Trusselvurdering

Truslene mot Telenor som leverandør av kritisk infrastruktur har økt de siste årene. Geopolitisk spenning og usikkerhet, større mengder desinformasjon og hybrid krigføring er bare noen av temaene vi må forholde oss til. Her er Telenors åpne trusselvurdering for 2024.

Trusselsituasjonen i og mot Norge har endret seg mye de siste årene. Som et resultat har også trusselen mot Telenor og telekom økt.

Telekom-selskaper er attraktive mål for trusselaktører, ettersom de fleste selskaper som opererer i dette domenet har tilgang på en omfattende mengde sensitiv data. I tillegg er de en digital inngangsport til andre målgrupper og bransjer, og har en større angrepsflate enn i de fleste andre bransjer. Enkelte selskaper innen telekom vil også eie, drifte og sikre nasjonal kritisk infrastruktur som de fleste er avhengig av i dagliglivet.

Telenor er Norges største digitale tjenesteleverandør innenfor innholds-, telekommunikasjon og datatjenester. Dette øker også trusselen mot Telenor, både gjennom symbolverdien av et angrep og gjennom våre kundeforhold.

Vår åpne trusselvurdering har en helhetlig tilnærming til Telenor Norges sikkerhetsutfordringer. Vi ser på trusselaktørers intensjoner mot Telenors kunder, enten det er privatkunder, bedriftskunder, virksomheter eller nasjonale myndigheter. I dette ligger det også en anerkjennelse av hvor viktig det er å forstå verdiene kundene våre besitter og som Telenor tar del i å beskytte.

Telenor Norge baserer seg i stor grad på vurderinger fra nasjonale myndigheter. Dette gjelder både Norges sikkerhetssituasjon generelt og spesifikke trusler rettet mot telekommunikasjonsbransjen og Telenor Norge.

En manglende evne til å lese trusselbildet og iverksette tilstrekkelige sikkerhetstiltak, vil kunne påvirke både Telenor og samfunnet vårt. For Telenor Norge, som eier og drifter kritisk infrastruktur, vil en alvorlig sikkerhetshendelse også kunne gi svært alvorlige konsekvenser for Norge. Vi legger derfor vekt på å kontinuerlig vurdere og oppdatere vår trusselforståelse.

En forverret sikkerhetssituasjon

Økt geopolitisk spenning fortsetter å påvirke dagens situasjon. Trusselbildet vil kunne endre seg raskt og være vanskelig å forutsi – nettopp denne usikkerheten er noe vi må lære å håndtere. Dette krever god beredskap, oppdatert situasjonsforståelse og gjennomtenkte løsninger.

Sikkerhetssituasjonen blir nå beskrevet som farligere enn for kun ett år siden. Først og fremst handler dette om Russland og usikkerheten knyttet til sikkerhetssituasjonen i Europa. Hvorvidt Russland vil øke sin militære oppbygging de neste årene og hvorvidt de vinner krigen i Ukraina, vil være avgjørende for trusselbildet i Norge. Dette påvirker direkte hvordan vi jobber med sikkerhet i Telenor Norge. Sikkerheten i Telenor gjelder ikke bare vår bedrift og våre kunder. At den er ivaretatt er også en forutsetning for at de fleste digitale tjenester i landet fungerer i enhver situasjon. Det er derfor særdeles viktig at dette prioriteres, gitt dagens sikkerhetsbilde.

Norge fortsetter å oppgradere sin nasjonale infrastruktur for å stå imot økte digitale trusler. Telenors innsats for å sikre både privat og offentlig sektor spiller en kritisk rolle i denne sammenhengen. I takt med utviklingen av trusselbildet, styrkes samarbeidet innen nordisk forsvar og sikkerhet. Dette gjøres også innen privat næringsliv. Målet er å kunne bidra med robuste kommunikasjonsnettverk tilpasset dagens situasjon. Den skjerpede trusselen mot kritisk infrastruktur kan påvirke oss både direkte og indirekte. De gjensidige avhengighetene i kritisk infrastruktur i Norge er store. Utfall hos Telenor vil direkte påvirke svært mange andre samfunnskritiske tjenester og funksjoner. På samme måte vil større utfall hos andre leverandører av kritisk infrastruktur, for eksempel innen kraftbransjen, ha påvirkning for vår drift. Vår robusthet er viktigere enn noensinne – ikke bare for Telenor, men for hele samfunnet.

2024 preges av en fortsatt økende global usikkerhet i det digitale domenet, med stater som aktivt gjennomfører cyberoperasjoner for å fremme nasjonale interesser. Veksten i geopolitiske spenninger, spesielt mellom stormaktene, skaper et komplekst og dynamisk trusselbilde. Angrep fra statssponsede aktører, som tidligere var målrettet mot spesifikke strategiske mål, blir stadig mer varierte og omfattende. Med den teknologiske utviklingen følger også nye muligheter for trusselaktører, og dermed flere områder som krever sikkerhetstiltak. Vi ser at både statlige og ikke-statlige trusselaktører blir raskere til å benytte avansert teknologi til sin fordel, og er mer målrettede i sine forsøk. Å raskt kunne tilpasse seg endringer i trusselbildet er derfor viktigere enn noensinne.

De siste årene har vi ikke bare sett samfunnsendringer som påvirker forutsetningene for trusselbildet, men også at trusselaktørenes handlingsrom, risikovilje og evne er i endring. Dette har også betydning for hvordan økt digitalisering og teknologisk utvikling utnyttes.

Vi ser en økning av ressurssterke, opportunistiske trusselaktører i det digitale domenet som er i stand til raskt å endre taktikk og justere sine metoder for å skreddersy angrep mot vår bedrift og våre kunder. Kriminelle aktører med finansielle mål fortsetter å utnytte mulighetene som ligger i samfunnsendringer og teknologiutvikling.

De store endringene i det geopolitiske landskapet kan også føre til at forsyningslinjer må endres fort, blir mer uoversiktlige eller at man må endre underleverandører raskt. Dette kan utgjøre en sikkerhetsrisiko. Konfliktnivået er økende i Midtøsten og deler av Asia. Regionale konflikter kan fort påvirke forsyningssikkerheten. Dette kan ha betydning for tilgangen til spesialisert teknologi. For eksempel i form av tilgjengelighet av varer på løpende kontrakt i andre deler av verden, samt økt leveransetid der handelsruter forlenges og forsinkes. En stødig og robust forsyningskjede blir både vanskeligere – og viktigere – å opprettholde.

Å raskt kunne tilpasse seg endringer i trusselbildet er derfor viktigere enn noensinne.

Finansiell trygghet i en usikker verden

Tekst: DNB

Finansielle tjenester er grunnleggende for samfunnet. Eksempelvis er det å kunne gjennomføre landets forpliktelser globalt, det at befolkningen har økonomiske midler til å kjøpe mat og medisiner i hverdagen og det å få betalt for tjenester man gjør, essensielt for verdenssamfunnet.

I dag er disse tjenestene i stor grad digitale, og det er ikke et alternativ å gå tilbake til gammeldagse metoder. Derfor er robusthet og motstandskraft en av de viktigste hjørnesteinene i finanssektoren, og DNB er den viktigste støttespilleren for dette her i Norge. Krigen i Ukraina har lært oss at selv ekstreme situasjoner løses best med digitale alternativer. Samfunnet er i dag avhengig av at digitale basisfunksjoner fungerer i kriser og krig.

Dette har dessverre blitt høyaktuelt de siste årene med økt global uro. Likevel er fortsatt faren for cyberangrep og økonomisk kriminalitet finansnæringens høyeste trussel. Angrepene og kriminaliteten øker og behovet for godt samarbeid mellom næringslivet og det offentlige er helt essensielt hvis vi skal lykkes i å skape finansiell trygghet i en usikker verden.

Endrede spilleregler – hybrid krigføring

Endringene vi nå ser i Europa påvirker sikkerhetsarbeidet og prioriteringer. Hybride trusler er mer aktuelt nå enn noensinne. Det mange har oppfattet som teoretiske begrep som «hybrid krigføring» eller «gråsonetaktikker», inngår nå i sikkerhetsvurderinger med tilhørende tiltak for alle som hittil ikke har forholdt seg til dette.

Sikkerhetstruende hendelser som er designet til å se ut som tilforlatelige feil – for eksempel sabotasje som framstår som feil på utstyr med ukjent årsak – er noe vi forventer å se mer av i tiden fremover. Dette ser man i økende grad også i Europa, ofte knyttet til kritisk infrastruktur. Det har vært en rekke mistenkelige hendelser som involverer fysisk sabotasje av kritisk infrastruktur i Europa i 2023 og 2024, som da kutting av kommunikasjonskabler i Tyskland og Frankrike forårsaket betydelige forstyrrelser. Disse handlingene anses gjerne som advarsler eller gjengjeldelser mot land som støtter Ukraina. Infrastruktur som rørledninger og undersjøiske kabler, er sårbar for fysisk sabotasje. Russland har tidligere vist vilje til å gjennomføre slike operasjoner for å destabilisere regionen og sende politiske signaler til Vesten.

For å kunne identifisere hva som er hybride trusler er det viktig å følge med på hva som er utenfor normalbildet, også relatert til frekvens og konsekvens. Dette er spesielt viktig i Nordland, Troms og Finnmark, og på Svalbard, Jan Mayen og Bjørnøya. Vi følger også med på endringer i normalbildet i resten av Norge. Mange av våre kunder og leverandører er spredt utover landet, og flere av disse har svært viktige funksjoner knyttet til samfunnsoppdrag. En ytterligere eskalering av sikkerhetssituasjonen i Europa vil trolig øke trusselen for at sabotasje (enten fysisk eller logisk) kan ramme Telenor Norge direkte eller indirekte. Denne usikkerheten må vi håndtere med resiliens, robuste systemer, god deteksjon og beredskapstankegang.

Militær og politisk signalering er utenrikspolitiske pressmidler. Trusselaktørene gir hint om hvilke kapabiliteter de er i stand til å benytte og utfører handlinger for å fremsette en uuttalt trussel. Dette er også brukt for å skape frykt og usikkerhet. Målet er å påvirke politisk beslutningstaking og opinion, uten å måtte benytte militære virkemidler på en slik måte at det kan utløse krig. Både signalering hvor Telenor er et mål, og signalering som påvirker Telenor indirekte, er mer sannsynlig nå enn tidligere.

Russisktilknyttede cyberaktører har i økende grad utført målrettede angrep mot europeisk infrastruktur siden krigen i Ukraina startet. Disse angrepene fokuserer ofte på kritisk infrastruktur og offentlige institusjoner, og har gjerne en sterkere politisk dimensjon enn tidligere. Der hvor tjenestenektangrep (DDoS) er benyttet som angrep, blir det i denne sammenheng ofte benyttet av aktører omtalt som «hacktivister». Slike koordinerte DDoS-angrep har også forekommet i Norge, og blir ofte satt i sammenheng med aktivitet eller politiske beslutninger som Russland motsetter seg. Andre mål har vært selskaper som bidrar aktivt til å støtte ukrainsk side i krigen.

Sikkerhetstruende hendelser som er designet til å se ut som tilforlatelige feil – for eksempel sabotasje som framstår som feil på utstyr med ukjent årsak – er noe vi forventer å se mer av i tiden fremover.

Det strategisk viktige nord

For enkelte bedrifter som opererer i hele Norge, som Telenor Norge, er det nødvendig å differensiere mellom de forskjellige regionene i landet. Vi i Telenor støtter oss i stor grad på de helhetlige og nasjonale vurderingene som de nordiske etterretnings- og sikkerhetstjenestene legger frem i sine årlige, ugraderte trusselvurderinger. Vi har også et særlig fokus på våre mest utsatte regioner.

For oss er det særdeles viktig å være observante på lokale forhold som kan spille inn på tjenestene vi leverer. Gitt sikkerhetssituasjonen vi nå opplever, og myndighetenes advarsler om hvilke sektorer i samfunnet som er mest trusselutsatt, har vi et ekstra fokus på kunder hvor dette treffer – enten det er i vestlige deler av Norge med sin olje- og gassvirksomhet – eller i nordområdene som er mer påvirket av interaksjon med Russland enn noe annet sted i Norge.

nord — FOTO: NIGEL KILLEEN / GETTYIMAGES

Telenor har en aktiv tilstedeværelse i arktiske strøk. Dette innebærer at vi har et ekstra behov for å vurdere sikkerhet, beredskap og trusselanalyse – med et spesielt fokus på Nordland, Troms, Finnmark, Svalbard, Jan Mayen og Bjørnøya. At sikkerhetssituasjonen her er mer knyttet til hva som skjer med våre naboland, er hevet over enhver tvil. Dette oppleves i det daglige for Telenor, og er den tilbakemeldingen vi får i dialog med lokale myndigheter.

De arktiske områdene har ikke bare klimaforhold som krever særlig robuste tjenester og oppfølging, de er også mer utsatt for sikkerhetspolitiske spenninger. Dette krever en ekstra årvåkenhet. I en tid hvor infrastruktur i Europa er mer utsatt enn tidligere, og hvor spesielt Russland vurderes å utgjøre en hybrid fare, har vi særskilt fokus på hvordan egen infrastruktur er knyttet opp mot annen kritisk infrastruktur. Gjensidige avhengigheter krever beredskap. Både Russland og (i økende grad) Kina er viktige aktører i nordområdene.

Kommunikasjon er vitalt for å kunne drive krisehåndtering og vil ved en sikkerhetspolitisk krise være svært kritisk å opprettholde.

På Svalbard står Telenor i en særstilling som en av de største, viktigste og lengst etablerte bedriftene. Vår posisjon og vår drift, vil trolig være av høy interesse for andre land som også har tilstedeværelse her eller som ønsker å etablere seg i regionen. Kli- maendringene gjør at isen smelter fortere, og nye sjøveier åpnes. Det øker både militær og sivil trafikk i nordområdene. Arktiske strøk har tidligere blitt vurdert som strategisk viktige for blant andre Russland, og det er god grunn til å anta at sikkerhetssituasjonen har forsterket betydningen av denne regionen. Økt militær tilstedeværelse både fra allierte stater og fra Russland, fører til at dette området vil oppleve en mer spent sikkerhetssituasjon.

Vi antar at Telenors aktivitet i våre nordlige regioner i tiden som kommer vil være av høyere interesse for utenlandske stater enn tidligere. Dette vil sannsynligvis gi utslag i økt etterretningstrykk – spesielt fra russiske og kinesiske aktører.

Kommunikasjon er vitalt for å kunne drive krisehåndtering og vil ved en sikkerhetspolitisk krise være svært kritisk å opprettholde. Den generelle trusselen mot Telenor Norge vurderes som høyere i denne delen av landet.

På Svalbard står Telenor i en særstilling som en av de største, viktigste og lengst etablerte bedriftene.

Redaktørstyrte medier er viktigere enn noen gang

Tekst: NRK

Spredning av falske nyheter og desinformasjonskampanjer har økt i omfang og er en trussel mot demokratiet. Ved hjelp av AI produseres artikler og bilder som det er vanskelig for mange å se at er falske. Sosiale medier flommer over av syntetiske nyheter og det er vanskelig å stå imot. Målet kan være å lure penger fra folk, eller å svekke folks tillit til media eller andre viktige samfunnsfunksjoner.

NRK har høy tillit og stor oppslutning, og er som allmennkringkaster viktig for å sikre hele befolkningens tilgang til informasjon. Det gjør NRK til et attraktivt mål for desinformasjon og påvirkningsaksjoner. Sikkerhet og kildekritikk er i dagens trusselbilde tett knyttet sammen. NRK må vite hvem som er den egentlige kilden til det vi publiserer.

Det siste året har vi sett flere situasjoner der aktivister har forstyrret direktesendinger for å fremme et budskap. Vi har også sett NRK og NRK-journalisters troverdighet misbrukes gjennom falske nyheter, falske nettsider og annonser til villedning og bedrageri av publikum. Redaktørstyrte medier er viktige i kampen mot falske nyheter og påvirkningsoperasjoner. Tillit er avgjørende, og aldri har NRKs rolle som veiviser i hva som er fakta vært viktigere.

Hvilke endringer ser vi innen cybersikkerhet?

Skillet mellom hva som er statlige og ikke-statlige aktører viskes mer og mer ut. Dette fordi statlige aktører bruker ikke-statlige aktører for å skjule sin tilknytning til ondsinnede handlinger, og fordi metoder deles mellom disse. Vi kan heller ikke lenger med samme grad av sikkerhet forutsi hvilke metoder som vil bli brukt mot oss, basert på hvilke aktører vi tror har interesse for Telenor Norge. Generelt kan vi gjøre oss en del antakelser som vil være relevante for sikkerhetstenkning innen cyberdomenet. Trusselaktørene som er aktive eller kan tenkes å være aktive mot bedrifter som Telenor Norge, vil kunne være interessert i alt fra å skape forstyrrelser, til målrettet innsamling av etterretning, inkludert kartlegging av nettverk for mulige destruktive angrep.

Relatert til ren vinningskriminalitet, ser vi en økning i svindelforsøk rettet mot Telenor Norge og våre kunder. Den teknologiske utviklingen og profesjonaliseringen innen cyberkriminalitet gjør muligheten til å benytte dette mye mer utbredt. Tidligere var man prisgitt egen teknologisk evne for å utføre angrep, nå kan trusselaktører i større grad kjøpe dette som tjenester hos profesjonelle kriminelle.

Ransomware-angrep fortsetter å utgjøre en betydelig trussel mot alle bedrifter. Denne utviklingen krever en styrket respons fra virksomheter gjennom avanserte deteksjons- og gjenopprettingssystemer, og styrket intern (og eventuelt ekstern) beredskap.

Ransomware gjennomføres nå raskere enn noen gang, og evnen til å detektere, rapportere og håndtere indikasjoner på et ransomware-angrep er viktigere enn noensinne. Tidligere har fremgangsmåten vært å kryptere nettverk for å be om løsepenger. Nå ser vi også at dette kombineres med trusler om videre- salg av den krypterte informasjonen. Det er viktig å understreke at dette ikke er en garanti for at informasjonen leveres trygt til- bake etter at eventuelle løsepenger er betalt, eller at integriteten i informasjonen er intakt.

I likhet med mange andre former for sikkerhetstrusler, ser vi også en økende bruk av målrettede forsøk på sosial manipulering. Man har stadig mindre tid til å oppdage og håndtere forsøk på digitale angrep. Mye av det preventive arbeidet ligger derfor i god sikkerhetskultur i alle deler av bedriften. Hos Telenor Norge er dette noe vi jobber aktivt med hver dag.

For å få innpass i et fremmed nettverk, ser vi også at trusselaktører fremdeles benytter phishing eller spearphishing (målrettet phishing). Phishing som metode er i utvikling og vil trolig fortsette å bli justert for å forbigå endrede sikkerhetsanbefalinger. Vi ser stadig nye metoder her, hvorav bruk av QR-koder i e-post og bruk av iMessage har økt i det siste.

Ved å benytte sosial manipulering, har trusselaktører i andre deler av verden kunnet tilegne seg legitim identifikasjon for å logge på nettverk og utføre spektakulære ransomware-angrep. Slik pålogging er vanskeligere å detektere, fordi det krever at man gjenkjenner unormal oppførsel eller trafikk i nettverket. Man kan ikke lenger basere seg på deteksjon av skadevare. Bevissthetskampanjer og, ikke samt sterke systemer for beskyttelse og verifisering av identitet ved pålogging er svært viktig. Bare én kompromittert påloggingsmetode som gir tilgang på nettverk, kan utgjøre stor skade.

Bruken av skytjenester fortsetter å vokse, og dette gjør skyinfrastrukturen til et mer attraktivt mål for trusselaktører. Trusselaktører benytter også her «legitime innganger» for å infiltrere og manøvrere innenfor skyplattformer. Dette gjør det utfordrende å oppdage sikkerhetsbrudd. Dette understreker behovet for styrket nettverksmonitorering og responsstrategier spesielt tilpasset skyteknologier.

Vedvarende prioritering av sikkerhet samt oppdatering på hvilke trusler som nå gjelder innen cyberdomenet, er viktig for å ha relevante sikkerhetsmekanismer på plass. Rask patching og utfasing av gamle og utdaterte systemer som ikke lenger oppdateres, forblir viktige strategier.

Man har stadig mindre tid til å oppdage og håndtere forsøk på digitale angrep. Mye av det preventive arbeidet ligger derfor i god sikkerhetskultur i alle deler av bedriften.

Ser du indikatorer på kartlegging?

Indikatorer er «spor» man følger for å komme til riktig konklusjon. Når vi jobber med sikkerhet, er dette et viktig bidrag for å vurdere sikkerhetsrapportering og analysere hva dette kan si om en situasjon. Når vi har indikatorer på at noen kartlegger vår virksomhet, er dette noe som tas på stort alvor. Dette kan gjelde for eksempel fotografering av en installasjon eller mistenkelig kontakt opp mot ansatte. Indikatorer på kartlegging kan sees både i det digitale domenet og det fysiske domenet. Ettersom indikasjoner på kartlegging ikke innebærer noen umiddelbar skade, er det en fare for at dette blir oversett og nedprioritert for å håndtere mer umiddelbare behov.

Kartlegging er ofte blant de første stegene til videre handling for en trusselaktør. Å se etter indikatorer på kartlegging er derfor en viktig start på avvergende sikkerhetsarbeid. I den sikkerhetssituasjonen vi nå befinner oss, er det svært viktig å få med seg nettopp dette.

Kartlegging betyr ikke automatisk at en ondsinnet handling skal gjennomføres, men det kan bety at noen har til hensikt å bruke det senere – eller ønsker å vise at dette kan være en mulighet. For trusselaktører som ønsker informasjon til senere bruk, kan gjentakende kartlegging være nødvendig for å vedlikeholde evnen til å kunne slå til når de ønsker. Indikatorer på kartlegging er derfor svært viktig å ta på alvor, enten det gjelder i det fysiske eller digitale domenet. Kartlegging er en målrettet handling og kan dermed gi verdifull innsikt i hvordan man bør styre sikkerhetsarbeidet. Selv om noe kartlegging kan ha som mål å forstyrre eller avlede oppmerksomhet fra et annet sted, vil det at noen utfører dette, være en indikasjon på at noe er på gang eller at en trussel- aktør har fattet interesse.

Bevisstgjøring hos ansatte, kunder og leverandører er viktig for å sørge for at det rapporteres om «mistenkelige hendelser» og på den måten avdekke om kartlegging pågår.

Bevisstgjøring hos ansatte, kunder og leverandører er viktig for å sørge for at det rapporteres om «mistenkelige hendelser» og på den måten avdekke om kartlegging pågår.

Er du klar?

Beskyttelse av kritisk infrastruktur vil alltid være vesentlig for at et samfunn skal kunne fungere optimalt. Det samme gjelder beredskap for situasjoner hvor samfunnet er satt under press. Dette hjelper bedrifter å bli mer motstandsdyktige mot komplekse trusler.

Beredskapsplanlegging er en absolutt nødvendighet i dagens situasjon preget av hybride trusler. Dette er ikke bare noe bedriftene bør gjøre, men også noe hver enkelt ansatt bør tenke gjennom. Det å vite hvilken rolle en selv har i en krisesituasjon, er svært viktig.

Vet du hva du skal gjøre hvis bedriften din er utsatt for et ransomware-angrep i morgen? Vet du hva du skal gjøre hvis kritiske tjenester er borte? Hvor møter du opp? Hva er din rolle?

I Telenor jobber vi kontinuerlig med disse spørsmålene for å sørge for at kommunikasjonsløsningene vi leverer, skal være tilgjengelige og pålitelige over tid. Vi ser også på hvordan vi skal fungere hvis de som leverer tjenester til oss ikke lenger er i stand til å gjøre dette.