LEDER:
Hva personsøkere bør lære oss om verdikjeder
Vi forbinder cybersikkerhet med brannmurer, lenker i epost-meldinger og skjermer som er låst av løsepengevirus. Det er ikke den største trusselen vi lever med.
Sikring av informasjonssystemene er jevnlig tema i nyhetsbildet. En hel industri jobber med å presse virksomheter for penger ved hjelp av løsepengevirus. Vi ser mange angrep, og det snakkes mye om det.
Sikkerhetsselskapene kappes om å være best til å oppdage trusler fra cyber-rommet, avdekke og hindre angrep, samt bistå virksomheter med å komme opp og stå igjen.
Angrepet mot personsøkerne til Hizbollah er et eksempel på en trussel vi ikke snakker så mye om. Der suksess handler om ikke å synes.
Uten at de visste det gikk medlemmer av Hizbollah rundt som vandrende bomber. Hver morgen kledde de intetanende på seg personsøkere infisert med noen kodelinjer for selve utløsermekanismen. Den satt fienden på.
Kodelinjene i personsøkerne representerer et svært avansert cyberangrep. Som bør være til ettertanke. I vår stadig mer automatiserte verden, er det ikke behov for eksplosiver for å slå ut infrastruktur. Det kan holde med å stenge ventiler, skru av motorer eller påvirke sensorer. Hele prosessanlegg, eller sentrale samfunnsfunksjoner kan settes ut av funksjon for kortere eller lengre perioder. Lenge nok for andre formål.
Da er det verdt å merke seg at de infiserte kodelinjene på personsøkerne ikke kom fra internett eller lurte seg gjennom en brannmur. De kom i en fysisk pakke fra en avsender mottakerne stolte på. Inni et produkt fra en leverandør. Som igjen inneholdt komponenter fra underleverandører.
Vi lever i en verden med høyt spesialiserte produsenter, og komplekse verdikjeder. Kontroll på verdikjedene er en av de sentrale bekymringene i risikovurderingen til Nasjonal Sikkerhetsmyndighet, og noe EU forsøker å adressere gjennom NIS2-direktivet.
Snart henger alt sammen med alt. Fra sensorer og ventiler på gulvet i prosessanlegget, til analyseverktøyene toppledelsen bruker. Skal vi sikre oss mot ondsinnet kode, må kontrollen og oversikten over verdikjeden på alle deler av infrastrukturen bli bedre.
Det må være den viktigste lærdommen fra hele saken med personsøkerne. Den viser at både advarslene fra NSM og virkemidlene i NIS2 må tas på alvor. Det er mer enn ubehagelig å tenke på at det kanskje ligger noe latent og venter på et signal allerede.