IT-ekspert: Ikke på det nivået Stortinget burde ha vaert på
I løpet av noen uker ble Stortinget og stortingsrepresentanter utsatt for to ulike, målrettede dataangrep. – Sikkerheten har ikke vaert god nok, sier IT-veteran Torgeir Waterhouse.
Imidten av februar ble stortingsrepresentant Michael Tetzschner (H), en av Stortingets fremste Kina-kritikere, frastjålet minst 4000 e-poster. Noen uker senere, i mars, ble Stortinget igjen utsatt for et dataangrep. Det viste seg å vaere et innbrudd i Stortingets e-postsystemer.
Regjeringen overrasket i sommer med å anklage Kina for å stå bak innbruddet.
– Sakene er under etterforskning. Begge sakene dreier seg om utnyttelse av sårbarheter i Microsofts systemer. Vi avventer nå resultatet av etterforskningen, sier Marianne Andreassen, Stortingets direktør.
E-tjenesten: Et utsatt mål. Nettverksoperasjonene mot Stortinget ikke er unike når det gjelder fremgangsmåte, skriver Etterretningstjenesten i en e-post til Aftenposten.
«Det er heller ikke overraskende at Stortinget er et mål. Operasjonene viser at demokratiske institusjoner er utsatte mål for etterretningsoperasjoner», skriver de.
Dataangrepet mot Michael Tetzschner omfatter rundt 4000 e-poster med vedlegg, som spenner tilbake i tid til 2009. Han har nå tatt kontakt med alle sine kontakter og varslet om at deres kommunikasjon med ham er hacket.
– Et angrep på demokratiet. Torger Waterhouse mener de gjentatte sikkerhetsbruddene i Stortingets datasystemer må føre til kritiske spørsmål om datasikkerheten.
– Det er ingen tvil om at Stortinget ikke var på det nivået Stortinget burde ha vaert på, sier han. Waterhouse er veteran i ITbransjen og jobber nå som konsulent i selskapet Otte.
– Et vellykket angrep på Stortinget er et vellykket angrep på demokratiet. De
t er en skade for demokratiet, uavhengig av om angriperen ønsket det eller ikke, sier han.
Waterhouse sier at han ikke vil fordele skyld og understreker at det er umulig å vaere helt sikret mot angrep. Han mener likevel at gjentatte, vellykkede angrep på Stortinget viser at sikkerheten ikke har vaert god nok.
Han er spesielt kritisk til arbeidet i tiden mellom de to angrepene i februar og i mars i år. Begge angrepene utnyttet den samme svakheten i Microsofts systemer.
– Ett av de viktigste spørsmålene er hva som skjedde i de ukene. Det kan vaere mange grunner til at det tok tid å sikre systemene, men uansett kan man konkludere med at sikkerheten ikke har vaert god nok, sier Waterhouse.
Avdekket etter «mistenkelig aktivitet». I midten av februar varslet Nasjonalt cybersikkerhetssenter (NCSC) Stortinget om at det var mistenkelig aktivitet, opplyser Bente Hoff, avdelingsdirektør for NCSC i Nasjonal sikkerhetsmyndighet (NSM).
Det var dette som senere skulle avdekke at informasjon fra Tetzschners e-postkonto som ble hentet ut, av det som mistenkes å vaere kinesiske hackere.
– Vi har vaert kjent med hendelsen siden vi varslet Stortinget i midten av februar. Vi har bistått Stortinget med å avdekke og varsle om angrepet, med teknisk analyse og har gitt råd om risikoreduserende tiltak.
Hva slags tiltak som er blitt iverksatt, ønsker ikke NSM å svare på, men viser til Stortinget.
– Har dere oppfattet at Stortinget har tatt datasikkerheten på alvor?
– Stortinget har igangsatt en evaluering av egen digital sikkerhet og håndtering av hendelsene, og vi oppfatter at datasikkerheten tas på alvor.
– Har Norge som mål. PST bekreftet onsdag at sikkerhetstjenesten etterforsker angrepet mot Michael Tetzschner. Aftenposten erfarer at angrepet blir etterforsket i sammenheng med det allerede kjente dataangrepet i mars.
Norske myndigheter mener at angrepet i mars ble gjennomført av en gruppering som opererer i Kina. Det er ingen tvil om at kinesiske og russiske grupper har Norge som mål, påpeker både PST og E-tjenesten.
– Det ene motivet for operasjonene kan vaere å sjekke styrken i det digitale forsvarsverket vårt. Det andre er å hente informasjon for å kunne bruke den i en påvirkningsoperasjon eller i en klassisk etterretningsoperasjon, sier Mahmoud Faramand.
Han er listetopp for Høyre i Telemark, har bakgrunn som etterretningsoffiser og jobber nå med datasikkerhet som direktør i rådgivningsselskapet BDO.
– Tar IT-sikkerhet på største alvor. Stortingsdirektør Andreassen ønsker ikke å svare på hva slags grep som ble tatt etter angrepet mot Tetzschner, men sier følgende:
– Et IT-angrep som dette medfører et stort og omfattende analyse- og tiltaksarbeid. I denne saken har vi hatt et tett samarbeid med sikkerhetsmyndighetene.
– Tar Stortinget datasikkerhet på alvor?
– Ja, Stortingets administrasjon tar ITsikkerhet på største alvor. Det jobbes kontinuerlig med å analysere situasjonen og iverksette nødvendige tiltak, svarer Andreassen.
❝ Det er ingen tvil om at Stortinget ikke var på det nivået Stortinget burde ha vaert på
Torgeir Waterhouse, ekspert på ITsikkerhet