Digitale angrep– kan skipsfarten også bli rammet?

I løpet av julen 2021 ble flere norske virksomheter rammet av digitale angrep. Før jul varslet Nasjonal Sikkerhetsmyndighet og deres Nasjonale Cybersikkerhetssenter (NCSC) om at denne tiden på året er høysesong for cyberangrep – og fikk rett.

I tillegg til angrepene mot Nortura, Nordland Fylkeskommune og Amedia, ble Nordic Choice Hotels også rammet. Hotelkjeden var nylig ute i media og delte sine erfaringer. Nordic Choice Hotels har bekreftet at angrepet var av typen løsepengevirus. 

 

Spørsmålet det er nærliggende å stille for vår næring, er om norske rederier kunne blitt rammet på liknende vis. Lars Benjamin Vold, leder av Norwegian Maritime Cyber Resilience Centre (NORMA Cyber), sier de ikke har fått rapporter i løpet av den siste måneden om angrep mot norske rederier eller andre i maritim næring som har fått like store konsekvenser som hos selskapene nevnt over 

 

 -I vårt Security Operations Centre (SOC) monitoreres medlemmers systemer kontinuerlig. Vi har observert forsøk på angrep flere ganger – også i løpet av julen, men har klart å avverge tidlig, sier Vold. - Vi så veldig målrettede phishingforsøk med ondsinnede linker som dessverre ble trykket på, mot ett medlem. Vår SOC oppdaget dette raskt og vi jobbet sammen med medlemmet og deres IT-leverandør for å håndtere trusselen og hindre videre spredning. Dette gjorde at vi avverget angrepet i en tidlig faseforklarer Vold. 

 

Han sier videre at taktikkene og metodene som ble brukt ved dette angrepet samsvarer med det Nordic Choice Hotels har rapportert var de første stegene i angrepet mot dem. Det dreier seg om angrep med skadevaren Qakbot eller Qbot. Det er for tidlig å si om utfallet kunne vært det samme for vårt medlem dersom angrepet ikke hadde blitt avverget tidlig.  Årsaken er at denne typen angrep blir benyttet av mange ulike trusselaktører for å få initielt fotfeste i infrastrukturen i en virksomhet.  NORMA har delt informasjon med blant annet NCSC og Kripos sitt NC3 senter og er i dialog med andre relevante aktører for å undersøke dette videre 

 

NORMA har også delt en rapport med alle medlemmer som beskriver Qakbot kampanjen, tekniske indikatorer, samt råd om hvordan man kan sikre seg mot denne typen aktivitet. Her oppfordres alle medlemmer til å sjekke sine systemer etter spor av liknende aktivitet og melde tilbake dersom de har behov for assistanse. 

 

Detaljene rundt angrepene mot Nortura og Amedia er ikke tilgjengelige en, men rapportering fra NCSC og andre tyder på at det er kriminelle aktører som står bak. De to angrepene er angivelig gjennomført av to ulike grupperI begge tilfellene har angrepene ført til nedetid på kritiske systemer, enten fordi systemene ble direkte rammet, eller fordi de ble tatt «offline» som et mottiltak mot angrepet. 

 

 Norske rederier kan rammes  

Vold mener det er svært sannsynlig at norske rederier eller andre deler av maritim næring kan rammes på samme måte. Basert på NORMAs erfaring og kjennskap til hendelsene er det sannsynlig at slike angrep leder til løsepengevirus og datatyveri om de ikke blir oppdaget og stoppet i tide.  

 

-Vår stående vurdering er at trusselen fra løsepengevirusgrupper mot norske rederier og maritim næring er høy, og det har den vært siden vi økte trusselen fra moderat nivå i juni 2021, sier Vold. Høyt trusselnivå vil si at vi mener det er svært sannsynlig at maritime organisasjoner kan bli forsøkt rammet av dette i tiden fremover, forklarer Vold.

 

Vi baserer denne vurderingen på antallet angrep mot maritim næring, både i inn –og utland, det siste året. Våre medlemmer opererer i en bransje med lange verdikjeder - ofte lokalisert over hele verden, noe som også bidrar til å øke angrepsflaten, sier han. Trusselen fra løsepengevirus har vært høy i en periode allerede, og angrep som dette er forventet. Grupperingene har en tendens til å gjennomføre større offensiver rundt høytider, ferier og helger. Det skyldes at responstiden fra den rammede virksomheten kan være lengre i slike perioder. Her finnes det naturlig nok også unntak fra regelenFaren er på ingen måte over, advarer Vold.  – Forsøk på denne typen angrep kan vi forvente å se mere av i tiden fremover. 

 

Kritiske systemer mindre utsatt  

Så langt har ikke NORMA sett eksempler på at kritiske systemer ombord på fartøy er rammet av løsepengevirus. NORMA distribuerte en rapport i desember hvor trusselen fra løsepengevirus mot Operasjonell Teknologi (OT) – deriblant kritiske fartøyssystemer, ble vurdert.  Det korte svaret er at vi per nå ikke ser at kriminelle trusselaktører går inn for å spesifikt ramme OT-systemer, sier Vold. - Aktørene foretrekker den «forretningsmodellen» som de vet fungerer, nemlig å angripe mer klassiske IT-systemerDog skal det sies at dette er forutsatt at OT-systemene er segmentert og satt opp på en tilstrekkelig god måte. Det er også viktig å påpeke at angrep mot IT-systemer kan påvirke fartøyers operasjoner indirekte og føre til at man f.eks ikke får seilt fordi man mangler tilgang til nødvendige IT-systemer enten på land eller om bord, forklarer han.  

 

Utviklingen i forhold til mulige angrep mot kritiske fartøyssystemer er noe av det NORMA fokuserer mye på. Situasjonen blir monitorert fortløpende og NORMA varsler medlemmer dersom slik aktivitet blir observert. 

 

Ingen «silver bullet»  

Innenfor cyber sikkerhet finnes det ingen «silver bullet» for å sikre virksomheter mot angrep. Helhetlig og kontinuerlig sikkerhetsarbeid er det som gjelder. Målet er å få på plass et forsvar «i dybden» med godt konfigurerte systemer med flere barrierer som kan stoppe et angrep -Dersom man som leder ikke har kommet ordentlig i gang med eller engasjert seg i dette arbeidet enda, vil jeg anbefale følgende, sier Vold.

 

-Sett deg ned sammen med andre ledere i virksomheten og gjennomfør en vurdering av de digitale verdiene deres. Det engelske begrepet for en slik prosess er beskrivende nok: «business impact assessment». Dette er ganske enkelt en brainstorming for å identifisere hvilke kritiske digitale systemer man har, og hvilken konsekvens det kan få dersom virksomhetene blir rammet av et angrep, sier Vold.  Han påpeker at definerte konsekvenser vil gi retning til det videre sikkerhetsarbeidet for å minimere sannsynligheten for at hendelser skal inntreffe. Vold sier det er fort gjort å hoppe bukk over denne prosessen og isteden går rett på sjekklister over tiltak. Problemet med en slik fremgangsmåte er at tiltakene da kan være mindre effektive enn man ønsker.  

 

NORMA bidrar 

 NORMA bidrar med å hjelpe medlemmer med å få fart på sikkerhetsarbeidet eller kommer med innspill til de som er godt i gang Generelt følger NORMA med på situasjonsbildet fortløpende og varsler enten enkeltmedlemmer eller alle medlemmer gjennom rapporter, briefinger og webinarer NORMA har også en kontinuerlig kriseberedskap i tilfelle medlemmer trenger støtte i forbindelse med digitale hendelser. På sikt vil det bli lagt opp til å samle medlemmer til seminarer og workshopper for utveksling av erfaringer og kunnskap. 

 

I juni i fjor ble SOC-tjenesten lansert. Tilbudet innebærer kontinuerlig monitorering og deteksjon av systemene til medlemmer som ønsker å delta i løsningen. Etter hvert som flere medlemmer blir med i denne ordningen gir det stadig mer unik innsikt i hva som rører seg av trusler mot norsk maritim næring. - Her har vi allerede kommet langt i forhold til andre maritime nasjoner, og dette mener jeg kan bli helt unikt også på verdensbasis. Ingen andre har klart å samle den innsikten på et sted så langt, avslutter Vold.  

 

Om NORMA Cyber 

Norges Rederiforbund etablerte Norwegian Maritime Cyber Resilience Centre (NORMA Cyber) sammen med Den Norske Krigsforsikring for Skib (DNK) 1. januar 2021. Senteret har nå 64 betalende medlemmer med mer enn 1 500 fartøyer representert, og opererer på non-for-profit basis. For å kvalifisere for medlemskap i NORMA må virksomheten være del av norsk maritim næring 

Medlemskapet består av flere ulike tjenester: 

  • Kontinuerlig monitorering av situasjonsbildet inkludert  

  • Ekstern monitorering av det mørke nettet og andre kilder - varsling til enkeltmedlemmer 

  • Fortløpende rapportering om digitale trusler og sårbarheter  

  • Webinarer, seminarer og andre fora for deling av erfaringer 

  • 24/7/365 beredskap for hendelse- og krisehåndtering 

  • 24/7/365 monitorering og deteksjon for systemer til medlemmer som ønsker det fra NORMA sitt Security Operations Centre (SOC) 

 

NORMA sitt Security Operations Centre (SOC) monitorerer nå systemer på om lag 70 fartøyer og 3 000 landansatte for enkelte medlemmer. For mer informasjon se www.normacyber.no