CYBERANGREP
Løsepengevirus rammer mange. Også norsk UH-sektor siste halvår
Ifølge Sikt er det flere som har blitt utsatt for løsepengevirus i UH-sektoren siste halvår, men med gode sikkerhetstiltak har det ordnet seg.
Da British Library ble hacket i oktober i fjor, gikk omtrent all IT-drift ned for telling. Det kom etter hvert fram at det var snakk om løsepengevirus, altså et virus som hackerne hadde infiltrert systemene til biblioteket med og så krevde penger for å gi eierne tilgangen tilbake.
Denne uken åpner biblioteket igjen, som du kunne lese i Khrono lørdag, men hvordan står det til her i Norge?
Herbjørn Andresen er professor ved Institutt for arkiv-, bibliotek- og informasjonsfag ved OsloMet. Han sier at dersom man trekker paralleller mellom British Library og UH-bibliotek i Norge så er det én kompliserende faktor man må tenke på.
— Det er at det er organisatorisk to spor. Du har Sikt, som er tjenesteleverandøren til kunnskapssektoren, og de har en del bibliotekkataloger, søketjenester som Oria og BIBSYS, pensumsystemet Leganto, som er felles infrastruktur for alle universitetene. Og så har du selve institusjonen der bibliotekene ligger, forteller Andresen.
Har vært vellykkede angrep
Bjørn Kopperud er leder for Cybersikkerhetssenter for forskning og utdanning (eduCSC) hos Sikt.
— Vi har hatt løsepengevirus-angrep i UH-sektoren i Norge siste halve året, men de har blitt reddet av backup og det har ikke hatt konsekvenser. Men det er første gang på mine to år at det har vært vellykkede løsepengevirus. Så det skjer, men det har ikke skjedd i stort omfang.
Han påpeker at disse hendelsene ikke har skjedd på det sentralt driftede IT-utstyret.
— Hendelsene skjer ofte i randsonene eller skygge-IT, som folk har satt opp selv. Ting som ikke er anskaffet og sanksjonert av sentral IT, men en forsker som har trengt noe og skaffet det selv. Autonomien er jo stor hos virksomhetene, påpeker Kopperud.
Hvorfor biblioteket?
Det er kanskje ikke så konvensjonelt, det å be et stort bibliotek om å betale et løsepengeviruskrav. Slik fungerer det: en hacker kommer seg inn i et system. De låser det for virksomheten, og ber om penger for å låse det opp. Når de er inne i systemet kan de forsyne seg av data og informasjon.
Den generelle anbefalingen er at man ikke betaler kravet. Noe av grunnen er å ikke belønne angriperne, som da får større kraft til å finansiere fremtidige angrep. Det andre er at hackerne kan be om flere betalinger, eller likevel publisere dataene på nett.
Det har store konsekvenser å bli utsatt for løsepengevirus: for British Library betydde det at driften var lammet i nesten tre måneder. Men når anbefalingen er å ikke betale, og disse er et statlig eid bibliotek, hvorfor angripe dem i det hele tatt?
— Det er kanskje litt overraskende, for de burde jo visst at British Library ikke ville betale et sånt beløp. Da kommer trusselen om å selge dataene deres til andre, men det er lite trolig at bibliotekdataene er særlig attraktive for noen andre. Det handler da kanskje mer om å drive reklame for egen slagkraft og vise hva man får til, sier Andresen.
Store, komplekse systemer
— Hvem håndterer hendelser i UH — Sikt eller bibliotekene selv?
— Det er nok institusjonene selv som vil håndtere sikkerhetshendelser, med bistand fra Cybersikkerhetssenter for forskning og utdanning i Sikt hvis de ønsker det. Og det vil nok de fleste, mener Kopperud.
De største organisasjonene har store komplekse miljøer, både organisasjonsmessig og IT-systemmessig.
— Det gir noen utfordringer, i at det ikke er så lett å drifte alt likt. Vi erfarer jo det at drives profesjonelt når man ser på sentral IT, men når organisasjonene blir såpass store kan randsonene bli et sted der det finnes systemer som ikke er like godt beskyttet, sier Kopperud.
Dette kan være for eksempel forskere som installerer egne systemer uten å gå innom IT-driften sentralt, hvis de trenger IT-løsninger til arbeidet sitt.
— Er det sannsynlig at en lignende hendelse kan skje i Norge?
— Ja, jeg tror det kan skje i Norge, og med hvilken som helst virksomhet i kunnskapssektoren — også universitetsbibliotekene. Kunnskapssektoren er spesielt utsatt fordi vi har en kultur for å være åpen. Balansegangen mellom høy grad av åpenhet, men samtidig være sikker nok, er ofte krevende, mener han.
Så hva gjøres for å unngå at det skjer?
— Det gjøres mye godt sikkerhetsarbeid i kunnskapssektoren. Man har blitt veldig profesjonelle i måten sikkerhetsarbeidet drives i virksomhetene. Man har gode ledere for IT-sikkerhet og gode sikringssystemer på maskiner og komponenter som er under sentral administrasjon. Det er godt samarbeid på tvers av organisasjonene.
Kopperud peker til blant annet tillitsnettverk med operative sikkerhetseksperter, og CISO-er som jobber mer med compliance og papirarbeidet. CISO står for Chief Information Security Officer. Compliance betyr at virksomheter jobber med å sikre at de opptrer riktig med tanke på gjeldende lover og forskrifter, her med tanke på sikkerhet.
— Vi ser at vi er blitt mye flinkere den siste tida på å dele informasjonen på tvers når det skjer en hendelse, så da forteller vi hverandre om det. Det er noe vi er veldig glad for og opptatt av å legge til rette for, avslutter Kopperud.