Når kommer angriperne?

Har du ingen uvenner? Har du ingen som ønsker din virksomhet noe vondt? Ingen konkurrenter? Ingen illojale ansatte? Ikke det? Da trenger du ikke lese videre. Andre kan ta seg tid til å lese resten. Har du noen formening om hvem  dine  fiender er eller når de kommer? 

Før sommeren skrev jeg om «Dette må du ha kontroll på før ferien», jeg mente ikke at du kun måtte ha kontroll på trusselbildet, sårbarhetsbildet, risikobildet og trendbildet før ferien og så glemme det, du må ha kontroll på det hele tiden, mister du kontrollen må du ha en plan for hvordan du skal ta kontrollen tilbake.

I Telenor vurderer vi kontinuerlig trusselbildet og trusselaktørenes opptreden. Denne vurderingen er basert på norske og internasjonale åpne og ugraderte trusselvurderinger samt andre åpne kilder i tillegg til det Telenor som operatør selv ser. Når vi snakker om trussler så snakker vi  altså om ondsinnede villede handlinger.

De interne og de eksterne
Trusselaktørene kategoriseres ofte i to hovedgrupper; de interne og de eksterne. Det er sannsynlig korrekt å anta at det kan forekomme kombinasjoner her.

Interne aktører er ansatte og andre med legal adgang og tilgang til lokaler, informasjon og systemer som agerer bevisst på og, eller opptrer som ”nyttig idiot” for en ekstern aktør. Interne aktører kan derfor både agere på egne vegne og/eller som del av forskjellige typer grupperinger.

Eksterne aktører er myndighetsstyrte aktører, politiske grupperinger, hacktivister, organisert kriminalitet, leverandører, konkurrenter og nykommere på jakt etter ”heder og ære” som ønsker å få innpass på feil side av loven. Det kan være koblinger mellom to eller flere av disse grupperingene som utnytter hverandres evne.

Myndighetsstyrte aktører er representanter for fremmed (andre lands) etterretningstjeneste som sannsynlig ønsker å skaffe informasjon. Både teknisk, menneskelig og merkantil informasjon vil trolig være av interesse for disse.

Leverandører vil trolig være interessert i å innhente og bruke informasjon både for egen vinning og ovenfor andre kunder. I enkelte tilfeller er det trolig at leverandører agerer sammen med eller på vegne av myndighetsstyrte aktører.

Konkurrenter vil sannsynlig være interessert i å tilegne seg kunnskap om virksomheters forretning og forretningsplaner.

Politiske grupperinger, selvdefinerte anarkistiske miljøer og hacktivister vil sannsynlig benytte og utnytte infrastruktur for å oppnå politisk makt, demonstrere mot demokratisk valgte organer og demokratisk fattede vedtak.

Organisert kriminalitet og enkeltkriminelle jakter på penger og driver svindel. Det er sannsynlig at disse ønsker å oppnå økonomisk gevinst gjennom å misbruke tjenester. Dette vil sannsynlig fortsatt skje i form av angrep mot virksomheter og virksomheters kunder.

Nykommere på jakt etter ”heder og ære” er cyberkriminelle som ikke er blitt ansatt eller plukket opp av miljøer vil sannsynlig benytte legale virksomheters tjenester for å vise sin egen dyktighet.

Trusselaktørenes handlemåter
Trusselaktørene vil kunne benytte seg av en eller flere handlemåter for å oppnå sine mål.

Trusselaktørers handlemåter knyttet til fremtidige teknologiske muligheter vil avdekkes i fremtiden. Denne teknologien kan i dag være ikke-eksisterende, men det er likevel sannsynlig at den vil rette seg mot en eller flere av disse hovedgruppene av handlemåter:

  • Hindre bruk
  • Forme bruk
  • Inntrengning; show of force, tyveri av data og / eller penger
  • Lekkasje av stjålet informasjon / data
  • Manipulering av data

Handlemåter knyttet til kjent teknologi vil sannsynlig være:

  • DDoS-angrep mot virksomheter og virksomheters kunder.
  • Avansert phishing for å drive informasjonsuthenting.
  • Misbruk av virksomheters tjenester i vinnings hensikt (svindel)
  • Spionasje og industrispionasje der fysisk tilstedeværelse / inntrengning i virksomheters lokaler kombineres med teknologiske metoder.

Konsekvensene av trusselaktørenes aktivitet varierer fra skade på nasjonens sikkerhet til omdømmemessig tap, finansielt tap, nedetid og ustabil drift.

Virksomheter kan bli utsatt for svindel og påført økonomiske og omdømmemessig tap, miste egne data og egne kunders data.

Trusselbildet blir stadig mer komplekst både teknologisk og organisatorisk. Trusselaktørene opptrer mer og mer likt et lovlig forretningsmiljø med tilsvarende verdikjeder, og i flere tilfeller med tett kobling mot lovlig aktivitet. Dette kan mulig føre til at virksomheter og virksomheters kunder ubevisst er i forretningsmessig dialog med trusselaktører.

Enkelte trusselaktører ønsker sannsynlig å projisere politisk makt, spre ideologi og fortsette samfunnsdestabilisering ved å påvirke ”way of life” og samfunnsstrukturer, spesielt trolig ved å hindre, forsinke eller endre prengestrømmer.

I Telenor kaller vi det Security Intelligence – kall det hva du vil, men det er smart å kjenne sine motstandere, hva de kan, og når de kan finne på å ville volde deg skade.

Security Intelligence-hjulet viser ikke «ondsinnede» datoer eller hendelser, det viser imidlertid tider og hendelser i løpet av et år der det erfaringsmessig er eller er forventet å bli  stor uønsket aktivitet i cyberspace.