Jeg var til stede da NSM overleverte sitt Sikkerhetsfaglige råd til Forsvarsdepartementet og Justis- og beredskapsdepartementet (1).
Digi.no (2) viser til at NRK stilte spørsmål ved at NSM ønsket en utvidelse av VDI systemet, et nettverk av sensorer som NSM bruker til å fange opp hendelser i noen av virksomhetene de samarbeider med.
På direkte spørsmål svarte direktøren i NSM, Kjetil Nilsen, at det ikke var snakk om å ta opp all datatrafikk, men noen ytterst få datapakker knyttet til IDS-signaturen. Problemet er bare det at det som FD skriver i sitt nye lovforslag er noe helt annet (3). Lovforslaget er helt tydelig på at det vil være behov for å ta opp innholdsdata. Det er heller ikke lurt å la være å ta opp innholdsdata dersom man faktisk ønsker å kartlegge omstendighetene rundt en hendelse.
Det hender ganske ofte at en håndteringsenhet får informasjon om en hendelse som fant sted for noe tid siden. Dette kan for eksempel være at man får vite om en kampanje hvor en trusselaktør har sendt ut såkalte phishing-eposter. I et slikt tilfelle vil vi vite om våre ansatte har vært utsatt for kampanjen. Siden dette er ny informasjon, har vi ikke forberedt noen logger på å fange det opp, så vi må lete i historiske data. Hvis vi ikke på forhånd har bestemt oss for å ta opp all datatrafikk, alle eposter eller i det minste alle epost-headere... ja da finner vi rett og slett ikke ut av det.
I andre tilfeller kan vår virksomhet være blant de første som oppdager en slik kampanje. Det er ganske vanlig at en slik kampanje består av ulike faser, der trusselaktøren bruker en ganske stor infrastruktur i gjennomføringen av angrepene. Kanskje han kontrollerer en webside som våre ansatte har for vane å besøke. Når de så gjør det, sendes de videre til en annen del av hans infrastruktur hvor selve angrepskoden leveres. Etter at infiltrasjonen er vellykket er det andre kommando- og kontroll servere som styrer innhenting av informasjon eller oppdatering av angrepskoden. Over tid kan mange forskjellige IP-adresser være involvert.
For å forstå trusselaktørens taktikk og prosedyrer må en nitidig lete gjennom store mengder datatrafikk for å sette sammen et bilde. Det sier seg selv at for å få til dette, må man faktisk ha tilgang til all datatrafikk, inkludert innholdet.
Jeg regner med at Nilsens svar til NRK var basert på en misforståelse. Det er nemlig en god grunn til at lovforslaget er så tydelig på at opptak av innholdsdata er nødvendig. Imidlertid er det slik at det ikke bare er NSM som har behov for dette. Alle virksomheter som har behov for å beskytte seg i det digitale rom må ha hjemmel til å gjøre det samme.
Det er vel ingen som tror at NSM skal gjøre dette for alle virksomheter i Norge?
(1) https://norsis.no/2015/09/sikkerhetsfaglig-rad/
(2) http://www.digi.no/juss_og_samfunn/2015/09/11/foreslar-mer-overvaking-for-a-verne-mot-dataangrep
(3) https://www.regjeringen.no/no/dokumenter/horing---forslag-til-endringer-i-sikkerhetsloven/id2412260/
Ingen kommentarer:
Legg inn en kommentar