Trusselbildet

Trusselbildet danner en vesentlig del av grunnlaget for risikovurdering og arbeid med cybersikkerhet. Telenor støtter seg på både åpne og lukkede kilder i våre vurderinger. I år preger økt geopolitisk spenningsnivå, og krigen i Ukraina, utviklingen i trusselbildet.

Utdrag fra

Fokus 2022

Etterretningstjenesten

Myndighetene i både Russland og Kina benytter alle statens virkemidler for å understøtte statens mål. Dette omfatter alt fra militært press og økonomiske virkemidler til etterretningsoperasjoner, handelsavtaler, teknologiutvikling og påvirkning – det vi omtaler som sammensatt virkemiddelbruk. Bruken av sammensatte virkemidler gjør det utfordrende å skille ulovlig og uønsket aktivitet fra legitim virksomhet. Effekten av andre virkemidler forsterkes av trusselen om militær makt.

Ekspertisen og det teknologiske handlingsrommet til Russlands og Kinas etterretnings- og sikkerhetstjenester vokser og brukes aktivt. Dette er spesielt tydelig i det digitale rom. En rekke offentlige og private virksomheter har vært gjenstand for nettverksoperasjoner det siste året. I all hovedsak er det etterretningsaktivitet i form av kartlegging og innhenting som preger trusselbildet mot norske aktører i det digitale rom.

Norge er et attraktivt mål for russisk og kinesisk etterretning blant annet fordi vi er et NATO-land med utstrakt samarbeid med USA og fordi norsk forskning, teknologiutvikling og næringsliv er ledende på områder Russland og Kina selv forsøker å utvikle. Norges Arktis-politikk og posisjoner i FNs sikkerhetsråd gjør oss også til et attraktivt etterretningsmål.

Summen av hendelser det siste året illustrerer hvordan andre stater søker å få innsikt i norske aktørers holdninger, uttalelser og mulige politiske og strategiske beslutninger. Slik informasjon kan også benyttes til å påvirke politiske prosesser, organisasjoner, kommersielle selskap og enkeltpersoner gjennom informasjonsoperasjoner, pressmidler eller uoffisielle sanksjoner.

Kina har intensivert etterretningsinnhentingen mot vestlige politiske mål. Myndighetsorgan og andre virksomheter involvert i spørsmål som berører kinesiske interesser er prioriterte etterretningsmål. Det siste året har vi sett at Kina viser økende interesse for innsyn i norske politiske beslutningsprosesser, og at landet kan gjennomføre sofistikerte, målrettede operasjoner for å skaffe slik informasjon.

Utdrag fra

Nasjonal trusselvurdering 2022

Politiets sikkerhetstjeneste

Nye nettverksoperasjoner vil ramme norske mål i året som kommer. Virksomheter knyttet til forsvar, beredskap, politikkutforming eller teknologi hvor Norge er langt fremme, vil være særlig utsatt.

Norsk næringsliv og norske kunnskapsmiljøer vil oppleve fordekte anskaffelsesforsøk fra aktører involvert i militær modernisering og opprustning. Aktører knyttet til Russland, Kina, Iran og Pakistan vil representere en særskilt utfordring

Russiske etterretningsoffiserer vil fortsatt forsøke å rekruttere kilder og kontakter som har tilgang til informasjonen de søker.

Utdrag fra

Politiets trusselvurdering 2022

Politiet

Trusselbildet i det digitale rom blir stadig mer komplekst. Omfanget av kriminaliteten er stort. Økt digitalisering av både offentlig og privat sektor gir kriminelle og andre aktører større handlingsrom. Aktørene spenner fra enkeltpersoner til organiserte kriminelle og statlige aktører. Flere aktører har blitt dyktige til å skjule digitale spor. Dette vanskeliggjør avdekking og etterforskning av den kriminelle aktiviteten og identifisering av de som utfører den. De organiserte kriminelle aktørene som er identifisert, befinner seg i utlandet.

I 2020 og 2021 ble det avdekket flere omfattende leverandørkjedeangrep internasjonalt. Leverandørkjedeangrep innebærer at aktøren lykkes både i å kompromittere programvaren fra produsentene og systemer hos selskapenes kunder. Aktørene kan derfor få urettmessig tilgang til mange nettverk og systemer gjennom ett enkelt innbrudd.

Løsepengevirus rettet mot bedrifter og virksomheter anses som den største trusselen i det digitale rom. Dette begrunnes med en jevn økning i antall hendelser og mulighet for høy profitt, samt liten fare for identifisering og straffeforfølgelse. Det siste året har aktørene i økende grad benyttet dobbel utpressing. Det vil si at de stjeler data i tillegg til å kryptere, og truer med publisering.

Verktøy og tjenester som kan benyttes for å begå datakriminalitet kan kjøpes på det åpne eller det mørke nettet. Slike verktøy og tjenester øker gjennomføringsevnen til kriminelle aktører og fører til mer datakriminalitet. Det tilbys også opplæring i datakriminalitet. Noen aktører selger løsepengevirus og tilgang til kompromitterte bedriftsnettverk til mindre kompetente aktører, som igjen gjennomfører utpressingen.

Bedrifter og virksomheter med tidskritiske prosesser er sårbare mål. Løsepengevirus medfører økonomiske tap, men kan også gjøre at kritisk infrastruktur blir satt ut av funksjon.

Løsepengevirus medfører økonomiske tap, men kan også gjøre at kritisk infrastruktur blir satt ut av funksjon.

* Utdraget er gjengitt ordrett fra rapporten.

Telenors trusselvurdering

I Telenor baserer vi våre vurderinger på flere kilder av forskjellig karaktér, i inn- og utland. Her oppsummerer vi hovedtrekk fra vår samlede vurdering, samt forhold vi legger særlig vekt på i forhold til Telenor i Norge og våre kunder.

Det foregår hybride operasjoner, fremmed etterretning, spesielt russisk og kinesisk som Etterretningstjenesten og PST fremhever, ønsker å utnytte privat infrastruktur for å drive etterretnings-, påvirknings- og informasjonsoperasjoner mot mål i Norge.

Med den endrede sikkerhetspolitiske situasjonen i Europa etter Russlands angrep mot Ukraina er det en mye høyere grad av usikkerhet om russiske aktører er villige til å gjennomføre destruktive angrep mot mål i Norge.

Kriminell aktivitet i det digitale domenet fortsetter å øke. Kriminelle blir raskere til å omsette identifiserte sårbarheter til faktiske angrep. Samtidig videreutvikler avanserte kriminelle langsiktige operasjoner med inntrenging i It-infrastruktur.

et identifiseres stadig nye sårbarheter og utvikles ny skadevare brukt over nye angrepsvektorer. De mest avanserte aktørene avdekkes jevnlig å ha brukt ukjent skadevare mot ukjente sårbarheter, men det store volumet av angrep utnytter kjente sårbarheter

Svært skadelige angrep med krypteringsvirus eller uthenting av informasjon fulgt av utpressing vil fortsette å øke.

Angrep via IT-leveransekjeden vil fortsette.

Avanserte trusselaktører vil, mot et begrenset antall prioriterte mål, kunne bruke kombinasjoner av digitale, menneskelige og fysiske handlemåter for å oppnå sine intensjoner.

Utviklingen med noen utenlandske avanserte aktører som tilbyr cyberangrep som en kriminell tjeneste for salg gjør det vanskeligere å identifisere hvem som står bak angrep.

Avanserte aktørers ønske om å rekruttere innsideaktører er økende. Avanserte trusselaktører, som i tillegg til statlige også kan omfatte enkelte kriminelle nettverk, vil kunne bruke kombinasjoner av digitale, menneskelige og fysiske handlemåter for å oppnå sine intensjoner.

Som følge av Russlands krig mot Ukraina har hacktivisme internasjonalt igjen økt.

Sosiale medier fortsetter å øke i betydning, men også som en arena for kriminell virksomhet. Mediene brukes til kartlegging, påvirkning, bedragerier og for å gi inngangsverdier til hacking

Ekstreme grupperinger av alle politiske valører er avhengig av kommunikasjon, men utgjør ikke en stor trussel i cyberspace.

For Telenor legger vi videre til grunn at:

De mest avanserte trusselaktørene kan komme til å gjennomføre målrettede operasjoner mot Telenor for å skaffe informasjon om oss som totalforsvarsaktør. Aktørene kan operere i det digitale domenet, men også nå frem ved å rette seg mot mennesker i vår organisasjon.

Endret sikkerhetspolitisk situasjon har medført noe høyere grad av usikkerhet om russiske aktører kan forsøke å skade vår infrastruktur.

Aktiviteten fra statlige aktører, kriminelle aktører, kriminelle aktører som utnyttes av statsaktører og til dels hacktivist-miljøer vil være høy. En rekke trusselaktører, både avanserte og mindre avanserte, vil utnytte Telenor-operert infrastruktur sin aktivitet. Disse målene vil ligge i Norge, men avanserte trusselaktører kan også føre operasjoner via mål og infrastruktur i Norge, mot mål i andre land.

Angrep med krypteringsvirus fulgt av utpressing utgjør en særlig skadelig form for angrep som kan rettes mot Telenor. Denne typen angrep vil fortsetter å øke. Bruk av DDoS-angrep fortsetter også, og noen ganger vil også denne typen angrep skje under krav om løsepenger.

Angrep via leverandørkjeder kan være særlig krevende å detektere og utgjør en angrepsform som er relevant for, og har stort skadepotensiale for, Telenor. Telenor er også et relevant mål for videre leverandørkjede-angrep mot våre kunder.

Aktører knyttet til den russiske stat har i 2022 utvist kapasitet til å gjennomføre nettverksbaserte angrep mot og over systemer for satellittkommunikasjon. Noen få andre statlige aktører må ventes å ha samme kapasiteten. Minst ett av disse har blitt gjennomført med bruk av destruktiv skadevare som setter terminalen varig ut av spill / krever fysisk respons til hver terminal. En slik type angrep kan tenkes utøvd også mot annen distribuert kommunikasjonsinfrastruktur enn satellittkommunikasjon.

Telenor vil bli gjenstand for et høyt antall nettbaserte forsøk på å bedra selskapet for penger. Det store flertallet vil være simple forsøk, men vi kan komme til å bli utsatt på avanserte forsøk, inkludert forsøk støtet av Deep fake metoder.

Sosiale medier kan brukes til kartlegging av Telenors ansatte og som inngangsvektor for angrep.

For våre kunder legger vi til grunn at:

Fremmed etterretning, særlig russiske og kinesiske som Etterretningstjenesten og PST fremhever, vil ved hjelp av avanserte metoder forsøke å trenge inn hos kunder. Inntrengningene kan ha som formål å hente ut informasjon om sikkerhetspolitiske forhold, spesifikk teknologi, oppbygging av infrastruktur eller samfunnsviktige funksjoner.

Kriminelle grupper vil forsøke å gjennomføre angrep med krypteringsvirus eller uthenting av sensitiv informasjon og påfølgende krav om løsepenger. Slike angrep kan rettes mot mange forskjellige typer kunder. Tilsvarende vil DDoS-angrep med utpressingskrav også komme. Antallet angrep med påfølgende utpressing må ventes å fortsette å øke.

Endret sikkerhetspolitisk situasjon har medført høyere grad av usikkerhet om russiske aktører kan komme til å skade digital infrastruktur hos noen av våre kunder. Deler av denne infrastrukturen understøtter samfunnskritiske funksjoner.

Avanserte trusselaktører vil, mot et begrenset antall prioriterte mål blant våre kunder, kunne bruke kombinasjoner av digitale, menneskelige og fysiske handlemåter for å oppnå sine intensjoner.

Den bredere kundemassen vil utsettes for en stadig strøm av enklere forsøk på inntrenging eller bedragerier. Kompetente kriminelle har økt sin kapasitet betraktelig ved innføring av automatiserte løsninger for bedrageriforsøk. Antallet forsøk på digitalt baserte bedragerier vil øke videre. En del av kundemassen vil bli utsatt for avanserte langsiktige forsøk på bedrageri, eksempelvis Business E-mail compromise bedrageri (BEC-bedrageri).

Angrep mot skyløsninger vil øke, både mot leverandører av skytjenester og mot kunders side av skyløsninger.

Under Russlands angrep på Ukraina så vi et sjeldent forsøk på angrep med skadevare spesielt tilpasset industriell kontrollsystemer (ICS). Denne typen angrep er sjeldne, men med en kraftig økning i bruk av Internet of Things (IoT) og økt eksponering av OT-infrastruktur for digitalisering av virksomhetsprosesser, vil antallet angrep mot ICS / IoT / OT øke. Kriminelle miljøer vil sannsynlig også på dette området gjenbruke, etterlikne og tilpasse metoder fra statlige aktører.

Kunders sosiale mediekonti kan bli brukt til kartlegging og til bedrageri, men også til første steg av hacking og inntrengning. Mange virksomheter er avhengige av sosiale medier for kommunikasjon mot kunder/brukere. Vi må vente at en del forsøk på overtakelse av slike konti og i noen tilfeller vil dette være som del av utpressing.

Angrep mot den nye økonomien i form av desentralisert finans (DeFi) eller forvaltning av verdier basert på blokkjedeteknologi, øker. Dette er både bedragerier rettet mot investorer og forskjellige typer angrep mot It-systemer for å ta kontroll over kryptoverdier. Kunder som engasjere seg i DeFi vil være spesielt utsatt for bedrageriforsøk og tyverier av DeFi verdier.

Mange virksomheter er avhengige av sosiale medier for kommunikasjon mot kunder/ brukere. Vi må vente at en del forsøk på overtakelse av slike konti og i noen tilfeller vil dette være som del av utpressing.