Håndtering av IKT-sikkerhetshendelsene i Helse Sør-Øst og fylkesmannsembetene – en vurdering

Abstract

I dag er de aller fleste samfunnsfunksjoner, virksomheter og individer i større eller mindre grad avhengig av digitale tjenester. Anvendelsen av IKT gir oss mulighet til å effektivisere prosesser og tjenester som brukes i hverdagen, men medfører også økt risiko for å bli utsatt for uønskede hendelser i det digitale rom. Slike hendelser kan være alt fra mindre svindelforsøk til omfattende dataangrep gjennomført av avanserte trusselaktører, med hensikt å samle informasjon, sabotere tjenesteproduksjon eller ramme styringsevnen til sentrale virksomheter eller myndigheter. I 2018 ble både helsesektoren og fylkesmannsembetene rammet av IKT-angrep. Hendelsene var omfattende og krevde at mange aktører bidro i håndteringen. Forsvarets forskningsinstitutt (FFI) har fått i oppdrag av Justis- og beredskapsdepartementet å evaluere håndteringen av hendelsene. Evalueringen skal kartlegge hendelsesforløp og involverte aktører, ta utgangspunkt i samfunnssikkerhetsinstruksen og rammeverk for håndtering av IKT-sikkerhetshendelser, og anbefale videre utvikling av sistnevnte. Til sist skal FFI komme med læringspunkter og anbefalinger til hva som bør øves på i øvelse Digital 2020. For å løse oppdraget har FFI i all hovedsak basert seg på intervjuer med de involverte aktørene i kombinasjon med dokumentstudier og erfaringen forskerne har innenfor krisehåndtering og IKT. Begge hendelsene framstår som datainnbrudd hvor avanserte trusselaktører har vært ute etter informasjon, og forsøkt å operere skjult. Hendelsene ble oppdaget relativt raskt, og hendelsen som rammet helsesektoren hadde betydelig større omfang når det gjelder både rammede aktører og systemer enn hendelsen som rammet fylkesmannsembetene. Funnene viser at få aktører var forberedt på hendelser av et slikt omfang og hadde i liten grad oversikt over egne verdier, sårbarheter og systemer. Samfunnssikkerhetsinstruksen retter seg mot departementene, mens rammeverket retter seg mot aktørene NSM NorCERT, sektorvise responsmiljø og virksomheter. FFI finner ingen uoverensstemmelser mellom dokumentene. Imidlertid gir disse et lite helhetlig bilde av aktørene som er relevante for håndteringen av IKT-sikkerhetshendelser. Særlig sentrale samordningsaktører som Direktoratet for samfunnssikkerhet og beredskap (DSB) savnes. Instruksen og rammeverket gir et godt utgangspunkt for å få en felles forståelse av fagbegreper, enkelte roller og ansvar, men løser ikke det FFI peker på som den største svakheten når det gjelder IKT-sikkerhetshendelser – nemlig forebygging, forberedelser og oversikt over egne verdier, sårbarheter og systemer. Det bør vurderes å utarbeide veiledere på dette punktet for henholdsvis små, mellomstore og større virksomheter. Øvelse Digital 2020 skal etter planen ikke øve det tekniske personellet. FFI mener likevel at den tekniske dimensjonen bør ivaretas slik at sammenhengen mellom det som skjer på teknisk nivå og videre beslutninger knyttet til håndtering blir belyst og øvd. Deltakerne bør utfordres på informasjonsdeling – både når det gjelder ulike typer informasjon og mottakergrupper. I tillegg bør det legges til rette for at operative konsekvenser for øvingsdeltakerne vurderes og at ressursallokering på sentralt nivå, SRM-nivå og virksomhetsnivå øves.

Today, most societal functions, enterprises and individuals are to some degree dependent on digital services. The use of ICT enables us to improve much used processes and services, but it also increases the risk of being affected by malicious cyber incidents. Such incidents may range from small fraud attempts to comprehensive cyber attacks by advanced threat actors. The rationale may for instance be to obtain information, sabotage services or impact the governance ability of enterprises or governments. In 2018, both the health sector and the county governors were hit by ICT incidents. The incidents were extensive, requiring the contributions of many actors in response. The Norwegian Defence Research Establishment (FFI) has been given the task by the Ministry of Justice and Public Security to evaluate the response to both incidents. The evaluation should map the course of events and the response actors involved, make use of the national Instructions for the Ministries’ work with Societal Safety and the Framework for management of cyber incidents, and make recommendations for the development of the latter. Finally, FFI shall identify lessons learned and make recommendations for exercise Digital 2020. In order to solve this task, FFI has conducted interviews with involved actors, studied relevant documents and utilized the experience of researchers of crisis management and ICT. The incidents appear to be data breaches with advanced threat actors covertly seeking information. They were both discovered relatively quickly. The incident in the health sector was considerably larger in terms of the actors and size of the systems hit. Findings from both incidents show that few actors where prepared for events of such magnitude, and had limited overview of their own values, vulnerabilities and systems. Instructions for the Ministries' work with civil protection and emergency preparedness is directed towards ministries, while the Framework is directed towards NSM NorCERT, sectorwide response entities (SRMs) and enterprises. There are no inconsistencies in these documents, but they do not on their own give the whole picture of the actors involved in national crisis response (including larger ICT incidents). Significant actors like the Directorate for Civil Protection (DSB) and the County Governor are not included in the Framework, which they should be. The Instruction and the Framework give a good starting point for a common understanding of technical terms, roles and responsibilities. They do not solve what FFI considers the greatest weakness in ICT incidents – prevention, preparedness and overview of own values, vulnerabilities and systems. Guidance on this for small and medium-sized, and larger enterprises, respectively, should be considered. The technical dimension should be taken into account during exercise Digital 2020. This holds true even if technical personnel is not participating. All participants should be challenged on sharing different types of information with different target audiences, ensure that operational consequences for the exercising actors are assessed, and that resource allocation are exercised for the strategic level, the SRM level and the enterprise level.