– Hackere er fem år foran oljenæringen

Han var eneste nordmann som deltok i verdensmesterskapet for hackere, «NetWars Tournament of Champions», i Washington. Nå hjelper Chris Dale olje- og gasselskap med å bekjempe datainntrengere.

– På sikkerhetsfronten henger oljenæringen igjen fem år etter der de bør være. Samtidig sitter hackere med mye mer avansert verktøy som de samarbeider om å utvikle. Vi er nødt til å komme oss opp på et nivå der vi virkelig kan motkjempe hacker-angrep, sier Dale til Petro.no.

Februar i år gikk han fra å være sikkerhetssjef hos Sharecat Solutions AS til å jobbe som penetrasjonstester i sikkerhetsselskapet Netsecurity AS, som blant annet har BW Offshore på klientlisten. Ifølge askøyværingen omtaler han seg ikke som «hacker» i forretningssammenheng, fordi det forbindes med personer som har onde hensikter. Men i likhet med hackere er Dale hands-on på tastaturet hver dag. Det er der han trives best.

– Våre kunder ønsker å vite om produktene deres har åpne dører; er man nødt til å bruke motorsag og slegge for å komme seg inn i systemet eller kan man bare spasere rett inn? Min jobb er å tenke utenfor boksen når jeg ser på hvordan systemene er laget og hvor det er begått feil.

Hackere stod for 88 dataangrep i fjor – blir verre i år

Feil begås, skal vi tro Nasjonal Sikkerhetsmyndighet (NSM) rett. I fjor håndterte de 88 alvorlige dataangrep i Norge, mot 51 i 2013. Ett av angrepene var noe av det største Norge har sett, med en e-post-kampanje rettet direkte mot olje- og energisektoren.

– Det handler om målrettede dataangrep mot kritisk infrastruktur. Det er alvorlig, sa assisterende sjef i NSM, Annette Tjaberg, på Sikkerhetskonferansen 2015.

Ifølge EUs organ for informasjonssikkerhet, European Union Agency for Network and Information Security (ENISA), blir dataangrepene mer avanserte og mer målrettede.

– Jeg tror det blir mer og mer av dette. Men det er mye mørke tall; angrep som ikke blir registrert eller oppdaget. For å snu trenden er vi nødt til å gå aktivt ut for å finne angriperne og samtidig bli flinkere til å oppdage innbrudd. Forhåpentligvis vil vi ta i bruk den spesialkompetansen NSM sitter med i større grad framover, sier Dale.

Gjorde datainnbrudd på fritiden

I sine yngre dager, og ut av ren nysgjerrighet, stod Dale selv for et uoppdaget datainnbrudd – før han selv meldte ifra om det: Ved hjelp av noen enkle Google-søk, fant han en feilmelding i et system i Bergen. Feilmeldingen gjorde at han med stor sannsynlighet kunne gjette hvordan systemet fungerte, og ved å tilføye et enkelt tegn i brukernavn- og passordløsningen, logget han seg inn som administrator. Og så logget han seg ut igjen. Han gledet seg til å fortelle hva han hadde oppdaget. Men leverandøren tok innbruddet personlig.

– Dessverre er det mange uprofesjonelle leverandører der ute som ikke vet å sette pris på denne formen for research, sier Dale oppgitt.

Han ble truet med politianmeldelse for hendelsen.

Hjalp 300 mann tilbake i arbeid

Dale beskriver en oljebransje der den økonomiske vinningen er stor. Nylig hjalp han en bedrift der 300 arbeidere ikke fikk gjort jobben sin grunnet et virus i det interne nettverket som krypterte alle filene deres.

– 300 mann tvinnet tommeltotter. Sånt blir det tap av. Det de kriminelle ønsket var et viss antall Euro inn på en konto mot et passord som skulle dekryptere filene igjen. Og slik holder de på. Ferdig arbeid, sier Dale, som påpeker at kostnadene rundt cyberkriminalitet nå overstiger kostnadene relatert til bekjempelse av narkotikavirksomhet.

Hva slags harme kan hackere påføre olje- og gasselskap?

– De kan manipulere og skade kontrollsystemer. Ta for eksempel Stuxnet-hendelsen der hackere penetrerte atomreaktorer i Iran og gjorde dem defekte. Tenk deg en lignende situasjon i oljebransjen, og hva det kan medføre, sier Dale.

Industrispionasje lever i beste velgående

Dale har inntrykk av at bransjen er offer for aktivisme, terrorisme og de som er ute etter industrihemmeligheter. Ifølge ham kan hackere være ute etter plantegninger til spesifikke borerigger fordi de ønsker å bygge noe tilsvarende. Det kan være de ønsker å vite hva slags deler som gir dem et konkurransefortrinn, og hvor delene skal brukes.

– For eksempel vet vi at Kina aktivt prøver å hente bedriftshemmeligheter slik at de kan produsere et likt produkt, men til en billigere penge. Industrispionasje, rett og slett, sier penetrasjonstesteren i Netsecurity AS.

Intensjonene til de ytre kreftene som står for datainnbruddene er det vanskelig å gjøre noe med. Men ifølge ENISA er svak intern informasjonssikkerhet den viktigste årsaken til datainnbrudd. De peker på svake passord, sårbare nettverk og innsidetrusler. Dale har sine tanker om hva olje- og gasselskap gjør feil når det kommer til datasikkerhet.

– De vegrer seg mot å oppdatere systemene sine. La oss si at du bruker Microsoft Windows, og så kommer Windows månedlig med kritiske oppdateringer eller patcher; mange lar være å oppdatere programvaren fordi man frykter at systemet blir ustabilt. En annen årsak er at man ikke har nok ressurser til å teste patchene på forhånd. Dette gjør det enklere for angriperne å finne en vei inn i systemet. Hadde selskapene oppdatert seg, ville det nok gått bedre, sier Dale.

– Ikke mye som skal gå galt før man er hacket

Det er ikke bare Microsoft Windows som bør oppdateres, men alt innen datasystemer, som f.eks. brannmurer, Linux, Adobe, Flash og Java. Rubbel og bit. Ifølge Dale, er det ikke mye som skal gå galt før angriperne kommer seg inn i nettverket. Som penetrasjonstester utnytter han disse sårbarhetene for å bevise overfor bedrifter hvor mye informasjon han kan hente ut av de interne forretningshemmelighetene.

NSM sier at virksomheter fram til 2014 har hatt mange av de samme avvikene og sårbarhetene år etter år, men at de nå har endret seg. Er det større pågang hos Netsecurity AS enn før?

– Det er vanskelig å si helt sikkert, men vi ser at sikkerhetsmarkedene øker, og det virker som at flere bedrifter tar ansvar og øker budsjettet for nettverk og IT-sikkerhet.

Symantec sier at nettkriminelle utnytter sosiale netteverk og apper for å svindle folk – påvirker dette oljeselskap også?

– Definitivt. Det er disse angrepene som gir lyd fra seg og som blir fersket.

Når alt virker normalt på overflaten

Dale legger frem et eksempel der systemet fungerer som normalt, der hackeren kontinuerlig følger med når man skal inn på ventilasjonssystemet, administrasjonen, web-serveren eller interntjenester; det er her angriperen utfører kommandoer uten at man vet det:

– Ta for eksempel nettbanken; hackeren venter til du logger deg på, og i det du ønsker å overføre noe, legger han inn sitt eget kontonummer i koden bak overføringen. Han får pengene, samtidig som at overføringsbeløpet og saldoen virker normal på overflaten. Angriperen kan gjøre hva han vil med hva som helst når han først har tilgang til kontrollsystemer. Borerigger er intet unntak.

Ifølge Symantec finnes det ingen teknologi som garanterer immunitet fra datakriminalitet eller målrettede angrep – hvorfor er det likevel viktig for bedrifter å beskytte seg?

– Det vil alltid finnes sårbarheter i programvare som på ett eller annet tidspunkt oppdages og lar seg utnytte. Det betyr ikke at vi bare skal legge oss ned og dø. Vi er nødt til å gjøre det så vanskelig som mulig for angriperen å komme inn i bedriften og gjøre skade. Jo vanskeligere vi gjør det, jo flere vil mislykkes. Man må bygge et forsvar, lag på lag, slik at man vet at når ett lag dør, så har man andre måter å forsvare seg på. I dag kan ingen si at de ikke blir hacket grunnet en spesifikk teknologi de bruker.

For mer informasjon om IKT sikkerhet og beredskap, sjekk ut Beredskapskonferansen i Stavanger (2.) 3.-4. juni 2015.