– Gi sikkerhets- og smartbygg­systemene den oppmerksomhet de fortjener

Lars Eirik Berg

Denne kronikken er skrevet av Lars Eirik Berg, fagdirektør - forebyggende sikkerhet og analyse i HRP Sikkerhetsrådgivning. Kronikken gir uttrykk for skribentens holdning.

Sentralt står overvåkingskamera, som jo benyttes for egen trygghet og sikkerhet, nå i frontlinjen for den digitale krigføringen.

Nylige hendelser viser kameraer som er hacket og brukt til skadelige formål, langt fra deres opprinnelige intensjon. Eksempelvis ble det nylig rapportert at en ukjent gruppering hacket et større antall overvåkingskameraer i Russland, hvor høyttalerne ble benyttet til å spre en tale på Russisk av Zelensky, samt en populær ukrainskpatriotisk folkesang. For å forsterke effekten og oppmerksomheten, begynte angrepet med lyden av luftvernsirener.

Selv om ingen har påtatt seg ansvar, og det derfor er noe usikkerhet rundt angrepet, så peker det mot en større og bekymringsfull trend: Fra hacktivistgruppen Anonymous’ hacking av et stort antall russiske overvåkingskameraer tidlig i invasjonen, hvor de la inn budskap mot Putin og krigen direkte på videostrømmen – til russisk målrettet overtakelse av kameraer i strategisk viktige byer i Ukraina i år, antatt for å innhente etterretningsinformasjon. Dette er eksempler på at en rekke sikkerhetssystemer er misbrukt for å skaffe informasjon, spre propaganda, og skape frykt og forvirring.

Disse hendelsene illustrerer en ubehagelig realitet: Våre sikkerhetssystemer er et veldig aktuelt mål for digitale angrep. Mange av dagens overvåkingskameraer inneholder mikrofoner og/eller høyttalere, som forsterker kritikaliteten hvis ondsinnede aktører får tilgang til både sensitivt bilde- og lydmateriale dersom et kamera er internett-eksponert og dårlig sikret. Det er på tide å erkjenne at vi må sikre egne sikkerhetssystemer, på samme måte som vi sikrer våre andre IT-systemer.

I en tid hvor «smarte bygg» og tingenes internett (IoT) får et stadig større omfang, er det helt nødvendig at vi blir mer kritiske til hva vi kobler til internett. Prioriterer vi tilgjengelighet over integritet og konfidensialitet, vil det ofte gå på bekostning av vår egen sikkerhet. Mange IoT-enheter har begrensede eller ingen innebygde sikkerhetstiltak, og er derfor sårbare om vi ikke planlegger god sikkerhet rundt dem. Hackede IoT-enheter utgjør en stor del av botnets, brukt til dataangrep som DDoS og til å spre skadevare, mot oss selv igjen.

I tillegg til trusselen fra Russland fremhever norske myndigheter i år, som tidligere år, spionasje- og etterretningstrusselen fra Kina som lik, og i flere tilfeller større enn fra Russland spesielt i det digitale domenet. Den kinesiske etterretningsloven, og ikke minst datasikkerhetsloven som kom høsten 2021, har ytterligere komplisert trusselen, hvor det nå blant annet er lovpålagt å rapportere oppdagede sårbarheter i IT-utstyr og programvare KUN til kinesiske myndigheter. Dette kan gjøre det spesielt krevende å benytte kinesiske overvåkingskamera og nettverksutstyr i eller i tilknytning til kritisk infrastruktur og samfunnskritiske funksjoner i Norge.

Enkle søk på Shodan, en søkemotor som skanner og indekserer enheter koblet til internett, viser et stort antall sikkerhets- og styringssystemer som er lett tilgjengelige, også her i Norge. Alt fra overvåkingskamera og adgangskontroll til industrielle kontrollsystemer finnes svært lett. Mange beskyttet av bare standard brukernavn og passord, eller i verste fall ingen form for pålogging i det hele tatt. Dette åpner dørene for trusselaktører som kan få tilgang og utnytte den til ondsinnede formål, eller som et steg på veien til å infiltrere mer kritiske systemer.

Det er på høy tid at vi gir våre sikkerhets- og smartbyggsystemer den oppmerksomhet de fortjener, og forvalter dem som de avanserte IT-systemene de faktisk er. La oss ikke gjøre jobben for angriperne altfor enkel.