E-tjenesten på hemmelig øvelse: – Forberedt på angrep mot det norske strømnettet

ØSTLANDET (VG) I en flott villa på hemmelig sted, sitter et titalls utviklere og sårbarhetsforskere fra Etterretningstjenesten bøyd over sine bærbare datamaskiner. De har fått i oppdrag å stanse et pågående angrep fra en fremmed aktør som har tatt seg inn i det norske strømnettet.

Publisert: Publisert:

– Noen saboterer norsk energisektor og forhindrer oss i å bruke infrastrukturen vi trenger for å drifte strømnettet vårt, sier “Pål”. Personnavnene i denne saken er fiktive for å beskytte de ansattes identitet.

Når sårbar kritisk norsk infrastruktur står i fare for å slutte å virke, kan hundretusener miste strømmen om angriperen bestemmer seg for det. 

HACKER: «Lise» er en av utviklerne som jobber med cyber i Etterretningstjenesten.

Forsøker å sabotere

Det hele er en øvelse som skal gjøre den hemmelige tjenesten bedre i stand til å motvirke denne type angrep. De øver også på å bryte seg inn i angriperens eget nettverk gjennom en såkalt offensiv cyberoperasjon. De norske hackerne fra E-tjenesten skal finne ut hvem angriperne er, hva de gjør og hva de ønsker å gjøre mot det norske strømnettet.

– Det er ikke slik at vi stormer fram med brask og bram. Aller helst skal ikke motstanderen merke at vi er etter dem, sier “Stine”, kontorleder for en av gruppene som jobber med cyberoperasjoner for Etterretningstjenesten. 

FØLGER MED: Ved Felles cyberkoordineringssenter (FCKS) på Langkaia i Oslo sitter NSM, E-tjenesten, PST og Kripos samlet for å best håndtere dataangrep mot Norge.

IP-adresser som kan knyttes til angriperne i øvelsen, har de fått fra Felles cyberkoordineringssenter (FCKS). Det er en samlokalisering der Nasjonal sikkerhetsmyndighet (NSM), E-tjenesten, Politiets sikkerhetstjeneste (PST) og Kripos sammen håndterer Norges respons på cyberangrep. 

En del av oppgaven er å nøytralisere angrepet. En annen viktig del er å identifisere hvem angriperne er.

– En cyberoperasjon består av mange deler og vi har en plan fra start som tar høyde for det meste. Vi planlegger operasjonene etter hva som er målet. Virkemidlene våre avhenger av om målet er innhenting av informasjon, eller varsle om nye trusler, sier “Stine”.

Dagsaktuell øvelse

Angriperne i øvelsen er ikke knyttet til noe konkret land, men i en reell situasjon er dette viktig informasjon å finne ut av. 

– Hvilke metoder, teknikker og fremgangsmåter som er brukt, kan være med på å avsløre hvem angriperne er, forteller hun. 

En måte Etterretningstjenesten jobber på for å avsløre angriperne og deres intensjoner på, er ved å finne og utnytte digitale sårbarheter i trusselaktørens eget nettverk.

– Det fine med IT og programmering er at det finnes veldig mye åpenåpenÅpen kildekode betyr at kodingen i programmet er tilgjengelig for alle å se. kildekode tilgjengelig. Si at vi finner en kjent sårbarhet hos trusselaktøren som det allerede finnes en exploitexploitEn exploit er et sikkerhetshull som kan brukes av hackere for å bryte seg inn i datamaskiner og nettverk. for. Men denne exploiten fungerer kanskje bare én av tre ganger. Da kan vi gjøre våre egne endringer i koden for å gjøre den mer stabil, sier “Fredrik”.

ARBEID: Det er egentlig satt av 12 timer til øvelsen hver dag, men flere av deltagerne satt til langt utover kvelden.

Lag A i øvelsen har funnet en sårbarhet hos motstanderen og kopiert infrastrukturen til trusselaktøren som har kommet seg inn på strømnettet. Slik kan senioringeniørene teste ut forskjellige angrepsmuligheter, før de går løs på infrastrukturen til motstanderen. 

– Vi har laget en bakdør som kan vise oss når noen logger på eller forsøker å sende data ut. I tillegg har vi satt opp en kontroll-server som kan ta imot data for vår del og som gjør at vi kan vi følge med på dem over tid, sier “Lise”.

Øvelsen varer over flere dager fra ni om morgenen til ni på kvelden. Deltagerne har ekspertise innenfor forskjellige nisjer og programmeringskunnskaper.

– Det er flere som har valgt å sitte utover kveldene, for det er lett å bli revet med når det står på, sier “Fredrik”. 

– Hvor realistisk er denne øvelsen opp mot hva dere jobber med i det daglige?

– Vi har laget øvelsen slik fordi vi må øve på noe vi tenker er relevant, men det er ikke slik at vi sitter på olje- og gassrørledninger som er utsatt for cyberangrep nå. Vi har denne øvelsen fordi det er med på å bygge viktig kompetanse, sier “Stine”.

– Men det er mye her som minner om oppdrag vi gjør i det daglige operative arbeidet, utdyper “Fredrik”.

HOVEDKVARTER: Etterretningstjenestens hackere jobber vanligvis fra sikre lokaler på Lutvann i Oslo.

Når E-tjenesten har kommet seg inn på trusselaktørens nettverk, begynner jobben med å finne steder å plassere ut egne bakdører de kan bruke mot angriperne.

– Det er om å gjøre å få et så godt fotfeste inne på angripernes nettverk som mulig. Får vi for eksempel satt opp to innganger og trusselaktøren bare oppdager den ene, så kan vi leve godt med det. Eventuelt kan vi gå for å få ut mest mulig informasjon på kortest mulig tid, men da er risikoen for å bli oppdaget mye større, sier “Fredrik”. 

– Drømmescenarioet er jo begge deler, klare å holde oss skjult samtidig som vi får hentet ut all informasjonen vi trenger, sier “Magnus”. 

Nasjonal sikkerhetsmyndighet (NSM) skriver i sin årsrapport for 2022 at krigsutbruddet i Ukraina har vist hvor viktig fokus på digital sikkerhet er. De understreker at Ukrainas systematiske arbeid med å bedre cybersikkerheten sannsynligvis vært en viktig årsak til at man ennå ikke har sett de store destruktive cyberoperasjonene i Ukraina etter Russlands invasjon. 

– Jeg føler jobben vi gjør, er en del av et veldig viktig samfunnsoppdrag. Etter krigen har det bare blitt enda viktigere, avslutter “Fredrik”. 

Publisert:
Gå til e24.no