Åpenhet om it-sikkerhet er ikke så enkelt som det høres ut
LEDER: Stortinget velger å holde erfaringene og tiltakene for seg selv.
Den 1. september 2020 sprakk nyheten om at Stortinget hadde vært utsatt for et omfattende dataangrep. Epostsystemet hadde blitt kompromittert, og data hadde blitt hentet ut. I tidlig desember meldte Politiets sikkerhetstjeneste PST at etterforskningen var avsluttet, og at analysen pekte mot at innbruddet hadde blitt utført av russiske hackergrupper med tilknytning til Russlands militære etterretningstjeneste GRU. I tillegg opplyste PST at angrepet hadde blitt gjennomført ved hjelp av passordtesting – «password brute forcing», som gjorde at angriperne fikk tilgang til et mindre antall kontoer, der informasjon – også sensitiv – ble stjålet. Så ble det stille.
Vi i Computerworld tenkte at nå har det gått så lang tid at resten av landets virksomheter skulle kunne lære litt praktisk og konkret om hvordan sikre sine egne epostsystemer bedre, ved å lære av Stortingets erfaringer og tiltak etter innbruddet. Slik blir det ikke. Svaret vi fikk fra Stortingets kommunikasjonsavdeling lyder slik:
«Stortinget takker for tilbudet om å bidra med lærdom til IT-ekspertise. Vi må imidlertid si nei til å stille opp og begrunner dette med hensynet til IT-sikkerhet. I møte med pressen har vi vært åpne så langt det har latt seg gjøre. I det nåværende trusselbildet må vi være avventende med å dele ytterligere opparbeidet kunnskap på dette området med offentligheten».
Dette ble også antydet i PST-meldingen i desember, der de skrev at de ikke kunne gå inn på mer tekniske detaljer, på grunn av graderings- og sensitivitetshensyn.
Dette er i og for seg akseptabelt og fullt forståelig, særlig med tanke på at vi er i et valgår, og at de siste årene har det har vært mange indikasjoner fra flere land om forsøk på digital påvirkning av demokratiske valg. Men samtidig kunne vi så seint som i august 2020 lese et blogginnlegg hos Nasjonal sikkerhetsmyndighet NSM, en annen EOS-tjeneste i Norge, der de oppfordret norske virksomheter til å offentliggjøre det når de har vært utsatt for dataangrep. Blant annet kan vi lese at «Skal vi møte digitale sikkerhetstrusler på en god måte, er vi avhengig at det deles informasjon og kunnskap» i NSM-bloggen.
Dette er åpenbart et vanskelig tema. Vi ser helt klart forskjell på tiltak som handler om Rikets sikkerhet og at noen sølle millioner står på spill for ett eller annet norsk selskap. Samtidig vet vi at ryggmargsrefleksen til sikkerhetstjenestene i Norge er hemmelighold ... for sikkerhets skyld.
I tilfellet med Stortinget har landets fremste eksperter har vært inne og bidratt til å sikre it-systemene slik at fjorårets datainnbrudd ikke skal kunne gjentas. Dette er tiltak som svært mange andre virksomheter hadde hatt stor nytte av å kjenne til. Vi håper at dette i det minste kommer til de som deltar i Nasjonalt Cybersikkerhetssenter NCSC, der NSM er vertskap. Men ut i den brede offentligheten skal altså denne informasjonen ikke, tydeligvis.