Hackertrusselen: - Skummel affære

Forrige helg fikk Nordic Choice for alvor føle på kroppen hvordan det er å bli hacket. - Det kan skje hvem som helst, sier norsk IT-ekspert.

EKSPERT: IT-sikkerhetssjef i Atea, Thomas Tømmernes, mener absolutt alle kan bli hacket. Foto: Benjamin A. Ward / Atea / DNX
EKSPERT: IT-sikkerhetssjef i Atea, Thomas Tømmernes, mener absolutt alle kan bli hacket. Foto: Benjamin A. Ward / Atea / DNX Vis mer
Publisert

Forrige helg opplevde hotellkjeden Nordic Choice et voldsomt virusangrep som lammet deres IT-systemer, og slo ut systemer for booking, inn- og utsjekk, samt betalingsløsninger.

I en pressemelding skrev kjeden at det er et såkalt «løsepengevirus», men at kjeden har valgt å ikke ta kontakt med dem som står bak angrepet, og har heller ikke mottatt noe konkret krav.'

Denne uka har det blitt kjent at flere tusen filer med stjålne data og dokumenter fra Nordic Choice har blitt publisert åpent på internett. Det dreier seg blant annet om sensitive data som personnummer, lønn, bankkontonumre og mye mer, skriver digi.no.

Saken er politianmeldt.

Det Choice omtaler som «løsepengevirus» er egentlig et dødt begrep, sier Thomas Tømmernes, IT-sikkerhetssjef i Norges største IT-selskap Atea.

Firedobling

Ifølge ham skal det Choice opplevde omtales som digital utpressing, og det viser at dette er noe som kan skje alle, rett og slett fordi Choice er kjent for å ha ganske god sikkerhet.

- Vi har et hendelseshåndteringsteam, det er godkjent av Nasjonal sikkerhetsmyndighet (NSM) - vi rykker ut på store hendelser hos virksomheter hele tida, mange ganger i måneden. Det vi rykker ut på er digital utpressing, de gamle løsepengevirusene, sier Tømmernes til Børsen.

Ved en digital utpressing tar hackerne kontroll over virksomhetens system, og krever penger for å gi fra seg kontrollen igjen.

Før sommeren hadde Atea en firedobling i henvendelser på slike hendelser sammenliknet med i hele fjor.

Ifølge Tømmernes eskalerer problemet blant annet fordi det er så effektivt. Gjennomsnittlig tar det nemlig 90 dager fra en hacker tar seg inn i et system til hackeren blir oppdaget.

- Du har så god tid til å kartlegge virksomheten. Vil du gjennomføre digital utpressing så klarer du å kryptere alt. Vi står i dette ofte, og klarer ofte å rydde opp fordi virksomheten har en offline backup, sier Tømmernes, og fortsetter:

- Har man ikke det er det ganske mange som betaler løsepenger.

Direktørsvindel

De ser nå en utvikling i det som omtales som «CEO-scam», altså administrerende direktør-svindel.

- Det er en skummel affære. Dette er veldig utbredt i små og mellomstore bedrifter, og det er lett for en hacker å skjønne hvordan ting henger sammen.

Kort fortalt er måten det skjer på at en hacker tar seg inn i systemet til en virksomhet, og bruker tiden hen har til å kartlegge bedriften.

Hackeren får oversikt over hvem som er administrerende direktør, hvem som har økonomiansvar, hvem som er kundene, samt banknummeret til kundene og hvem som er bankforbindelsen.

- Da kan man hoppe inn som administrerende direktør og gi beskjed til økonomiansvarlig om at en samarbeidspartner i Belgia har byttet konto, og at det må gjøres en hastebetaling så man får varer før jul. Så ber man økonomiansvarlig om å overføre 800 000 kroner til det nye kontonummeret, forklarer Tømmernes.

- Denne beskjeden kommer da fra administrerende direktør, med både gammelt og nytt kontonummer. Så overføres pengene. Hackerne bruker systemene og tilliten til administrerende direktør.

En gjennomsnittsutbetaling i en sånn type svindel ligger et sted mellom 800 000 og 1,5 millioner kroner.

- Cyberskam er dødt

Tømmernes forteller at hver eneste gang han holder foredrag for næringsforum så er det noen som har opplevd denne typen svindel, uten at de har orket å anmelde det til politiet.

- Hva skjer om de anmelder det? Skal du anmelde det til politiet handler det om å få igjen på forsikringen, men har du ikke cyberforsikring så dekkes ikke virtuelle tap. Da er det du oppnår om du anmelder litt dårlig omdømme for deg selv, og mange føler seg litt dumme når de blir lurt, sier IT-eksperten, som samtidig fastslår med ettertrykk:

- Men cyberskam er dødt! Dette kan skje alle.

- Selv deg?

- Selv meg! Hvis man bruker lang nok tid. Alle kan bli kompromittert.

En forlengelse av «CEO-scam» er det som omtales som forsyningskjedesvindel.

- Da går man for eksempel inn og hacker en hjørnesteinsbedrift på Toten, som er underleverandør til et selskap i Stavanger, som leverer til Hydro. Da kan man gå inn og bruke tilliten til selskapet på Toten, og være med på reisen til selskapet i Stavanger. Så sitter hackeren der og følger med og er med inn i Hydro. Det er akkurat derfor det er så viktig å sikre alle småbedriftene i Norge.

Vil ha digitalt heimevern

Og her kommer Tømmernes inn på det han virkelig brenner for: Han mener Norge må opprette det han omtaler som et digital heimevern.

I Norge har vi i dag cyberforsvaret, som tar vare på Forsvaret, og NSM, som har laget grunnprinsippene for digital beredskap, men Tømmernes understreker at det bare er prinsipper, ikke lovverk.

I tillegg jobber politiet preventivt, men de får inn så mange saker at det er umulig for dem å håndtere problemet, ifølge Tømmernes.

- La oss si at maks 500 virksomheter i Norge er ivaretatt. I Norge har vi 605 000 virksomheter, 400 000 er enkeltpersonforetak. Da er vi nede på 205 000 små og mellomstore bedrifter. 500 av disse hjelper myndighetene - resten er overlatt til å bli ivaretatt av private tjenestetilbydere som jobber med IT og sikkerhet.

Derfor vil han at det skal utarbeides et sett med regler alle er enige om, som man allerede i barneskolen kan ta inn, og så kan det bli med gjennom hele utdanningsløpet og videre inn i næringslivet og offentlig sektor.

- Veldig mye av det offentlig sektor prøver å få til er allerede laget i privat sektor og kommersialisert. Men offentlig sektor vil ikke ta tak i det kommersielle, og prøver selv å lage det som allerede er laget av verdens fremste eksperter, forteller Tømmernes.

Må få til samarbeid

IT-eksperten peker på at tematikken har vært omtalt i flere stortingsmeldinger, seinest i stortingsmelding 5 fra 2021.

- De ser for seg det samme som meg, men det er ingen rammer, det er dugnadsarbeid. Jeg er vant til å bo i borettslag, og når vi hadde dugnad der forberedte vi oss godt, kjøpte maling, delte opp oppgaver, og alle hadde en felles gevinst av å jobbe sammen. Da funket dugnad. Hadde vi bare satt malingen der og håpet på det beste hadde ingenting skjedd, konkluderer han.

For et viktig spørsmål er: Hvor ringer man i dag hvis det skjer noe?

- Politiet henlegger det. De vet ikke hvor de skal starte. De er flinke, men mengden angrep de får tilsendt er så enorm at de må henlegge. Det skal ansettes 200 i politiets datakrimtjeneste, men det er altfor få det også.

Løsningen er ifølge ham det digitale heimevernet, med ti definerte regler fra Justisdepartementet, satt sammen 50/50 av det offentlige og det private.

- Vi må få interesser fra begge sektorer. Vi må prate om de samme tingene, ikke slå hverandre i hjel, sier Tønnessen, som er helt overbevist om at det private kan bidra til å løfte den digitale sikkerheten på nasjonalt plan:

- Vi jobber tett med konkurrentene våre for å løse problemer - vi setter det norske samfunnet foran egne interesser. Det som er interessant i Norge er at det fagmiljøet som driver med IT og sikkerhet er veldig positive til samarbeid på kryss og tvers til Norges beste.

Vi bryr oss om ditt personvern

borsen er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

Vil du vite mer om hvordan du kan endre dine innstillinger, gå til personverninnstillinger

Les mer