Logiske bomber i viktige systemer

Med oppdagelsen av Stuxnet fikk vi vite at digitale våpen brukes for å nå politiske mål. Ny Tid har snakket med forfatter Kim Zetter om hvor sårbare dagens digitale styringssystemer er.

Tori Aarseth
Aarseth er statsviter, og fast journalist i Ny Tid.

«Jeg tviler ikke på at det sitter logiske bomber plantet i forskjellige systemer, for eksempel i kritisk infrastruktur. Logiske bomber sitter gjemt i et system og er designet for å implodere under bestemte forutsetninger en gang i fremtiden,» sier Zetter til Ny Tid. «Denne typen angrep, hvis de er gjort av en stat, vil antakeligvis skje i forbindelse med en krig eller geopolitisk konflikt, men man kan også få se slike angrep fra terroristgrupperinger, og da kan de ramme mer tilfeldig».

Zetter har dekket cybersikkerhet siden 1999, men var i utgangspunktet ikke så interessert i datamaskinenes verden. «Jeg ble dratt inn i det da jeg tok en midlertidig jobb hos PC World. Jeg dro på min første hackerkonferanse, DefCon i Las Vegas, og ble fascinert av miljøet og av den hemmelig skyggeverdenen hvor folk jobber med å hacke seg inn på systemer. Jeg oppdaget at selv om jeg ikke liker datamaskiner og teknologi per se, så er de politiske spørsmålene rundt dette veldig spennende,» sier Zetter, som siden den gang har tilegnet seg enorm kunnskap og nå regnes som en av verdens fremste eksperter på feltet.

En av de mest foruroligende avsløringene i Zetters bok Countdown to Zero Day, er hvor dårlig sikkerheten rundt industrielle kontrollsystemer er. Disse kontrollerer blant annet strømnett, industri, trafikksignaler og renseanlegg for vann. Det sier seg selv at konsekvensene kan bli store dersom disse blir utsatt for sabotasje. Zetter forteller om hvordan kontrollsystemene i utgangspunktet ble designet uten tanke på sikkerhet, og hvordan industrien har vært motvillig til å investere for å bygge opp nye, sikre versjoner. Bordet fanger, for disse systemene har en mye lengre forventet levetid enn en personlig laptop.

Når det gjelder spørsmålet om hvorvidt statlige byråer bør samle på og handle med systemsvakheter, mener Zetter at vi må finne et kompromiss. «Vi vil at staten skal kunne utføre spionasje og noen former for overvåkning av legitime grunner. Da må vi forvente at de også trenger noen zero days. Jeg mener det bør etableres et uavhengig organ som evaluerer når en svakhet er så katastrofal at den ikke kan holdes tilbake, men må varsles til eieren av programvaren slik at den kan repareres snarest. Vi har ikke et sånt system i USA per i dag, og jeg vet ikke om noe annet land som bruker zero days som har et slikt kontrollsystem heller.»

Til dags dato er det kun USA, med hjelp av Israel, som man med sikkerhet vet har brukt et digitalt våpen mot et annet land. Edward Snowden har bekreftet at disse to samarbeidet om å utvikle Stuxnet. Fra 2012 har et presidentdirektiv fastsatt at presidenten må godkjenne alle amerikanske digitale angrep utenfor en erklært krig, men NSA og CIA er unntatt fra bestemmelsen. I 2011 hadde NSA hele 231 offensive digitale operasjoner mot andre land.

Dokumentarfilmen Zero Days ble denne måneden lansert i USA. Vi kommer tilbake med en kritikk av filmen om Stuxnet.

Se også vårt opptak av regissør Alex Gibney som snakker om filmen under Berlinalen på www.nytid.no.

---
DEL