Situasjonsbilde

Formålet med denne rapporten er å gi et kortfattet situasjonsbilde for helse- og kommunesektoren i Norge. Rapporten kan brukes til å styre arbeidet med informasjonssikkerhet.

Rapporten er avgrenset til å beskrive tilsiktede handlinger.

Kortfattet

Medlemmene våre vil bli utsatt for spionasje og påvirkningsoperasjoner.

Medlemmene våre er attraktive mål for organiserte kriminelle.

Hacktivister har ingen spesiell interesse i medlemmene våre.

Det er meget sannsynlig at fremmede stater ser på helsesektoren som et mål for spionasje.

Det er meget sannsynlig at fremmede stater ser på kommunesektoren som et mål for spionasje og påvirkningsoperasjoner.

Det er sannsynlig at norsk helse- og kommunesektor vil treffes av angrep fra aktører som et ledd i det generelle etterretningsarbeidet til fremmede stater.

Det er meget sannsynlig at norsk helse- og kommunesektor vil treffes av angrep fra organiserte kriminelle grupper.

Det er mulig at norsk helse- og kommunesektor vil treffes av angrep fra hacktivister.

Helsetjenesten må sørge for å ivareta sikkerhet og personvern i forvaltningen av helsedata, og sørge for at de tjenestene som inngår i de digitale verdikjedene er tilgjengelige og operative til enhver tid. I denne rapporten trekker vi fram:

Masseutnyttelse av sårbarheter, ransomware, spionasje, politisk motivert hacktivisme, svindel og angrepsmetoder.

Vi ser at tiden fra en sårbarhet blir kjent, til den utnyttes i store angrepsbølger ofte er svært kort. Dette er en økene trend som spesielt treffer internetteksponerte systemer, der vi de siste årene har flere tilfeller av nulldagssårbarheter som rammer medlemmene våre. I samme periode ser vi oftere at en slik sårbarhet kan være ukjent i opptil flere måneder før den blir kjent for brukere og oppdatering slippes.

Med utstrakt masseutnyttelse av sårbarheter i internetteksponert utstyr – der sårbarhetene oftere og oftere er nulldagssårbarheter – er det kritisk å ha både god logging for å ettergå en hendelse flere måneder etter den inntraff, og god deteksjon på innsiden. Man må alltid etterstrebe å ha et godt dybdeforsvar og en «zero trust»-tilnærming til arkitekturen.

Ransomware, ofte kombinert med eksfiltrasjon av data for å true med offentliggjøring er fortsatt den vanligste sluttformen vi ser for økonomisk motivert kriminalitet, og dette er en dimensjonerende trussel man må ta høyde for, både i sikring og planverk.

I denne typen angrep er selve kompromitteringen sjelden målrettet – man kompromitteres ikke fordi man er et viktig mål, man kompromitteres fordi man er sårbar. Etter angriper har fått et fotfeste undersøkes målet nærmere. Dersom målet for eksempel har høy verdi – ved at man tror man får presset målet for penger – kan kompromitteringen utvikle seg til å bli en spisset operasjon for å gjennomføre et ransomwareangrep.

De hemmelige tjenestene trekker i sine rapporter fram spionasje som en stor trussel mot Norge. Vi vurderer forskning, helse- og personopplysninger, informasjon om politiske beslutninger og beredskaps- og krisehåndteringsevne som de mest sannsynlige spionasjemålene i sektoren. Statlige aktører har store ressurser til sin rådighet og vi forventer å se spionasjeforsøk framover.

Siden Russlands invasjon av Ukraina i 2022 har pro-russiske grupperinger gjennomført angrep mot vestlige land som oppfattes som fiendtlige. Norge er ett av disse.

Den store mengden angrep som knyttes til pro-russiske hacktivister er tjenestenektangrep – DDoS – og i den grad det har truffet medlemmene våre har det påvirket tilgjengeligheten til nettsider i svært liten grad.

Vi vurderer at hovedmotivasjonen til pro-russiske hacktivistgrupperinger som har angrepet medlemmene våre har vært oppmerksomhet blant sine egne følgere.

Vi er ikke kjent med denne typen angrep fra pro-russiske hacktivister mot medlemmene våre i 2024.

Motivasjonen til pro-russiske hacktivister er flytende, og det er vanskelig å forutse en trussel fra denne kategorien av trusselaktører fremover. Vi vet at de raskt kan reagere på nyhetssaker som får oppmerksomhet i Russland, og at de er uforutsigbare når det gjelder målutvelgelse. Man må derfor anta at angrep fra pro-russiske hacktivister kan skje, men med lite aktivitet derfra i 2024 forventer vi ikke et fokus på medlemmene våre i første tertial 2025.

Svindel er fortsatt en stor del av bildet innen cyberkriminalitet. Det er få nye trender her. De vanlige typene svindel medlemmene våre utsettes for er:

- Klassisk direktørsvindel, der en svindler utgir seg for å være en direktør som trenger at man utfører en pengeoverføring, eller kjøper gavekort.

- Fakturasvindel, der man mottar en falsk faktura.

- Målrettet fakturasvindel, der svindler har fått tak i en ekte faktura og endret betalingsinformasjon.

For mer informasjon om disse svindeltypene og hvordan svindlerne vanligvis opererer, kan man se webinaret vårt “Økonomisk svindel”.

Svindel representerer en mye mindre trussel enn ransomwaregrupper. Selv om de kan føre til store finansielle tap påvirker de som hovedregel ikke helsesystemer.

Vi har i 2024 observert flere typer svindler, og anbefaler alle å gå gjennom rutinene sine for betaling til nye kontonummer og vedetablering av betalingsinformasjon og kontaktpunkt ved kontraktsinngåelse.

Enten man utsettes for ransomware, spionasje eller et annet type angrep er angriper avhengig av et fotfeste i virksomheten som angripes. Denne listen viser hvilke angrepsformer vi mener det er viktigst å sørge for at man har sikringer på plass mot. At man også har dybdeforsvar på plass, er helt avgjørende. Her fokuserer vi likevel på inngangsvektoren da god sikring her vil kunne stoppe angrepene i en tidlig fase.

Fjernpålogging er alle virksomhetssystemer som gir tilgang videre inn, eller informasjonssystemer som gir tilgang til sensitiv informasjon. Her ser vi at trusselaktører rutinemessig skanner etter eksponerte systemer, f.eks. RDP, og over tid forsøker å logge inn med forskjellige kombinasjoner av brukernavn og passord. Forsøkene kan gå over uker og måneder og vellykkede innlogginger fører til videre angrep. Slike eksponerte systemer må sikres, for eksempel med phishingresistent autentisering.

Vi har lenge sett at kjente sårbarheter brukes aktivt for å angripe virksomheter. Sårbarhetene kan være gamle, men vi ser også angripere som har hurtig utnyttelse av nye sårbarheter som spesialitet. Tiden fra en sårbarhet blir offentlig kjent, til vi ser aktive angrepsforsøk synker.

I tillegg har vi de siste årene hatt en økende trend med angrep mot nulldagssårbarheter i internetteksponert utstyr. Disse sårbarhetene har i flere tilfeller vært utnyttet i stor skala før de blir offentlig kjent. Ofte i flere uker eller måneder.

For å beskytte seg mot de kjente sårbarhetene må man ha gode rutiner for vedlikehold og patching. Man kan imidlertid ikke patche seg bort fra nulldagssårbarheter. For beskyttelse her må man ha dybdeforsvar for å oppdage angrep og hindre at angriperne kommer videre, og logging for å kunne ettergå om man har vært utsatt for angrep tilbake i tid.

En endring gjennom 2024 har vært den økende bruken av Adversary-in-the-middle-phishing (AitM) mot medlemmene våre. Dette føyer seg inn i bruken av e-post for sosial manipulasjon for å få tilgang til en bedrifts systemer.

Her må virksomhetens systemer gi tilstrekkelig teknisk sikring mot både phishing og skadevare levert via e-post så en bruker kan gjøre feil uten at virksomheten blir kompromittert.

Brukeropplæring er et viktig tiltak for å sikre forståelse for trusler og god innrapportering. Brukeropplæring alene gir ikke adekvat sikring mot sosial manipulering.

Trusselaktører søker gjerne enkleste veien inn til et mål. I så måte kan en mindre bedrift som leverer varer eller tjenester til en annen virksomhet, eller via andre underleverandører være et startpunkt for et angrepsforsøk.

Det er urealistisk å skulle oppnå en komplett oversikt over alle verdikjeder i en større virksomhet. Her må man derfor innføre de samme tiltakene man bør innføre for å ha en motstandsdyktig virksomhet. «Zero trust», nettverkssegmentering og endepunktsmonitorering bør danne bunnlinjen for hva en moderne virksomhet har innført for å sikre seg mot angrep.