Datasikkerhetseksperten forteller at det er sjeldent man eksakt klarer å konkludere rundt hvem som står bak slike angrep, hvis man ser på historien. Det vil heller være i form av indikasjoner.

– Som oftest ser vi at man ikke finner opphavet til slike angrep. Grunnen til det er at signaturen til skadevaren har en tendens til å spre seg og bli gjenbrukt av andre aktører. Både profesjonelle hackere og de som sitter på gutterommet kan fange opp signaturene skadevaren og gjøre små endringer, sier han.

Han sammenligner det med hva som kan skje med en kakeoppskrift.

– Når min bestemor begynte å bake kvæfjordkake, endret hun litt på oppskriften. Når min mor fikk den, reduserte hun sukkermengden. Det samme skjer med skadevaren: det kan se ut som en kjent signatur, men det er en annen avsender og det er en av måtene man kan kamuflere seg på, sier han.

Kan ha brukt «honningkrukker»

Også Gisle Hannemyr, som er lektor emeritus ved Universitetet i Oslo og ekspert på datasikkerhet, forteller at det på generelt er veldig vanskelig å se hvem som står bak slike angrep.

DATASIKKERHET: Gisle Hannemyr er lektor emeritus ved ved Universitetet i Oslo og ekspert på
datasikkerhet. Foto: Privat
DATASIKKERHET: Gisle Hannemyr er lektor emeritus ved ved Universitetet i Oslo og ekspert på datasikkerhet. Foto: Privat

– Det er veldig sjeldent at man klarer å spore opphavet til slike dataangrep, sånn jeg erfarer det. Hvis trusselaktøren er noenlunde kompetent er det lett å skjule sporene. Antagelig er mellom 10 og 20 prosent av alle datamaskiner som er koblet til internett hacket. De angriper aldri fra egen maskin, de bruker flere ledd av kaprede maskiner fra hele verden, og er derfor vanskelig å spore, sier Hannemyr.

Selv om man kan spore hackerangrepet tilbake til en maskin i Kreml, kan det være noen prøver å legge skylda på Russland.

Hvis han skal spekulere i metoder som kan ha hjulpet Norge til å avsløre hvem som stod bak, trekker han frem såkalte «honningkrukker».

– Alle lands etterretningstjenester har datamaskiner som ser ut som kaprede maskiner, som kalles «honningkrukker». Datamaskinene har som formål at noen skal kapre dem, slik at etterretningstjenestene kan tilegne seg informasjon om hackerne, sier han.

Hannemyr forklarer at det er en typisk metode man bruker for å avsløre illegale nettverk som for eksempel driver med ulovlig salg av narkotika eller våpen.

– I tillegg kan man gjøre innholdsanalyser. Hackere har sine egne metoder når de angriper som er litt som et fingeravtrykk. Det kan avsløre hvem som står bak, sier Hannemyr.

– Erter på seg bjørnen

– Hvis det er så vanskelig å spore opprinnelsen til et dataangrep, kan det tenkes at russerne ønsket at angrepet skulle kunne spores tilbake til dem?

– Da opposisjonspolitikeren Aleksej Navalnyj ble forgiftet i Sibir, brukte man en nervegift som bare militæret hadde tilgang til. Da sendte man et signal. Det var en signatur ved forgiftningen som pekte direkte på Kreml. Kanskje har man lagt igjen en lignende signatur her, men det blir fryktelig spekulativt, sier han.

Hannemyr er klar på det er helt umulig for han som utenforstående å si noe konkret om angrepet med så lite informasjon.

– Det jeg derimot kan si er at det er relativt uvanlig at man går ut så fort og er så sikker i sin sak. Norske myndigheter er ekstremt varsomme med å erte på seg bjørnen i øst. Det er en indikator på at de selv tror at de har truffet blink, sier han.

Vil ta lærdom

Nils-Ove Gamlem i Check Point Norge sier at dataangrep kommer til å skje oftere.

– I lys av økt digitalisering, at vi midt i mars ble sendt til hjemmekontor og at vi stadig bruker flere typer enheter er med på å gjøre oss mer sårbare overfor angrep, sier han.

Samtidig er han bekymret for et økende gap mellom teknologien og kompleksiteten som angriperne bruker versus teknologien organisasjoner bruker for å beskytte seg.

– Derfor er det desto viktigere at vi tar teknologien i bruk i større grad for å beskytte oss. Mennesker er det svakeste leddet i sikkerhet, og derfor trenger vi teknologi til å hjelpe oss, sier han.

Myndighetene har vært svært tilbakeholdene om detaljene rundt dataangrepet. Gamlem håper at flere detaljer vil bli offentliggjort slik at både offentlige og private organisasjoner kan ta lærdom av det.

– Hvis de deler informasjonen om hva som gjorde de sårbare, kan andre også gjøre tiltak for å beskytte seg. Da ville vi lært noe og alle ville blitt tryggere, sier han.

PST etterforsker også dataangrepet, men de har foreløpig ikke konkludert i sin etterforskning.

Relatert