nrk.no

Frykter massivt utpressingsforsøk mot norske bedrifter

Kategori: Samfunn

BEKYMRET: Penetrasjonstesteren frykter et omfattende dataangrep. Foto: Martin Gundersen/NRK


En type selskaper de færreste tenker over kan være nøkkelen til et slikt dataangrep.

John André Bjørkhaug har siden 2008 jobbet med å teste sikkerheten til bedrifter og IT-systemer. En av tingene som bekymrer ham mest er at organiserte kriminelle kan lansere et koordinert utpressingsforsøk mot flere bedrifter.

Slike dataangrep, gjerne kalt løsepengevirus, låser ned selskapets IT-systemer og det har blitt vanlig at de kriminelle også henter ut sensitive dokumenter. Deretter krever de kriminelle løsepenger for å låse opp datamaskinene og hindre publisering av de stjålne dokumentene.

– Det vil bli kaos, sier Bjørkhaug om scenarioet der et slikt utpressingsforsøk rammer flere norske bedrifter samtidig.

Håkon Xue-Lønmo i IT-sikkerhetsselskapet Defendable deler Bjørkhaugs bekymring.

– Et slikt angrep vil være smertefullt, men det vil ikke lamme hele samfunnet på en gang, sier Xue-Lønmo.

HYDRO: I 2019 ble Hydro rammet av et løsepengevirus som lammet hele bedriften. Foto: Sondre Dalaker/NRK

Det hittil største utpressingsforsøket i Norge, Hydro-angrepet i 2019, endte med å koste selskapet flere hundre millioner kroner. I fjor vinter ble Amedia, Nordic Choice, og Nordland fylkeskommune rammet over en kort tidsperiode.

– Det er nå mange utpressingsforsøk mot enkeltbedrifter, men om en trusselaktør kommer seg inn i et miljø der de har enkel tilgang til mange bedrifter vil de kunne slå mange fluer i en smekk, sier Bjørkhaug.

Og den letteste måten å gjøre det på kan være å gå etter en type selskap få har tenkt noe særlig over – driftsleverandørene. Det er nemlig de som holder alskens IT-systemer vedlike for små og store bedrifter over hele verden.

Det har Bjørkhaug selv opplevd flere ganger. På et oppdrag kunne han lett skaffet seg tilgang til over 50 bedrifters IT-systemer gjennom en driftsleverandør. Blant dem var det selskaper de fleste har hørt om og som har flere milliarder i omsetning.

Angriper leverandørene

Driftsleverandører har blitt brukt til å lansere utpressingsforsøk tidligere. I det mest kjente eksempelet ble en sårbarhet hos IT-selskapet Kaseya benyttet til å lansere 800 til 1500 utpressingsforsøk, ifølge ZDnet.

Kaseya anslo selv at kun 60 av deres kunder ble rammet, men mange av dem var driftsleverandører. Dermed kunne den kriminelle gruppen lansere et omfattende dataangrep.

En av ofrene var den svenske delen av dagligvarekjeden Coop. Det førte til at de måtte stenge 700 av sine 800 butikker, og det tok seks dager før alle butikken var tilbake til normalt, ifølge Truesec som hjalp Coop gjennom krisen.

MIDLERTIDIG STENGT: Slik så det ut da svenske Coop ble rammet av et utpressingsforsøk i 2021. Foto: Ali Lorestani/TT via NTB/AP

Bjørkhaug jobber nå som penetrasjonstester i Netsecurity, men har jobbet for flere sikkerhetsselskaper i Norge. Han oppgir å ha sett skrekkhistorier, men ønsker ikke å si hvilke driftsleverandører som har hatt spesielt svak sikkerhet.

– Hvorfor er du så bekymret for at driftsleverandører kan utnyttes?
– De har i mange tilfeller ikke god nok sikkerhet. Det har jeg sett gjennom flere penetrasjonstester jeg har utført. Det er problemer med å skille kundene fra hverandre og passord gjenbrukes på tvers.

Bjørkhaug mener selskaper må stille større krav til sine driftsleverandører og at penetrasjonstester også undersøker leverandørene til et selskap.

NSM: – En honningkrukke for ondsinnede aktører

Nasjonal sikkerhetsmyndighet (NSM) forteller NRK at «det grunnleggende sikkerhetsnivået i norske virksomheter er for lavt» uten å svare spesifikt om driftsleverandører.

– NSM har lenge advart mot at verdikjeder utnyttes. Driftsleverandører er en del av denne problemstillingen, ved at man ved å ramme én så rammer man mange. I et slikt perspektiv kan en driftsleverandør være en honningkrukke for ondsinnede aktører. Dette er en utfordring som favner langt utover løsepengevirus og digital utpressing, sier fagdirektør Roar Thon i NSM.

KJENT PROBLEMSTILLING: Fagdirektør Roar Thon i NSM forteller at det er flere godt kjente eksempler på bruk av leverandører for å ramme mange. Foto: Bård Gudim

Xue-Lønmo i Defendable mener at sikkerheten hos driftsleverandører på generelt grunnlag er bedre enn hos selskaper som drifter sine egne IT-systemer.

– Grunnen til dette er at driftsleverandørene har spesialisert seg på profesjonell og automatisert drift, sier Xue-Lønmo.

For interesserte: Podcasten Darknet Diaries har en episode om hvordan kinesiske hackere skal ha brukt driftsleverandører til å spionere på deres kunder.

God sikkerhet

NRK har spurt to store driftsleverandører i Norge, Atea og Tietoevry, om Bjørkhaugs bekymringer.

– Vi ser eksempler på dette over hele verden. Driftsleverandører blir mål for stadig mer avanserte, kompetente og velfinansierte nettverksangrep. Metodene er kjent for å være mer sofistikerte og vanskelige å oppdage, svarer Mikael Lingskog, CISO for Tietoevry Connect.

Lingskog mener de selv har god sikkerhet og forteller at de jobber strukturert med å minske konsekvensene av at potensielt utpressingsforsøk.

– Det alltid en fare for at IT-kriminelle kommer seg på innsiden av systemer. Når det er sagt, er det generelt sånn at driftsselskaper skal ha god kompetanse på dette område. Jeg er mye mer bekymret for alle de små og mellomstore virksomhetene i Norge som ikke har driftsleverandører, eller vet hvem de skal henvende seg til for å bedre sikkerheten sin, sier Thomas Tømmernes som er sjef for Ateas avdeling for IT-sikkerhet.

1 kommentar

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *. Les vår personvernserklæring for informasjon om hvilke data vi lagrer om deg som kommenterer.