Kampen mot cyberkriminalitet i forskning og utdanning

En fersk etterforskning gjennomført av amerikanske FBI avslører den urovekkende historien om en tilsynelatende harmløs e-post sendt til et førtitalls forskere ved Universitetet i Bergen og Universitetet i Oslo i 2015.

(Kilder: In the Field og www.uninett.no/sikkerhet)

E-posten så ut til å være sendt fra en tysk forskerkollega. Mottakerne ble bedt om å videresende en rekke forskningspublikasjoner, ved å klikke på en lenke til en nettside som så ut som deres lokale, velkjente innloggingsside. Her skrev de inn brukernavn og passord, som så ble stjålet av cyberkriminelle. Nå, over tre år senere, viser etterforskningen at cyberangrepet hadde sin opprinnelse i Iran, og at det var del av et globalt raid som traff 144 universiteter i USA og 176 universiteter i 21 øvrige land. Hensikten med angrepet var å laste ned forskningspublikasjoner og deretter selge dem.

Heldigvis ble en av forskerne som mottok denne e-posten mistenksom, og varslet derfor sitt lokale sikkerhetsteam. De kunne på bakgrunn av informasjon fra forskeren lokalisere de andre mottakerne av e-posten, og advare dem mot å åpne e-posten og å klikke på den aktuelle lenken. Hendelsen ble også rapportert til Uninett CERT og NorCERT.

Forskning og utdanning er mål for cyberkriminalitet

Hendelsen er kun én av mange, og viser at forskning og utdanning i Norge er et like stort mål for cyberkriminalitet som andre samfunnssektorer. Behovet for å bekjempe denne formen for kriminalitet stiger. Sikkerhetseksperter forventer at cyberkriminaliteten vil øke i takt med at digitale verktøy og prosesser blir en stadig mer integrert del av vår moderne hverdag. Vår individuelle, organisatoriske og samfunnsmessige sårbarhet vil bli stadig sterkere utfordret. Cyberkriminalitet representerer med andre ord en trussel for vital infrastruktur – inklusive den digitale grunnmuren for forskning og høyere utdanning.  

CERT-team og tett samarbeid forebygger og beskytter

CERT-samarbeidet i kunnskaps-Norge spiller en avgjørende rolle for å beskytte studenter, forskere og andre brukere mot phishing-kampanjer, DDoS-angrep, ransomware og lignende. Uninett organiserer nasjonalt operativt IT-sikkerhetsarbeid innenfor høyere utdanning og forskning, og samarbeider tett med andre sikkerhetsmiljøer både nasjonalt og internasjonalt. Sentralt i dette arbeidet er Uninett CERT, det nasjonale responsmiljøet for forskning og høyere utdanning. Som Kunnskapsdepartementets sektorCERT følger vi Nasjonal sikkerhetsmyndighets rammeverk for håndtering av IKT-sikkerhetshendelser. Vi har bistått med å opprette sikkerhetsresponsteam på campus landet rundt, som sammen jobber preventivt og operativt for å sikre den digitale grunnmuren. Uninett CERT jobber hver dag for å forebygge, oppdage, varsle og håndtere sikkerhetshendelser. Forebygging innebærer blant annet trusselvurderinger, sårbarhetsanalyser og overvåking av trafikken i forskningsnettet.

Godt samarbeid er helt avgjørende for å lykkes i kampen mot cyberkriminalitet. Uninett samarbeider tett med lokale responsteams ved universitetene og høyskolene, blant annet ved å dele sensitiv informasjon rundt potensielle og reelle sikkerhetshendelser.  Videre har fagmiljøet et tett samarbeid med det nasjonale NorCERT og den internasjonale samarbeidsorganisasjonen FIRST.

Analysesenter med kunstig intelligens og maskinlæring

Myndighetene bevilget nylig penger til en sterkere satsing på cybersikkerhet I kunnskaps-Norge. Via Unit – Direktoratet for IKT og fellestjenester i høyere utdanning og forskning, er Uninett bedt om å lede et sikkerhetprosjekt, i tett samarbeid med sikkerhetmiljøene ved NTNU og Universitetet i Oslo.

Et av målene er å etablere et teknisk analysesenter som skal analysere cybertrusler. Enorme datamengder må da analyseres, og arbeidet vil derfor kreve automatiserte prosesser i form av kunstig intelligens og maskinlæring.

Videre er det aktuelt å bruke verktøy som kan oppdage cyberangrep og hindre at de sprer seg. Her er samarbeid og koordinering som nevnt viktig, og Uninett CERT, NTNU og Universitetet i Oslo vil i fellesskap bistå også mindre institusjoner med å forebygge og håndtere sikkerhetshendelser.