Hackerangrep mot Østre Toten Kommune

Østre Toten Kommune ble hacket ca den 10 Januar i år. (2021) Ca 1.000 PC’er og servere med Windows operativsystem ble kryptert og det ble satt fram et krav om løsepenger for å åpne filene igjen. Østre Toten Kommune betalte ikke.

Etter et slikt angrep så kan være en mulighet for oss andre, å sette oss inn i hvordan dette angrepet skjedde, slik at vi kan lære av det som skjedde, slik at man kan forhindre at tilsvarende angrep skjer i framtiden.

Man kan vel kanskje si det slik at hos Østre Toten Kommune, så hadde man gjort de aller fleste tingene “riktig”, of ut i fra “anbefalt metode”, men det viste seg at når man gjorde tingene på “den riktige måten”, så medførte det at dette at ca 1000 PC’er og servere ble låst ned og at alle data gikk tapt. Bacupdata gikk for en stor del også tapt.

Det viste seg at det ikke var tilstrekkelig å gjøre tingene “ut i fra rutine”. Det krevdes også “noe mer” for å forbebygge dette angrepet.

Det systemoppsettet som man hadde  hos Østre Toten Kommune, og som gjorde dette hackerangrepet mulig kan etter mitt syn kort oppsummeres slik:

  • Det hadde blitt satt opp mange datamaskiner på et felles lokalnett, slik at datamaskiner kunne kommunisere med hverandre via lokalnettet.
  • Man lot den samme domenekontrolleren kontrollere sikkerheten på ca 1000 datamaskiner.
  • Det kan se ut som at man hadde satt opp en åpning for remote desktop pålogging fra en av maskinene og ut mot internett.

Det hackerne så gjorde, kort fortalt, det var å komme seg inn på lokalnettet, logge seg inn på domenekontrolleren og så kryptere og låse ned samtlige servere og PC’er via domenekontrolleren.

Bare de PC’ene som ikke var kontrollert av domenekontrolleren kunne unngå å bli ødelagt.

Det kan se ut som at systemadministrator hadde  “hadde satt opp tingene på forholdsvis vanlig måte” men de kanskje ikke hadde ikke etablert en god nok “digital sikkerhetskultur” og de hadde ikke utført en god nok fortløpende risikovurdering til at man klarte å forebygge det som skjedde.

Nasjonal sikkerhetsmyndighet sier dette om sikkerhetskultur:

Nasjonal sikkerhetsmyndighet definerer sikkerhetskultur til å være summen av de ansattes kunnskap, motivasjon, holdninger og atferd som kommer til uttrykk gjennom virksomhetens totale sikkerhetsatferd.

Fra veileder fra Digitaliseringsdirektoratet:
Internkontroll i praksis – informasjonssikkerhet – Grunnleggende innføring

3.2 Risikovurdering

Internkontroll handler om risikostyring. Risikovurdering er den grunnleggende aktiviteten i risikostyringen. Uten risikovurderinger får man ingen risikostyring eller internkontroll. Vi kaller risikovurdering «hjertet» i internkontrollen.

I stedet for å bare ha fokus bare på at “alle skal følge regelverket” så mener jeg at det vil være forholdsvis god ide, å bygge opp en digital sikkerhetskultur der man også, systematisk og over tid, bygger opp kompetanse i forhold til teknisk datasikkerhet og samtidig som fortløpende risikovurdering som en del av en digital hverdag.

Sett i etterpåklokskapens man også ha gjennomført disse endingene:

  • Nettverket segmenteres i den grad dette kan passe inn i separate nettverkssegmenter og sikkerhetssoner, der PC’er og servere ikke har tilgang til hverandre slik som de har det når de er plassert inn på et felles lokalnett.
  • PC’er som det ikke er nødvendig å styre fra domenekonttroller ulelates fra domenekontrollerens kontrollområde. Disse PC’ene kan med fordel kjøre i sin egen sikkerhetsone.
  • Ekstern gateway scannes regelmessig fra utsiden, slik at man hele tiden har kontroll på at det ikke finnes noen åpne porter fra internett og inn på lokalnettet. I den grad det er helt nødvendig å åpne inngående porter for tilgang fra Internett, så åpnes disse bare for en kort tidsperiode, for så å lukkes igjen.
  • Man bør arbeide systematisk og over tid med å bygge opp en “digital sikkehetskultur” basert på gode kunnskaper, motivasjon og holdninger hos alle ansatte. Opplæring innenfor IKT sikkerhet bør prioriteres.
  • Alt arbeide med datamaskiner og annet IKT og nettverkstilkoblet utstyr bør skje ut i fra en fortløpende risikovurdering og en kultur for IKT sikkerhet, der man hele tiden vurderer risko og mulig skade opp mot hverandre. På dene måten så bør man kunne forebygge framtidige uønskede hendelser.

På de to postene under så er det linket opp en del informasjon som jeg famt på Internett for å kunne sette meg inn i denne saken.