Hopp til hovedinnhold
NHN
Gå tilbake til Publikasjoner

HelseCERTs Situasjonsbilde

Sist oppdatert: 06.06.2023

1. Trusselvurdering: 2. tertial

  • Det er meget sannsynlig at fremmede stater ser på helsesektoren som et mål for spionasje.
    • Politiske beslutninger – Meget sannsynlig
    • Forskning - Sannsynlig
    • Helse og personopplysninger - Mulig
  • Vi mener det er sannsynlig at norsk helsesektor vil treffes av angrep fra russiske statlige aktører som et ledd i det generelle etterretningsarbeidet til russiske etterretningstjenester.
  • Vi mener det er meget sannsynlig at norsk helsesektor vil treffes av angrep fra organiserte kriminelle grupper.
  • Vi mener det er meget sannsynlig at norsk helsesektor vil treffes av angrep fra hacktivister motivert av krigen i Ukraina. Eksempler på dette kan være tjenestenektangrep.

2. Bakgrunn

Formålet med denne rapporten er å gi et kortfattet situasjonsbilde for helsesektoren i Norge. Rapporten kan brukes til å styre arbeidet med informasjonssikkerhet.

Helsetjenesten må sørge for å ivareta sikkerhet og personvern i forvaltningen av helsedata, og sørge for at de tjenestene som inngår i de digitale verdikjedene er tilgjengelige og operative til enhver tid.

I denne rapporten trekker vi fram:

  • Angrepsvektorer
  • Ransomware
  • Spionasje
  • Svindel
  • Sårbarheter

Rapporten er avgrenset til å beskrive tilsiktede handlinger.


3. Situasjonsrapport

Angrepsmetoder

Enten man utsettes for ransomware, spionasje eller et annet type angrep er angriper avhengig av et fotfeste i virksomheten som angripes. Denne listen viser hvilke angrepsformer vi mener det er viktigst å sørge for at man har sikringer på plass mot. At man har dybdeforsvar på plass er helt avgjørende. Her fokuserer vi likevel på inngangsvektoren da god sikring her vil kunne stoppe angrepene i en tidlig fase.


Fjernpålogging
Med fjernpålogging menes alle systemer virksomhetssystemer som kan gi videre tilgang inn, eller som gir tilgang til informasjon som anses som sensitiv.
Flerfaktor på plass alle plasser man kan logge på virksomheten “Utenifra


Sårbare systemer
Vi har lenge sett at kjente sårbarheter brukes aktivt for å angripe virksomheter som ikke har oppdatert disse. Sårbarhetene kan være gamle, men vi ser også angripere som spesialiserer seg etter nye sårbarheter som slippes, og tiden fra en sårbarhet blir offentlig kjent, til vi ser aktive angrepsforsøk synker. Her mener vi det er viktig med gode rutiner for vedlikehold og patching av systemer. Spesielt slike som er eksponert mot internett. Samtidig er logging viktig for å kunne sjekke om man har blitt angrepet i tiden før man får patchet bort en sårbarhet.

E-post
E-post har lenge vært en mye brukt angrepsmetode. Både for å sosial manipulasjon, phishing og skadevare via linker og vedlegg. Dette har ikke endret seg, og vi forventer ikke at det kommer til å endre seg i overskuelig framtid. Tilstrekkelig sikring her, er når ansatte kan gjøre feil uten at dette automatisk gir angriper fotfeste. (Slik sikring er et supplement til sikkerhetsopplæring og ikke en erstatning)


USB-baserte angrep
Sist år har vi på ny sett angrep med USB. Disse kan grovt deles inn i to grupper: Tilfeller hvor USB er blitt infisert med skadevare utenfor virksomheten. Skadevaren kjøres deretter (uforvarende) når ansatte bruker samme minnepenn på virksomhetssystemer. Tilfeller hvor angriper fysisk tar med seg skadevare via USB og forsøker å opprette fotfeste i bedrifter.
Av disse anser vi den første som en ny normal, og den andre som en observert anomali.


Verdikjedeangrep
Vi ser en økende trend hvor angripere går etter selskaper som lager programvare, eller er tjenesteleverandør for å kunne angripe kunder av disse.

VoIP klient brukt som inngangsvektor:
I april 2023 ble det kjent at nord-koreanske angripere hadde gjennomført et verdikjedeangrep gjennom VoIP-selskapet 3CX. Brukere av 3CX som lastet ned desktopklienten fikk videre skadevare installert gjennom 3CX-appen. Målet for angrepet antas å være stjeling av kryptovaluta.

https://www.3cx.com/blog/news/security-incident-updates/



Ransomware

Ransomware er fortsatt en aktuell og dimensjonerende trussel. Vi ser jevnlige angrep som ender i løsepengekrav mot større og mindre virksomheter. Vellykkede angrep forsøker å enten å gjøre kritiske systemer utilgjengelige eller forsøker å stjele informasjon som er sensitiv, eller begge deler. Helsesektoren, har av naturlige grunner både mange systemer som det er kritisk at er operative og mye informasjon som er sensitiv.


Her ser vi grupper som håndterer alle deler av en operasjon selv, fra innbrudd, lateral bevegelse, kryptering og forhandling med offer. Vi ser også en rekke aktører som spesialiserer seg på en av fasene, og "access brokers" som skaffer og videreselger tilgang er en slik spesialisert type angriper.


Videre har du grupperinger som utvikler ransomware og tilbyr denne som Ransomware as a service (RaaS), de stiller gjerne med krypteringsskadevare en plattform for å forhandle med offeret, mens det er de som kjøper tilgang til RaaS som faktisk utførere angrepet.


Et annet utviklingstrekk er at siste ledd av slike angrep kan innebære at data krypteres, at data stjeles og trues med offentliggjøring om offeret ikke betaler. Kryptering og offentliggjøring kombineres, eller kun den ene delen kan utføres. De som trues med offentliggjøring kan være virksomheten dataen er stjålet fra, eller enkeltpersoner som dataen omhandler. Videre ser man at der hvor data tidligere ble stjålet og kryptert halvveis tilfeldig, er flere angripere nå nøyere i utvelgelse av data de anser som kritisk og eller sensitiv.


Vi forventer at trenden med spesialisering vil fortsette og at denne typen angrep vil fortsette å være en dimensjonerende trussel.

Aktørene som driver med ransomware bruker den metoden som til enhver tid gir de billigst tilgang til mål som gjør at de kan maksimere profitt. For å si det på en annen måte: De velger minste motstands vei. Hva dette er avhenger av aktørens kompetanse og tilganger.


Spionasje

De hemmelige tjenestene trekker i sine rapporter fram spionasje en trussel mot Norge. Vi ser her på forskning, helse- og personopplysninger og informasjon om politiske beslutninger som de mest sannsynlige spionasjemålene. Statlige aktører har store ressurser til sin rådighet og vi forventer å se spionasjeforsøk framover.

  • Politiske beslutninger – Meget sannsynlig
  • Forskning - Sannsynlig
  • Helse og personopplysninger - Mulig

Politisk motivert hacktivisme

Russlands invasjon av Ukraina har ført til store endringer i det politiske landskapet. Mens Russlands statlige offensive cyberoperasjoner primært har vært rettet mot Ukraina har vi sett en ny trend med hacktivistgrupper på begge sider i konflikten.


Flere grupper som støtter Russland har gjennomført en rekke DDoS-angrep mot land de anser som fiendtlige. DDoS-angrepene har i liten grad vært vedvarende over lang tid, og vi vurderer at deres primærmotivasjon til nå har vært oppmerksomhet. I den siste tiden har vi sett tilfeller der slike hacktivistgrupper bryter seg inn hos virksomheter og dumper stjålet data offentlig. Så langt har det vært få slike angrep, og de har hatt relativt lite sofistikerte, det er likevel en trend vi ikke setter pris på.


Svindel

Svindel er fortsatt en stor del av bildet innen cyberkriminalitet. Det er få nye trender her. Vi henviser til vårt webinar [link] om temaet for de som ønsker en repetisjon av hvilke typer svindler man typisk kan bli utsatt for. Slike svindler er enormt lukrative og representerer samlet, mye større verdier enn ransomwaregruppers antatte inntjening.


Svindler representerer likevel en mye mindre trussel enn ransomwaregrupper, mens de kan føre til store finansielle tap påvirker de ikke helsesystemer på kort sikt, og de har liten evne til å påvirke helsesystemer på lang sikt.


Sårbarheter

Siste tiden har vi på ny sett USB-brukt aktivt for å spre skadevare. I en observert kampanje ble skadevare spredt til alle USBer som ble plugget inn i en allerede infisert datamaskin.

I tillegg til skadevaren som ble lagt inn ble eksisterende filer gjemt, og filikonene ble endret slik at det så naturlig ut å klikke på skadevare for å åpne de egentlige legitime filene.

Om det ble gjort spredte skadevaren seg til en ny maskin. I et tilfelle ha vi observert en infeksjon i Norge som er antatt å komme fra en datamaskin i en tyrkisk kopibutikk.


4. Ord og uttrykk

For ukjente ord og uttrykk henviser vi først til vår liste over faguttrykk: https://www.nhn.no/om-oss/Personvern-og-informasjonssikkerhet/helsecert/publikasjoner/ordliste

Deretter til online-søk.

Er det et uttrykk du savner etter begge disse metodene ta gjerne kontakt med oss på !

5. Sannsynlighetsord

Vurderinger vil alltid inneholde en grad av usikkerhet. For å håndtere dette på en standardisert og strukturert måte, er det benyttet sannsynlighetsord (se tabell)

Meget sannsynlig Det er meget god grunn til å forvente… (>90%)
Sannsynlig Det er grunn til å forvente… (60-90%)
Mulig Det er like sannsynlig som usannsynlig… (40-60%)
Lite sannsynlig Det er liten grunn til å forvente… (10-40%)
Svært lite sannsynlig Det er svært liten grunn til å forvente… (<10%)

Fant du det du lette etter?