Laddar meny

Alvorlige sikkerhetsangrep skjer hver dag

Reportasje 2016-09-12
Hver dag skjer det tusenvis av angrep mot datasystemene i norske virksomheter. Risikoen for at de angrepene lykkes er betydelig. Likevel har norske ledere liten oppmerksomhet mot problemet.
Eline Furuseth
Markedsrådgiver i Atea

Det mener Roar Thon, fagdirektør for sikkerhetskultur i Nasjonal sikkerhetsmyndighet. Angrepene blir stadig vanskeligere å oppdage og norsk næringsliv taper nå flere hundre millioner kroner på svindel hvert år.

Måten vi lettest blir hacket på, er gjennom en tilsynelatende uskyldig e-post som gjør at vi utfører en handling. Den kan tilsynelatende komme fra universitetet eller banken, og se helt ufarlig ut, men være fjernstyrt og kontrollert fra en kriminell i et annet land. Angrepene kan resultere i pengesvindel, tyveri av hemmelig informasjon eller at viktige systemer stenges ned.

- CEO-svindel er et eksempel. E-posten ser ut til å komme fra øverste leder i et selskap, hvor det bes om innbetalinger. Dette er så proft utført at betalingene går gjennom. I sommer hadde vi et slikt tilfelle der man innen 20 minutter forstod at noe var galt, men da hadde pengene allerede forsvunnet ut på internasjonale konti. Et annet eksempel er kryptering av data. Idet du åpner mailen med et vedlegg starter den å kryptere all data på maskinen din. Etter en stund får du beskjed om at du har 72 timer på deg til å betale en stor sum for å få igjen dataene dine. Vi opplevde dette med et hotell for litt siden. De mistet bookinger for to år fremover, sier Thon.

I følge Thon bruker man kun to sanser når man sitter på datamaskinen: syn og hørsel. De tre andre sansene bruker vi vanligvis til å detektere og få en følelse av om vi er i en truende situasjon. Den følelsen mister vi på nettet. Derfor er vi ekstra truet. Men løsningen er ikke å slutte å lese e-post:

- Veldig mange i samfunnet har som oppgave å sende informasjon, svare på e-poster eller betale fakturaer. Det er ikke realistisk å leve etter en regel om ikke å åpne e-poster eller klikke på linker. Dessuten endrer datakriminelle metodene sine hele tiden. Vi må derfor sikre systemene våre på helt andre måter.

Norge blir invadert hver eneste dag

Det er ikke bare enkeltpersoner og bedrifter som blir utsatt. Hver eneste dag prøver utenlandske stater å angripe norske interesser.

- Det er lett å tro at det er datanerden på gutterommet som holder på med dataangrep, men det kan like gjerne være en voksen kvinne, som jobber i en velstrukturert organisasjon med klare oppgaver. Beklageligvis består disse oppgavene av å bryte seg inn i norske datasystemer. Dette er nasjonale motstandere som er ute etter å få tak i så mye informasjon som overhodet mulig, skaffe seg kontroll, og i verste fall skru av systemene våre.

Heldigvis blir de fleste angrep stoppet, forsikrer Thon.

- Det meste håndteres, ellers hadde flyene stanset, mobilen din hadde ikke virket og du hadde ikke fått posten din. Men det er kontinuerlige forsøk for å teste sårbarheten vår. Derfor må vi bruke mye ressurser på å beskytte oss.

Selv om det høres voldsomt ut med angrep fra andre nasjonalstater hver dag, er ikke Norge spesielt utsatt i global forstand. Derimot er vi som enkeltpersoner mer sårbare for svindel. Thon mener det kan komme av at vi er naive her oppe i nord.

- Det skyldes nok den skandinaviske samfunnsmodellen og naboskapet. Vi har høy tillit til omgivelsene våre og greier ikke fullt ut tro på at andre har en vond hensikt. Derfor blir vi lettere naive.

Hvordan kan du sikre deg?

  1. Gjør digitale situasjoner til analoge: Ta et par sekunder og pust når du får en henvendelse om å gjøre en handling. Hvis du får en mail fra banken din om å oppgi opplysninger, tenk deg heller at det står en mann utenfor døra di og ber om det samme. Han har fin dress, og det ser ut som om han kommer fra en bank, men han kan ikke legitimere seg. I døra hadde du vært skeptisk og kanskje ringt banken for å sjekke. Gjør det samme med henvendelsen på nettet.
  2. Identifiser verdiene dine: 90 prosent av det vi holder på med og har av informasjon, er kanskje ikke så kritisk. Det er kun kritisk hvis vi mister de resterende prosentene. Bedrifter og virksomheter må kjenne sine egne verdier og sårbarheten til disse verdiene. Disse må beskyttes med gode tiltak, mens man kan slappe mer av når det gjelder det andre. Da får man bedre forsvar der det er kritisk, og sikkerheten blir mer hensiktsmessig og kostnadseffektiv.
  3. Søk hjelp: Sikkerhet blir ofte ikke tatt med som en grunnleggende del i oppbyggingen av en virksomhet. Det blir rett og slett ikke prioritert. Enten bør man ha egne ressurser som har kompetanse og evne til å identifisere verdiene og sikre dem, eller så bør man hente inn noen som kan gjøre det for seg.

- Vi kan ikke forvente at alle små og mellomstore bedrifter vet hvordan alle sikkerhetsutfordringer skal løses, men da bør de søke hjelp. Transportfirmaet med 20 ansatte eller forsikringsselskapet med 50 må også identifisere og beskytte sine verdier. Hadde hotellet som mistet bookingene sine vært forberedt og hatt bedre back-up, hadde problemet vært løst. Man må tenke på det før man blir rammet.

  1. Vit hvordan du skal handle: Til syvende og sist må man være forberedt på hva man gjør hvis angriperen lykkes. Det vil alltid være noen som kommer gjennom, men jo raskere man kan identifisere problemet, jo bedre.

I følge Thon bør vi jobbe mer med å styrke bevisstheten, forberede oss og forebygge. Han minner likevel om at det alltid vil være en risiko:

- Bedriften som er hundre prosent sikker finnes ikke. Det eneste som er sikkert er at ingen ting er helt sikkert, avslutter han.

Vil du høre mer om hvilke sikkerhetsutfordringer vi står overfor, kan du høre Roar Thon på Atea Community i Tromsø, Trondheim, Ålesund, Bergen, Stavanger, Kristiansand og Oslo. Program finner du her.

Atea.no oppfattes bedre hvis du oppdaterer nettleseren din. Her finner du en ny versjon av Internet Explorer