Digital dugnad med tofaktorautentisering
NTNU opplever i snitt over fire cyberangrep om dagen. Med tofaktorautentisering skal studentene bidra til det digitale forsvaret.
Denne høsten ble tofaktorautentisering innført for studenter og ansatte ved NTNU. Det vil si at man ikke får logge seg på enkelte av NTNUs interne tjenester uten å bekrefte innloggingen med for eksempel sin personlige mobil. Det kan vel ikke være så viktig, det jeg har på Blackboard, tenker du kanskje, men nettopp dette smått irriterende tiltaket er et stort steg i å gjøre NTNU og Norge mer datasikkert.
Måtte benytte tofaktor hver dag
Atle Skjevdal er tredjeårsstudent i kybernetikk og robotikk. Etter innføringen opplevde han at han måtte autentisere seg omtrent hver gang han logget seg på Blackboard.
– Jeg ble egentlig litt forbannet hver gang. Det er jo nesten som når du logger inn i nettbanken, forteller Skjevdal.
På NTNU sin temaside på Innsida om tofaktorautentisering hevdes det at man normalt bare skal trenge å bruke autentiseringen én gang hver tjuende dag. Skjevdal forteller at det ikke er tilfelle, og at de er flere som er frustrerte over måten løsningen er blitt implementert.
– Jeg vet at det er flere som er enige. Vi er flere som sitter og banner hver gang vi skal inn på Blackboard, forklarer Skjevdal.
Forstår ikke poenget
For mange er det kanskje mer intuitivt at man nettopp må ha slike sikkerhetsbarrierer i nettbanken. Skjevdal synes det var rart at hans Blackboard-konto skulle være så beskyttet.
– På min Blackboard-konto er det ikke så veldig mye å få tak i, forteller Skjevdal og ler.
Skjevdal opplever det som veldig unødvendig. Han ble så frustrert over løsningen at han begynte å regne på hvor mye tid NTNUs studenter bruker på å autentisere seg.
– La oss si at vi må autentisere oss tre ganger i uken, og at det tar 20 sekunder. Hvis man ganger det opp med at man studerer omtrent 40 uker i året og at det er omtrent 43 tusen studenter ved NTNU, blir det 103 millioner sekunder, eller 3,3 år. Så det er jo over tre år som går med til å taste på den appen, forklarer Skjevdal.
Kontoer på avveie
Stian Husemoen er seksjonsleder for digital sikkerhet ved NTNU og deltok i prosessen med å innføre tofaktorautentiseringen.
– Bakgrunnen for at vi innførte det, er at vi i flere år har hatt en utfordring med at brukernavn og passord havner på avveie, forklarer Husemoen.
Han forklarer at det er to hovedgrunner til at dette skjer. Den første er såkalte phishing-angrep, hvor angripere utgir seg for å være pålitelige aktører og forsøker å få tak i sensitiv informasjon. Den andre er passord-gjenbruk. Det vil si at man bruker passordet tilknyttet NTNU-kontoen ved andre internettjenester.
– Disse tjenestene har en tendens til å bli hacket før eller senere, og da havner disse passordene på avveie, forklarer Husemoen.
Din konto kan være av interesse
Husemoen har fått med seg at enkelte studenter har vært misfornøyde med hvor ofte de må autentisere seg. Han forklarer at noe av grunnen er at mange studenter bytter IP-adressen de logger inn i Blackboard på, for eksempel ved å bytte fra PC til mobil. Husemoen forteller at de jobber med å forbedre dette. Han forstår også at studentene tenker at det ikke er så farlig med deres egen konto.
– Ja, man tenker jo lett sånn at det ikke er så farlig med passordet mitt, fordi jeg har jo ikke noe farlig på den kontoen, sier Husemoen.
Men selv om man ikke skulle tro det, kan det faktisk være interessant for dataangripere å komme seg inn på din konto.
– Hvis angriperne først får en fot innenfor, så kan de bruke det til å prøve å komme videre inn i systemet, forklarer Husemoen.
Kommer angriperne seg videre derfra, kan de få tilgang til informasjon som NTNU ønsker å verne om. Det er altså et tydelig behov for denne typen løsning, men Husemoen forstår at grunnen til at de implementerte tofaktorautentisering kunne vært kommunisert bedre til studentene.
– Vi kan alltid kommunisere bedre, sier Husemoen.
Under konstant angrep
Husemoen forklarer videre at tofaktorautentisering også innføres nå fordi det digitale trusselbildet de siste årene har endret seg dramatisk.
– Vi er faktisk i en helt ny hverdag nå. De siste årene har vi jo sett eksempler på store dataangrep, slik som på Universitetet i Tromsø eller på Stortinget, forklarer Husemoen.
NTNU opplever også dataangrep. Daglig.
– På NTNU håndterer vi omtrent 1500 slike sikkerhetshendelser i løpet av et år. Så man kan si at vi er under konstant angrep, forteller Husemoen.
Det digitale trusselbildet
Økningen i cyberangrep som NTNU opplever, opplever også hele Norge. Trusselbildet i Norge har fått mer digitalt preg de siste årene. Per Marius Frost-Nielsen er analytiker i Politiets sikkerhetstjeneste (PST) Trøndelag, og forteller at PST støtter NTNUs beslutning om å innføre tofaktorautentisering.
– Selv om tofaktorautentisering kan oppleves som tungvint, er det en nødvendig del av den digitale dugnaden alle må delta i, dersom vi som samfunn skal beskytte oss mot uønsket innblanding fra fremmede stater, forteller Frost-Nielsen.
Han forteller at PST merker at utenlandske aktører har interesse av NTNU.
– NTNU forvalter store verdier som PST erfarer at etterretningsorganisasjoner i fremmede land viser interesse for, forklarer Frost-Nielsen.
Han understreker, slik som Husemoen, at én enkelt konto kan være en inngangsport for angripere.
– Statlige etterretningsorganisasjoner har store ressurser og tenker veldig langsiktig. Da kan én konto være et ledd i en lang rekke av tiltak for å komme seg videre inn i den digitale infrastrukturen, forteller Frost-Nielsen.
Norsk teknologi i iranske atomvåpen
Digitale trusler virker kanskje fjerne og mindre farlige sammenlignet med andre trusler. Frost-Nielsen forteller at denne formen for angrep kan være minst like farlig som andre trusler, og minner om en alvorlig sak ved NTNU for ikke så lenge siden. Denne handlet om at to ansatte med bakgrunn fra Iran hadde gitt digital tilgang til utenlandske etterforskere. De fikk tilgang til instrumenter og kunne hente ut informasjon og forskning som PST frykter går tilbake til forskningsprogrammer i Iran knyttet til utvikling av masseødeleggelsesvåpen.
– Man tenker kanskje at det ikke er så farlig, fordi det ikke er noen som skyter på hverandre, men i verste fall kan teknologikunnskap fra NTNU bli brukt som en brikke for å utvikle atomvåpen, forklarer Frost-Nielsen.
Blackout på Toten
At informasjon og kunnskap stjeles, er altså noe både PST og NTNU bekymrer seg for. En annen måte dataangrep kan arte seg på, er ved å plante såkalt skadevare i infrastrukturen til de man angriper. Det skjedde i Østre Toten kommune i januar i år. De ble utsatt for et dataangrep hvor alle datasystemene ble utilgjengelig og hele lokalsamfunnet stoppet opp. Det er denne typen angrep Husemoen frykter mest.
– Vi er aller mest redd for at angripere skal komme seg så langt at de kan kryptere deler av systemene våre. Vi så jo hvor store konsekvenser det fikk på Toten, forteller Husemoen.
Også Frost-Nielsen og PST frykter denne typen angrep. Både ved NTNU, men også på større plan.
– Det er lett å se for seg tilfeller hvor en statlig aktør sniker seg inn i serverene til for eksempel kraftbransjen. Om Norge deretter havner i konflikt med dette landet, kan det føre til at store deler av strømmen i Norge plutselig forsvinner, forklarer Frost-Nielsen.
Løsningen fungerer Husemoen forteller at det heldigvis er tydelig at tofaktorautentiseringen har fungert. Før kunne Seksjon for digital sikkerhet ved NTNU registrere flere hundre kontoer på avveie i løpet av et år.
– Antallet kontoer på avveie har ikke sunket helt til null, men nesten, etter at tofaktorløsningen kom på plass, forteller Husemoen.
Problemet er likevel ikke ute av verden. Kreative datasnokere gjør Husemoens arbeid vanskelig.
– Nå prøver angriperne nye metoder. Det er som en katt- og muslek, egentlig, forteller Husemoen.