Oppdatert varsel om digital risiko i forbindelse med COVID-19

Publisert: 08.04.2020

Nasjonal sikkerhetsmyndighet (NSM) ved Nasjonalt cybersikkerhetssenter (NCSC) opplever et jevnt trykk av nettverksoperasjoner mot norske mål, inkludert virksomheter som ivaretar viktige samfunnsfunksjoner. Aktivitetsnivået samsvarer i hovedsak med normalbildet i det digitale rom. NCSC vurderer imidlertid at flere forhold knyttet til det digitale domenet påvirkes av den pågående COVID-19-situasjonen.

Generelt oppfordrer NCSC fortsatt til økt årvåkenhet og bevisstgjøring rundt IKT-sikkerheten, særlig knyttet til midlertidige hjemmekontorløsninger. COVID-19-tematikk benyttes også i svindel- og bedrageriforsøk og digitale operasjoner på nett.

Ulike aktører utnytter koronasituasjonen for å svindle virksomheter gjennom e-poster eller SMS. Det rapporteres om svindelforsøk, løsepengekampanjer og digitale operasjoner knyttet til koronatematikk. Koronarelatert digital aktivitet utøves av både kriminelle og statlige aktører.

NCSCs samarbeidspartnere og åpne kilder rapporterer om kampanjer som bevisst benytter koronatematikk i utsendelse av phishing (e-post og SMS). NCSC mottar enkelthenvendelser fra norske virksomheter knyttet til phishing med diverse koronatematikk. NCSC vurderer det som sannsynlig at omfanget av slik aktivitet vil vedvare i tiden fremover.

NCSC har registrert at aktører imiterer organisasjoner som WHO, samt statlige helseorganisasjoner i utsendelse av falsk e-post. Det rapporteres samtidig om e-post phishing som utgir seg for å komme fra helsemyndigheter med informasjon om smitte. Dette er organisasjoner som har høy troverdighet og fremstår som tillitsvekkende. Samtidig er dette organisasjoner som befolkningen vanligvis ikke forholder seg mye til, noe som gjør det enklere å etterligne dem. Når dette blir blandet med frykt eller usikkerhet kan det være lavere terskel for å klikke på vedlegg eller lenker.

NCSC anbefaler å være ekstra årvåken når det gjelder koronarelatert e-post og suspekte domener. Det er grunn til å tro at dette vil være relevant for norsk næringsliv fremover de neste ukene. Slike e-poster vil gjerne basere seg på usikkerhet og frykt hos enkeltpersoner, eller være rettet mot økonomiske interesser hos bedrifter.

Åpne kilder har også rapportert om tilfeller hvor falske nettsider blitt opprettet med det formål å spre skadevare eller stjele brukernavn og passord fra de som besøker siden.

Utfordringer knyttet til hjemmekontorløsninger

Koronapandemien har ført til at mange bedrifter har innført utstrakt bruk av hjemmekontor. Dette gir store muligheter for ansatte til å holde kontakten uten å være fysisk til stede på arbeidsplassen, og prosjekter og oppgaver kan fortsette. Men hjemmekontor har også noen store sikkerhetsutfordringer.

NCSC har gitt ut retningslinjer for hvordan man skal kunne være tryggest mulig på jobb, selv om man jobber hjemmefra.

NCSC ser også utfordringer knyttet til fjerntilgang på virksomheters systemer. NCSC har sett utnyttelse av sårbarheter i tynnklient-løsninger. Slike løsninger fungerer på lik linje som VPN ved at pålogging til et virksomhetsnettverk hjemmefra gir tilgang til tjenester og applikasjoner internt i nettverket til virksomheten. Det er rapportert om flere ulike aktører som har utnyttet sårbarheter i slike løsninger og som kan ha lagt igjen bakdører for å beholde tilgang til systemene etter at sårbarhetene er lukket. Det anbefales at tjenester for fjerntilgang sikres på en tilfredsstillende måte.

NCSC mottar rapportering om hendelser knyttet til påloggingsforsøk ved bruk av brute-force på internetteksponerte tjenester. NCSC vurderer at dette delvis skyldes økte sårbarheter og sikkerhetshull knyttet til utstrakt bruk av hjemmekontorløsninger. Det anbefales å sørge for at man har sikkerhetssystemer som fanger opp store mengder feilpålogginger, aktivere 2-faktorautentisering og begrense mengden eksponerte tjenester der dette er mulig.

Tjenesteutsetting

Mange norske virksomheter har foretatt tjenesteutsetting, som i realiteten kan innebære at operativ drift av IKT-tjenester foregår fra et annet land. En mulig konsekvens av den pågående koronasituasjonen er at personell knyttet til IKT-tjenester og datasentre kan bli rammet på ulike måter, kanskje i stor skala. Det bør derfor vurderes om virksomheten har noen form for «fall-back» av drift og overvåking, og hvilke alternative driftsmuligheter som kan etableres dersom leverandøren ikke lenger er operativ.