Frykter massivt utpressingsforsøk mot norske bedrifter

En type selskaper de færreste tenker over kan være nøkkelen til et slikt dataangrep.

Frykter massivt utpressingsforsøk mot norske bedrifter

En type selskaper de færreste tenker over kan være nøkkelen til et slikt dataangrep.

John André Bjørkhaug har siden 2008 jobbet med å teste sikkerheten til bedrifter og IT-systemer. En av tingene som bekymrer ham mest er at organiserte kriminelle kan lansere et koordinert utpressingsforsøk mot flere bedrifter.

Slike dataangrep, gjerne kalt løsepengevirus, låser ned selskapets IT-systemer og det har blitt vanlig at de kriminelle også henter ut sensitive dokumenter. Deretter krever de kriminelle løsepenger for å låse opp datamaskinene og hindre publisering av de stjålne dokumentene.

– Det vil bli kaos, sier Bjørkhaug om scenarioet der et slikt utpressingsforsøk rammer flere norske bedrifter samtidig.

Håkon Xue-Lønmo i IT-sikkerhetsselskapet Defendable deler Bjørkhaugs bekymring.

– Et slikt angrep vil være smertefullt, men det vil ikke lamme hele samfunnet på en gang, sier Xue-Lønmo.

Det hittil største utpressingsforsøket i Norge, Hydro-angrepet i 2019, endte med å koste selskapet flere hundre millioner kroner. I fjor vinter ble Amedia, Nordic Choice, og Nordland fylkeskommune rammet over en kort tidsperiode.

– Det er nå mange utpressingsforsøk mot enkeltbedrifter, men om en trusselaktør kommer seg inn i et miljø der de har enkel tilgang til mange bedrifter vil de kunne slå mange fluer i en smekk, sier Bjørkhaug.

Og den letteste måten å gjøre det på kan være å gå etter en type selskap få har tenkt noe særlig over – driftsleverandørene. Det er nemlig de som holder alskens IT-systemer vedlike for små og store bedrifter over hele verden.

Det har Bjørkhaug selv opplevd flere ganger. På et oppdrag kunne han lett skaffet seg tilgang til over 50 bedrifters IT-systemer gjennom en driftsleverandør. Blant dem var det selskaper de fleste har hørt om og som har flere milliarder i omsetning.

Driftsleverandører har blitt brukt til å lansere utpressingsforsøk tidligere. I det mest kjente eksempelet ble en sårbarhet hos IT-selskapet Kaseya benyttet til å lansere 800 til 1500 utpressingsforsøk, ifølge ZDnet.

Kaseya anslo selv at kun 60 av deres kunder ble rammet, men mange av dem var driftsleverandører. Dermed kunne den kriminelle gruppen lansere et omfattende dataangrep.

En av ofrene var den svenske delen av dagligvarekjeden Coop. Det førte til at de måtte stenge 700 av sine 800 butikker, og det tok seks dager før alle butikken var tilbake til normalt, ifølge Truesec som hjalp Coop gjennom krisen.

Bjørkhaug jobber nå som penetrasjonstester i Netsecurity, men har jobbet for flere sikkerhetsselskaper i Norge. Han oppgir å ha sett skrekkhistorier, men ønsker ikke å si hvilke driftsleverandører som har hatt spesielt svak sikkerhet.

– Hvorfor er du så bekymret for at driftsleverandører kan utnyttes?
– De har i mange tilfeller ikke god nok sikkerhet. Det har jeg sett gjennom flere penetrasjonstester jeg har utført. Det er problemer med å skille kundene fra hverandre og passord gjenbrukes på tvers.

Bjørkhaug mener selskaper må stille større krav til sine driftsleverandører og at penetrasjonstester også undersøker leverandørene til et selskap.

Nasjonal sikkerhetsmyndighet (NSM) forteller NRK at «det grunnleggende sikkerhetsnivået i norske virksomheter er for lavt» uten å svare spesifikt om driftsleverandører.

– NSM har lenge advart mot at verdikjeder utnyttes. Driftsleverandører er en del av denne problemstillingen, ved at man ved å ramme én så rammer man mange. I et slikt perspektiv kan en driftsleverandør være en honningkrukke for ondsinnede aktører. Dette er en utfordring som favner langt utover løsepengevirus og digital utpressing, sier fagdirektør Roar Thon i NSM.

Xue-Lønmo i Defendable mener at sikkerheten hos driftsleverandører på generelt grunnlag er bedre enn hos selskaper som drifter sine egne IT-systemer.

– Grunnen til dette er at driftsleverandørene har spesialisert seg på profesjonell og automatisert drift, sier Xue-Lønmo.

For interesserte: Podcasten Darknet Diaries har en episode om hvordan kinesiske hackere skal ha brukt driftsleverandører til å spionere på deres kunder.

NRK har spurt to store driftsleverandører i Norge, Atea og Tietoevry, om Bjørkhaugs bekymringer.

– Vi ser eksempler på dette over hele verden. Driftsleverandører blir mål for stadig mer avanserte, kompetente og velfinansierte nettverksangrep. Metodene er kjent for å være mer sofistikerte og vanskelige å oppdage, svarer Mikael Lingskog, CISO for Tietoevry Connect.

Lingskog mener de selv har god sikkerhet og forteller at de jobber strukturert med å minske konsekvensene av at potensielt utpressingsforsøk.

– Det alltid en fare for at IT-kriminelle kommer seg på innsiden av systemer. Når det er sagt, er det generelt sånn at driftsselskaper skal ha god kompetanse på dette område. Jeg er mye mer bekymret for alle de små og mellomstore virksomhetene i Norge som ikke har driftsleverandører, eller vet hvem de skal henvende seg til for å bedre sikkerheten sin, sier Thomas Tømmernes som er sjef for Ateas avdeling for IT-sikkerhet.

Martin Gundersen – Hei! Jeg skriver om mye rart, men det går mest i temaene personvern, IT-sikkerhet, og sosiale medier. Jeg vil gjerne snakke med deg om du har opplevd å bli utsatt for et datainnbrudd eller fått personvernet krenka. Kontakt meg på epost, @martingund eller (+47) 47 75 65 15 (Signal).

LES MER: