Håndtering av IKT-sikkerhetshendelsene i Helse Sør-Øst og fylkesmannsembetene – en vurdering
Abstract
I dag er de aller fleste samfunnsfunksjoner, virksomheter og individer i større eller mindre grad
avhengig av digitale tjenester. Anvendelsen av IKT gir oss mulighet til å effektivisere prosesser
og tjenester som brukes i hverdagen, men medfører også økt risiko for å bli utsatt for uønskede
hendelser i det digitale rom. Slike hendelser kan være alt fra mindre svindelforsøk til omfattende
dataangrep gjennomført av avanserte trusselaktører, med hensikt å samle informasjon, sabotere
tjenesteproduksjon eller ramme styringsevnen til sentrale virksomheter eller myndigheter.
I 2018 ble både helsesektoren og fylkesmannsembetene rammet av IKT-angrep. Hendelsene var
omfattende og krevde at mange aktører bidro i håndteringen. Forsvarets forskningsinstitutt (FFI)
har fått i oppdrag av Justis- og beredskapsdepartementet å evaluere håndteringen av
hendelsene. Evalueringen skal kartlegge hendelsesforløp og involverte aktører, ta utgangspunkt
i samfunnssikkerhetsinstruksen og rammeverk for håndtering av IKT-sikkerhetshendelser, og
anbefale videre utvikling av sistnevnte. Til sist skal FFI komme med læringspunkter og
anbefalinger til hva som bør øves på i øvelse Digital 2020. For å løse oppdraget har FFI i all
hovedsak basert seg på intervjuer med de involverte aktørene i kombinasjon med
dokumentstudier og erfaringen forskerne har innenfor krisehåndtering og IKT.
Begge hendelsene framstår som datainnbrudd hvor avanserte trusselaktører har vært ute etter
informasjon, og forsøkt å operere skjult. Hendelsene ble oppdaget relativt raskt, og hendelsen
som rammet helsesektoren hadde betydelig større omfang når det gjelder både rammede aktører
og systemer enn hendelsen som rammet fylkesmannsembetene. Funnene viser at få aktører var
forberedt på hendelser av et slikt omfang og hadde i liten grad oversikt over egne verdier,
sårbarheter og systemer.
Samfunnssikkerhetsinstruksen retter seg mot departementene, mens rammeverket retter seg mot
aktørene NSM NorCERT, sektorvise responsmiljø og virksomheter. FFI finner ingen uoverensstemmelser
mellom dokumentene. Imidlertid gir disse et lite helhetlig bilde av aktørene som er
relevante for håndteringen av IKT-sikkerhetshendelser. Særlig sentrale samordningsaktører som
Direktoratet for samfunnssikkerhet og beredskap (DSB) savnes. Instruksen og rammeverket gir
et godt utgangspunkt for å få en felles forståelse av fagbegreper, enkelte roller og ansvar, men
løser ikke det FFI peker på som den største svakheten når det gjelder IKT-sikkerhetshendelser –
nemlig forebygging, forberedelser og oversikt over egne verdier, sårbarheter og systemer. Det
bør vurderes å utarbeide veiledere på dette punktet for henholdsvis små, mellomstore og større
virksomheter.
Øvelse Digital 2020 skal etter planen ikke øve det tekniske personellet. FFI mener likevel at den
tekniske dimensjonen bør ivaretas slik at sammenhengen mellom det som skjer på teknisk nivå
og videre beslutninger knyttet til håndtering blir belyst og øvd. Deltakerne bør utfordres på
informasjonsdeling – både når det gjelder ulike typer informasjon og mottakergrupper. I tillegg bør
det legges til rette for at operative konsekvenser for øvingsdeltakerne vurderes og at
ressursallokering på sentralt nivå, SRM-nivå og virksomhetsnivå øves. Today, most societal functions, enterprises and individuals are to some degree dependent on
digital services. The use of ICT enables us to improve much used processes and services, but it
also increases the risk of being affected by malicious cyber incidents. Such incidents may range
from small fraud attempts to comprehensive cyber attacks by advanced threat actors. The
rationale may for instance be to obtain information, sabotage services or impact the governance
ability of enterprises or governments.
In 2018, both the health sector and the county governors were hit by ICT incidents. The incidents
were extensive, requiring the contributions of many actors in response. The Norwegian Defence
Research Establishment (FFI) has been given the task by the Ministry of Justice and Public
Security to evaluate the response to both incidents. The evaluation should map the course of
events and the response actors involved, make use of the national Instructions for the Ministries’
work with Societal Safety and the Framework for management of cyber incidents, and make
recommendations for the development of the latter. Finally, FFI shall identify lessons learned and
make recommendations for exercise Digital 2020. In order to solve this task, FFI has conducted
interviews with involved actors, studied relevant documents and utilized the experience of
researchers of crisis management and ICT.
The incidents appear to be data breaches with advanced threat actors covertly seeking
information. They were both discovered relatively quickly. The incident in the health sector was
considerably larger in terms of the actors and size of the systems hit. Findings from both incidents
show that few actors where prepared for events of such magnitude, and had limited overview of
their own values, vulnerabilities and systems.
Instructions for the Ministries' work with civil protection and emergency preparedness is directed
towards ministries, while the Framework is directed towards NSM NorCERT, sectorwide response
entities (SRMs) and enterprises. There are no inconsistencies in these documents, but they do
not on their own give the whole picture of the actors involved in national crisis response (including
larger ICT incidents). Significant actors like the Directorate for Civil Protection (DSB) and the
County Governor are not included in the Framework, which they should be. The Instruction and
the Framework give a good starting point for a common understanding of technical terms, roles
and responsibilities. They do not solve what FFI considers the greatest weakness in ICT incidents
– prevention, preparedness and overview of own values, vulnerabilities and systems. Guidance
on this for small and medium-sized, and larger enterprises, respectively, should be considered.
The technical dimension should be taken into account during exercise Digital 2020. This holds
true even if technical personnel is not participating. All participants should be challenged on
sharing different types of information with different target audiences, ensure that operational
consequences for the exercising actors are assessed, and that resource allocation are exercised
for the strategic level, the SRM level and the enterprise level.