I sin risikorapport for 2025, ikke uventet kalt «Risiko 2025», kommer Nasjonal Sikkerhetsmyndighet (NSM) med en advarsel mot en ny angrepsmetode mot IT-systemer. Angrepsmetoden lar angriperne bevege seg rundt i kritiske systemer uten at noen merker det.
De hemmelige tjenestene vi har, Etterretningstjenesten, PST og NSM, slapp tidligere denne uken sine risikorapporter innen sitt fagområde. Vanligvis er det Etterretningstjenesten og PST som får oppmerksomhet rundt sine rapporter.
Den tredje tjenesten, NSM, lever i så henseende et mer ubemerket liv. Det blir sjelden de store oppslag rundt deres risikorapporter. Det måtte en skandale til, der tjenesten hadde brukt det vi kan kalle utradisjonelle metoder for å finansiere et nytt hovedkvarter, før det ble oppstyr rundt denne tjenesten. Det er synd, for det NSM driver med burde i aller høyeste grad ha vår fulle oppmerksomhet.
For å forklare det i all korthet, så er NSMs hovedoppgave å bedre Norges evne til å beskytte seg mot spionasje, sabotasje, terror og sammensatte trusler.
Gjennom rådgivning, kontrollaktiviteter, tilsyn, testing og forskning bidrar NSM til at virksomheter sikrer sivil og militær informasjon, systemer, objekter og infrastruktur med betydning for nasjonal sikkerhet. NSM er ansvarlig for et nasjonalt varslingssystem (VDI) som skal avdekke og varsle om cyberoperasjoner mot digital infrastruktur. NSM har også et nasjonalt ansvar for å koordinere håndteringen av alvorlige cyberoperasjoner. Nasjonalt cybersikkerhetssenter (NCSC) er en del av NSM.
Ny angrepsmetode
I sin vurdering av hva 2025 vil bringe på cyber-fronten, trekker tjenesten frem en helt ny metode som brukes i angrep mot IT-systemer. Denne metoden kan brukes både til å snoke i systemene, eller til å utføre sabotasje.
Amerikanske myndigheter delte i 2024 at kinesiske, statssponsede aktører hadde tatt seg inn i datasystemene til kritisk infrastruktur i sektorer som energi, transport og vannforsyning. Myndighetene advarte om at aktørene forsøkte å posisjonere seg i systemene for å kunne angripe på et senere tidspunkt, for eksempel i tilfelle konflikt med USA. Teknikkene er sofistikerte og krever betydelig kompetanse. Samtidig er de vanskelige å oppdage, og trusselaktørene kan derfor oppholde seg i nettverkene over tid.
Aktøren Volt Typhoon skal ha klart å opprettholde tilgang til et nettverk over minst fem år ved å bruke såkalte Living-off-the-Land-teknikker. Teknikkene bruker programvarer og funksjoner allerede tilgjengelig på systemet for å gjennomføre ondsinnede handlinger. Angripere bruker teknikkene til å sanke inn verktøy på målets systemer, slik som komponenter i operativsystem eller installerte programvarer.
I sin risikoanalyse legger NSM til grunn at også andre, avanserte trusselaktører, har tilsvarende kapasiteter på IT-fronten, og følgelig utgjør en trussel mot samfunnskritiske systemer.
