Betaling av løsepenger bidrar til å finansiere mer kriminalitet, advarer Kripos og Næringslivets sikkerhetsråd.
Det norske forsikringsselskapet Frende markedsfører på sine nettsider en cyberforsikring som «dekker kostnader til løsepenger og forhandlingskostnader» til bedrifter som utsettes for digital utpressing. Gjennom Frende tilbys forsikringen av blant annet 24 norske sparebanker.
Kripos og Næringslivets sikkerhetsråd (NSR) uttaler til NRK at de prinsipielt fraråder å utbetale løsepenger.
– Kripos anbefaler ikke å utbetale løsepenger dersom man blir utsatt for et alvorlig dataangrep, sier seksjonsleder Øystein Andreassen i Kripos.
– Vi er prinsipielt kritiske til å utbetale løsepenger, fordi det finansierer terror og annen kriminell virksomhet, sier Odin Johannesen som leder NSR.
Johannesen har samtidig forståelse for dem som velger å betale ettersom det kan være nødvendig for å berge arbeidsplasser og redusere risikoen for at sensitiv informasjon kommer på avveie.
– Løsepenger må derfor være en siste utvei. En løsning som kun velges i mangel av andre bedre løsninger, sier Johannesen.
NRK har tidligere omtalt at løsepengevirus koster norske virksomheter dyrt. Bare de tre siste årene har mer enn 35 norske organisasjoner blitt rammet av løsepengevirus.
I slike angrep låser cyberkriminelle organisasjonens datamaskiner. Ofte trues det også med at sensitive dokumenter vil publiseres om man ikke betaler.
Risikoingeniør Arnstein Heimset i Frende forsvarer praksisen.
«Om alternativet til å betale er at kunden går konkurs, så er man fort i en situasjon hvor hensynet til kunden må veie tyngst. Ellers ville en forsikring være lite verdt», skriver Heimset.
Ekspert: Betaling bidrar til nye angrep
Internasjonalt pågår det en større debatt om cyberforsikringer og utbetaling av løsepenger forverrer problemet med digital utpressing. I tillegg til å finansiere kriminalitet er det en frykt for at forsikringen blir en hvilepute. Hvorfor investere i IT-sikkerhet når du har forsikring?
«Forsikringsselskaper bidrar til en økning i løsepengeangrep», skrev ProPublica i 2019. Da dokumenterte den amerikanske publikasjonen at enkelte forsikringsselskaper foretrakk å betale løsepenger fordi det kunne minske forsikringsoppgjøret.
Påstanden om at det er billigere å betale er kontroversiell. Flere NRK har snakket med mener at betaling kan skape en falsk trygghet og at det ikke er noen garanti for å faktisk få tilbake datafilene.
– Man har ingen garantier for at systemet blir låst opp, eller at det ikke blir låst igjen, advarer Øystein Andreassen i Kripos.
Til nyhetsbyrået AP forteller IT-sikkerhetsekspert Josephine Wolff ved Tufts University at betaling av løsepenger av mange selskaper sees på «som en kostnad av å drive forretning».
– Det er svært bekymringsverdig, fordi det bidrar til nye angrep med løsepengevirus, sier Wolff til AP.
Det samme påpeker Andreassen i Kripos:
– Økonomisk vinning er i all hovedsak driveren bak denne type kriminalitet. Politiet erfarer gjennom etterforskinger at utbytte etter løsepengevirus-saker finansierer ytterlige kriminalitet.
Frende peker seg ut blant norske forsikringsselskap
De fire største forsikringsselskapene i Norge – Fremtind, Gjensidige, If, og Tryg – oppgir til NRK at de ikke dekker utbetaling av løsepenger.
– Hvis de som driver med denne kriminaliteten vet at løsepenger dekkes, så vil det kunne inspirere til cyberangrep fordi de nettopp kan tro at det er større mulighet til å få løsepenger, sier Gjensidiges kommunikasjonsdirektør Øystein Thoresen.
Markedet for cyberforsikring i Norge er komplisert og til dels uoversiktlig. Større selskaper benytter gjerne meklere som inngår avtaler med internasjonale forsikringsselskaper.
Internasjonalt er det vanligere at forsikringsselskaper dekker utbetaling av løsepenger.
Jan Søgaard, som er sjef for IT-sikkerhetsfirmaet Netsecurity, oppgir til NRK at han kjenner til flere forsikringsselskaper som dekker utbetaling av løsepenger og at dette ikke alltid fremgår klokkeklart i selskapenes offentlige kommunikasjon.
En av dem Søgaard kjenner til er QBE Insurance Group. Selskapet har 11.000 ansatte i 27 land.
– Ingen kommentar, sier kommunikasjonsansvarlig Sandra Villanueva i QBE, på NRKs spørsmål om utbetaling av løsepenger.
TIPS OSS: Har du noe å fortelle om cyberforsikringer eller datainnbrudd? Nå journalistene på telefon / Signal (+47 47756515) og epost ([email protected]).
Betaling er siste utvei
Frende Forsikring forteller at utbetaling av løsepenger skal sitte langt inne. De opplyser overfor NRK at de så langt ikke har dekket en utbetaling av løsepenger.
– Forsikringsselskapene må kunne sies å ha et samfunnsansvar i den forstand at man ikke utbetaler et pengebeløp til kriminelle, med mindre man er tvunget til det. Så må man balansere dette opp mot hensynet til kunden, skriver Arnstein Heimset i Frende.
Forsikringen dekker i tillegg utgifter til å leie inn eksterne IT-eksperter, driftstans, og å erstatte datamaskiner.
– Det er aldri noen garanti for at det å betale løsepenger vil løse problemene for bedriften, og det er noe vi fraråder. Samtidig er det ennå ikke forbud i Norge mot å betale løsepenger, slik det er i enkelte andre land. Bedrifter som står alene, uten støtte fra forsikringsselskapet sitt i en slik prosess, vil nok ha langt større betalingsvilje enn en bedrift med våre eksperter i ryggen, skriver kommunikasjonssjef Heidi Tofterå Slettemoen i Frende.
Frende trekker frem at de hjelper kundene med å innføre sikkerhetstiltak som bedre passordrutiner, to-trinnsverifisering, og å ha sikkerhetskopier.
– Hva er grunnen til at dere trosser anbefalinger fra politiet og Næringslivets sikkerhetsråd?
– Det gjør vi ikke. Vi er tvert imot helt på linje. Det at Frende har et slikt dekningspunkt innebærer på ingen måte at vi ukritisk utbetaler løsepenger. Det innebærer at vi er der for kunden om dette, etter grundige vurderinger i samråd med ekspertene våre, skulle vise seg å være siste utvei for å redde bedriften, skriver Tofterå Slettemoen.
Oppdatert torsdag kl. 20:29 med en setning om at Frende så langt ikke har dekket utbetaling av løsepenger.
Les også: Norsk bedrift betalte løsepenger: – Vi var presset opp i et hjørne
Roger Lysnes
Det er en uting at man betaler penger til kriminelle – uansett årsak. Jeg trodde faktisk at det var ulovlig. Antar at det f.eks. ikke blir betalt hverken moms eller skatt av en slik overføring.
Dette er litt av den samme problemstillingen man har i bortføringssaker. Man vil gjerne få tilbake sin(e) kjære, og betaler til slutt et pengebeløp. Det viser seg imidlertid at man ikke alltid får tilbake sine kjære. Det kan komme krav om nytt beløp å betale – eller den som er bortført kan allerede være død.
Min personlige mening er at det bør være forbudt å betale penger til kriminelle – uansett årsak.
keal
«Antar at det f.eks. ikke blir betalt hverken moms eller skatt av en slik overføring.»
Her er du inne på noe helt vesentlig. Det må snarest bli innført en krav om at alle som ranes må pålegges å betale inn til statskassen 25% moms av det beløpet det har blitt ranet for.
Ola Pedersen
Problemet her er digital valuta. Anonyme pengetransaksjoner er valuta for kriminelle. Hvis de ikke kunne tatt betalt i bitcoins eller lignende, så måtte de tatt risikoen om å oppgi et bankkonto nummer eller møte opp et sted eller noe..
Det burde ikke være tillatt å ta imot digital valuta som bitcoins for lovlige betalinger.
Slik det er nå så kastes det bort forferdelige mengder strøm som forurenser voldsomt for at kriminelle skal få valuta de kan bruke til å begå grov kriminalitet uten risiko. Totalt uhørt. Skjønner ikke hvordan samfundet aksepterer kryptovaluta.
keal
Helt sant.
Før Bitcoin fantes det ikke noe grått pengearked. Utpressing var ent ukjent fenomen. Ingen mekanismer fantes for å betale for ulovlige substanser, ulovlig materiale eller ulovlige tjenester. Den eneste muligheten for betaling var via nettbank, som kunne spores.
Under slike forhold er det åpenbart at økonomisk kriminalitet var umulig. Først med BitCoin fikk vi ekte økomomisk kriminalitet!
Tore
Problemet her er at du ikke skjønner verken digital valuta eller økonomisk kriminalitet.
Bitcoins er like anonymt som en bankkonto, begge deler kan spores…