Nå trenger ikke hackeren engang å kunne data

For bare et par dollar kan vanlige kriminelle kjøpe et hackeprogram for å angripe norske bedrifter.
Jurist og produktekspert Margareth Nilsen i If

Den er omtrent som en nettbutikk, men her er det ikke leker, klær eller bøker som selges. Det er programvare eller andre verktøy som kan brukes til å angripe andre datamaskiner – uten krav til datakunnskap hos dem som kjøper programmet.
Det globale markedet for kjøp og salg av datakriminalitet er trolig større enn narkotikamarkedet. Og det er virkelig globalt.

På skjulte forumer på nettet kan de samme kriminelle som tidligere brøt seg inn i huset ditt eller bedriftens lager, i stedet kjøpe et program som setter datasystemet ditt ut av drift, for så å kreve løsepenger. Og det samme kan de som tidligere sendte såkalte Nigeria-brev.

Stadig mer vanlig

Slike løsepengekrav har rammet flere norske bedrifter, både i hotellbransjen og databransjen. Det er all grunn til å anta at dette vil ramme enda flere i tiden framover.

«Det er svært sannsynlig at hacking mot bedrifter og enkeltpersoner blir vanligere ettersom skadelig programvare blir lettere tilgjengelig,» skriver Nasjonal Sikkerhetsmyndighet (NSM) i rapporten «Helhetlig IKT-risikobilde 2015», som ble lagt frem i oktober.

I den samme rapporten slår direktoratet fast at slik hacking kan ramme bedrifter så hardt at det kan ende med konkurs.

Norge attraktivt

Nå kan imidlertid firmaer forsikre seg mot denne faren – akkurat som de forsikrer seg mot fysiske innbrudd. Vi har som eneste norske selskap en egen forsikring mot datakriminalitet

- Før i tiden hadde folk penger i madrassen og viktige dokumenter i brannsikker safe. Nå har vi store verdier lagret elektronisk. Det er ikke færre kriminelle i dag enn den gang. Og datakriminelle har ingen geografiske begrensninger for hvor de kan slå til. Norge er et av de rikeste og mest digitaliserte landene i verden, det gjør oss svært attraktive for kriminelle i hele verden, sier jurist og produktekspert Margareth Nilsen i If.

Kan ramme alle

Gjennom sine ti sentraler verden over overvåker IBM 270 millioner enheter, som nettverk og servere. Konklusjonen er at datakriminalitet rammer et bredt spekter av bedrifter, ikke bare dem man umiddelbart tenker på som sannsynlige ofre.

De fem bransjene som skiller seg ut, er ifølge sikkerhetsekspert Tommy Bårdevik i IBM: Informasjons- og kommunikasjonsselskaper, produksjonsbedrifter, finans- og forsikringsnæringen, utdanningsinstitusjoner og detaljhandel.

Bårdevik forklarer at det finnes ulike typer dataangrep som kriminelle kan benytte seg av – flere av angrepsmetodene tilbys som skreddersydde tjenester i det mørke nettet, gjennom det NRK har beskrevet som «et slags Finn.no for de med uærlige hensikter».

Vanskelig å spore

– Dette er ferdigkomponerte løsninger tilpasset ulike formål, tilgjengelig for kriminelle aktører. Fra 2012 til 2013 så vi en økning i antall skadevare på 614 prosent. Mye av dette ligger i disse «nettbutikkene». Her er det muligheter for alle som har uærlige hensikter. Mange av programmene og angrepsmetodene kan benyttes av dataukyndige, sier Bårdevik.

Han mener at selv tradisjonelle vinningskriminelle kan stå bak denne typen angrep og kreve løsepenger. Og angrepet er vanskelig å spore. Gjennom det mørke nettet kan de sitte i Norge og fremstå som om angrepet skjer fra et annet land. Og ved å kreve løsepengene i Bitcoins, er det svært vanskelig å finne ut hvem de er etterpå, sier han.

Bårdevik advarer på det sterkeste mot å betale løsepenger. Han advarer også mot å ha overdreven tro på at bedriftens egen IT-avdeling skal kunne avdekke og bekjempe et avansert angrep. Antall skadevare på nettet er stort, sårbarhetene er mange, angrepene kan være svært sofistikerte og vanskelig å oppdage, og oppryddingen kan ta lang tid og være svært ressurskrevende.

– I løpet av første halvår 2015 er det registrert vel 4.000 nye sårbarheter i dataprogrammer. Prognosen er at det vil bli oppdaget 8.000 nye sårbarheter i løpet av dette året. Dette er en nedgang fra året før, men tusenvis av nye sårbarheter bare i programvare skaper enda flere sikkerhetsutfordringer for bedriftene, sier Tommy Bårdevik.

Bedrifter som kjøper Ifs datakriminalitetsforsikring, får tilgang til IBMs døgnåpne hjelpetelefon dersom de mistenker at de har blitt utsatt for datakriminalitet.

Frisørsalong hacket

Da en ansatt klikket på en e-post som utga seg for å komme fra pakkeleverandøren UPS, låste samtlige datamaskiner hos frisøren seg.

Presset for 40 000 kroner

Myter om datakriminalitet

En undersøkelse gjort av Ipsos MMI for If viser at norske ledere av små og mellomstore bedrifter ikke bekymrer seg for datakriminalitet.

Myter om datakriminalitet

Norske bedrifter er ikke forberedt på dataangrep

Få bedrifter vet hvordan de skal håndtere et dataangrep mot bedriften, og hvilke konsekvenser det fører med seg.

Dette kan lede til store tap