Opplever at fremmede stater prøver å ta seg inn

— Trusselbildet er utfordrende og statlige hackere har økt sin trusselaktivitet rettet mot universitetene og høgskolene.

Det heter det i den ferske rapporten «Informasjonssikkerhet og personvern i høyere utdanning og forskning», som er gitt ut av Direktoratet for høyere utdanning og kompetanse (HK-dir).

Økt hackeraktivitet og flere datainnbrudd er konklusjonen, og HK-dir skriver i en nyhetssak at risikoen for brudd på informasjonssikkerheten og krenkelser av personvernet er omtrent på samme nivå som i 2021. Dette skyldes flere forhold, blant annet at det generelle trusselbildet i samfunnet er skjerpet og at statlige hackergrupper synes å vie norsk UH-sektor økende oppmerksomhet, inkludert deler av sektoren hvor slik aktivitet ikke har vært observert tidligere.

Frykter løsepengevirus

— Vi pleier å si at dersom vi ikke ser det, så eksisterer det ikke, sier Stian Husemoen, digital sikkerhetssjef hos NTNU.

Norges største universitet har et stort fotavtrykk på nett, og opplever et stadig økende antall angrep. 1500 i året er tallet nå, og de siste fem årene har det vært en økning på tjue prosent år for år.

— En del av det vi opplever er det vi kaller phising-forsøk, altså svindel. Det vi frykter mest er kryptovirus. Da kommer noen seg inn, krypterer innhold og krever løsepengevirus - gjerne store summer, sier Husemoen.

I HK-dirs rapport er løsepengevirus plassert på første plass på risikolisten. Deretter kommer statlig kunnskapsspionasje, kompromitterte brukerkontoer og utilskiktede tekniske eller menneskelige feil og uhell.

— Faren for de tre første er stor.

les også:

Vil innføre lisens­plikt for kunnskaps­overføring: — Verden har blitt et farligere sted

Fokus på cybertrusler

29. juni skjedde det igjen: Da var det et stort angrep som rammet blant andre bank-ID og flere aviser. I romjulen var Amedias aviser utsatt for et stort angrep, og både Stortinget og Nav har vært under angrep. Flere av disse angrepene kan spores til fremmede makter.

En russisk hackergruppe, Killnet, har tatt ansvar for det siste angrepet. Regjeringen plasserte også tidlig ansvaret der.

– Alt tyder på at angrepet kommer fra et russisk kriminelt miljø, sa justisminister Emilie Enger Mehl (Sp) onsdag kveld, ifølge VG.

Også statsminister Jonas Gahr Støre tok opp angrepet på Nato-toppmøte i Madrid. Ifølge VG er medlemslandene i Nato enige om å satse mer på å bygge et sterkere forsvar mot cybertrusler og hybride trusler.

– Cybertrusselen er det ingen grunn til å spille ned. Den må vi leve med og bli kjent med, sier Støre til VG.

Flere ser statlige hackergrupper

I 2021 rapporterte seks institusjoner om bekreftede saker gjeldende statlig hacking, det vil si brudd eller hendelser hvor kjente statlige hackergrupper var involvert, melder HK-dir.

Enkelte institusjoner opplyste om jevnlige forsøk på datainntrengning fra statlige hackere. Det ble også opplyst om at nye sikringstiltak hadde blitt innført som følge av inntrengingsforsøkene, blant annet totrinnsinnlogging. Det ble i tillegg rapportert om rekognoseringsaktivitet fra statlige hackergrupper. Da kartlegges institusjonene, trolig med tanke på å utnytte sårbarheter i datamaskiner for deretter å ta seg videre inn i datanettverket.

— Vi har indikasjoner på at hackergrupper med statlig støtte har hatt fokus på UiT. Inntrykket vårt er at statlig støttede aksjoner er mer rettet mot informasjonssanking og etterretning, mens angrep fra kriminelle grupperinger er mer rettet mot økonomisk gevinst, for eksempel ved hjelp av løsepengevirus, skriver Stig Ørsje, IT-direktør ved UiT Norges arktiske universitet (UiT), i en epost til Khrono.

Også NTNU opplever statlig hacking.

— Vi ser aktivitet, det kan jeg si. Da ser vi gjerne at det er aktivitet, altså at det blir gjort en kartlegging, så blir det stille en stund, før noen kommer tilbake, sier Husemoen.

les også:

Mangler planer for å håndtere økende antall dataangrep og sikkerhetsavvik

Ap vil ha flere

Nå vil Arbeiderpartiet utdanne flere som kan jobbe med cybersikkerhet. Langtidsplanen for forskning og høgere utdanning presenteres til høsten.

— Jeg kan ikke si noe nå om antall studieplasser som kommer eller hvor disse kommer. Men de angrepene vi nå har sett viser at cybersikkerhet er riktig og viktig å satse på, sier Lise Selnes (Ap), som sitter i utdannings- og forskningskomiteen på Stortinget.

Selnes trekker frem miljøet på NTNU Gjøvik:

— Hacking, som de jobber med, er vanskelig for mange, meg selv inkludert, å forstå. Men de som ikke vil oss vel er sluere i sine angrep, og det handler om at vi må være i forkant. Både offentlige og private bedrifter og institusjoner trenger kompetanse og gode system, og det er viktig at vi legger til rette for flere studieplasser men også gir rom for god, banebrytende forskning.

Totrinns pålogging

UiT er blant utdanningsinstitusjonene som har vært utsatt for angrep. I 2020 ble både politiet og Kunnskapsdepartementet varslet om et angrep. Også Norges Handelshøyskole og Høgskolen i Østfold er på listen over dem som har vært angrepet.

— Blir dere angrepet fordi dere er et universitet eller fordi dere er en stor arbeidsplass med et stort fotavtrykk på nett?

— Vår vurdering er at UiT primært er interessant for angripere på grunn av den strategiske plasseringen i nordområdene. De siste årenes åpne trusselvurderinger fra PST underbygger dette inntrykket - de peker på trusler mot akademia og nordområdene, sier Ørsje.

Han sier at det pågår et kontinuerlig sikkerhetsarbeid, og at innføringen av totrinns-pålogging er et effektivt tiltak.

— Tiltakene er ikke bare av teknisk art, vi gjør også organisatoriske og menneskelige tiltak. Et viktig tiltak er en god sikkerhetskultur i hele organisasjonen, så alle ansatte og studenter er oppmerksomme på tematikken og aktuelle trusler, sier IT-direktøren.

Khrono har tidligere skrevet at NTNU skal gjøre sikkerhetsinvesteringer for 60 millioner kroner.

— Nå er vi i gang med implementering. Tofaktor-pålogging er det viktigste tiltaket. Vi hadde til en hver tid 700-800 brukerkontoer på avveie, nå er tallet nede i en tidel av dette, sier Husemoen.

les også:

Bodil ble invitert til Kina. Det var trolig et forsøk på sosial hacking

Må ha en plan dersom angrep kommer

Sju øvrige virksomheter – forvaltningsorganer og selskaper – omfattes av Kunnskapsdepartementets styringsmodell for informasjonssikkerhet og personvern. Disse er også omtalt i HK-dirs rapport, og blant dem er Norges Forskningsråd, Nokut og De nasjonale forskningsetiske komiteene.

Disse rapporterer ikke om statlig hacking, men de rapporterer om forsøk på datainntrenging.

Heller ikke Lånekassen eller Samordna opptak melder om slike typer angrep.

— HK-dir jobber tett med Sikts Cybersikkerhetssenter for forskning og utdanning. Sikts sikkerhetsløsninger sammen med våre egne systemer bidrar til å redusere risikoen for tjenestenektangrep, sier Tomm-Erik Johannessen, fagdirektør for digitalisering og informasjonssikkerhet i HK-dir.

— Hva er det verste scenariet for dere?

— Det er dersom alt går ned, slik at opptak eller andre av våre tjenester blir rammet. Dersom en eller flere tjenester «går ned» og forblir nede over lengre tid, så vil det kunne få konsekvenser. Derfor må vi ha planer for hvordan dette skal håndteres, sier Johannessen.

— Påloggingsforsøk fra utenforstående og phishingkampanjer (digital snoking eller «fisking» etter sensitiv informasjon journ. anm.) er noe vi opplever jevnlig, har Tommy Molnes, leder for informasjonssikkerhet i Lånekassen, tidligere sagt til Khrono.

Det siste store angrepet mot Lånekassen var i 2016, men ifølge Molnes er det stadig noen som prøver å bryte barrierene.

Endringslogg: Uninett ble en del av Sikt fra 01.01.22, og i sitat fra Johannessen er dette endret.