PwC-podden: Traumatisk å bli cyber-svindlet!

Gjester:

• Olav Skard, leder Nasjonalt cyberkrimsenter i Kripos, NC3.

• Jan Henrik Schou Straumsheim, Direktør og Leder Cyber Threat Operations i PwC

• Tellef Thorleifsson, CEO i Norfund

Programleder: Signe Moen

– Det var en forferdelig opplevelse. Og traumatisk. Vi oppdaget 30. april at vi hadde blitt hacket. Vi hadde betalt 10 millioner dollar som Kambodsja aldri hadde fått. Vi oppdaget da at noen hadde vært på innsiden av våre systemer i mange måneder. Vi oppdaget det ved at vi ble bedt om å betale ut en ny betaling, og stusset over det. Så vi oppdaget det selv. Grunnen til at det tok så lang tid å finne ut, var at skurkene forfalsket dokumentasjon og opptrådte på innsiden som oss og som motpart. Så når vi trodde vi snakket med motpart, så snakket vi med skurkene. Når motparten trodde de snakket med oss, så snakket de med hackerne, forteller Thorleifsson.

– Pengene ble sendt til Mexico. Nanosekunder etterpå ble de spredt rundt omkring. Ingen har klart å nøste seg til bunns i dette. Disse miljøene jobber målrettet, forteller Norfund-sjefen.  

Tre typer hackere, ifølge Olav Skard: 

• Du har aktivister som vil fremme et ideologisk budskap, spre informasjon, eller lekke informasjon. De ønsker å påvirke opinionen. 

• Så har du de som vil ha penger. 

• Den tredje typen er industrispionasje, hvor andre land og/eller konkurrenter stjeler informasjon. 

Kryptering er mest interessant hvor nettverket er stort

– Innbruddstyvene tar seg inn i systemene og teller hvor mange datamaskiner som er knyttet til nettverket. Treffer de organisasjoner som har tusen maskiner koblet sammen, så er det mer interessant å gå videre. Da kan de kryptere dataene og gjøre dem utilgjengelig for bedriften. Så vil de ha penger for å åpne tilgangene igjen. De cyberkriminelle er godt organiserte. De rekrutterer og sørger for at menneskene er kompetente. De har en hyggelig arbeidstid. I ferier går aktiviteten ned. Det er en stor industri, forteller Skard i NC3. 

Flere innbruddsforsøk enn det er innbrudd

– Kriminaliteten foregår på nett, så de kan sitte hvor som helst. Velrenommerte selskaper tilbyr lagringsplass i skyen. Det gjør også de kriminelle. De bygger ut servere hvor de kan nå veldig mange samtidig. De kommer ikke inn overalt. Det er mange flere innbruddsforsøk enn det er innbrudd, heldigvis, sier Skard. 

Ikke stol på egne IT-leverandører. Ha intern kapasitet også.

– Vi stoppet alle betalinger, satte krisestab og kontaktet politiet. Vi ble bedt om å holde det hemmelig for at politiet skulle kunne etterforske det. Det var en tung periode, og tøft som leder å stå i det. Det er penger som skulle gått til gode formål. Det gjør vondt. Kanskje det kunne vært unngått om vi hadde vært mer årvåkne. Vi ser i etterkant at det er mer vi kunne ha gjort. Et råd til andre ledere: Ikke slå dere til ro med at dere har en ekstern IT-leverandør. Ikke stol på at leverandøren tenker på deg. Det er viktig å ha en intern kapasitet, råder Thorleifsson.

Moderne tids bankran

– Vi har snakket med andre som har blitt frastjålet store summer. Det meste får vi ikke vite om. Hos oss lå det en mulighet til å videresende e-post til andre utenfor organisasjonen. Den funksjonen visste vi ikke om. Kanskje kan andre lære av oss, sier Thorleifsson.  

Ikke betal løsepenger

– Noen havner på konkursens rand. Det er ingen god ide å betale løsepenger. Jeg forstår at bedriftslederen ser at det kan lamme bedriften. Eksemplet med Hydro hvor flere millioners fortjeneste gikk tapt. Men å betale løsepenger er lik å stole på de kriminelle. Senere selges informasjonen til bedriften på mørke nettet. Forsikringsselskaper tilbyr løsepenger– forsikring. Dette vil på sikt gagne organisert kriminalitet, mener Skard.

–  I USA skal de gjøre det ulovlig å betale utpressingspenger.  Det kunne kanskje vært noe i Norge også? Spør Jan Henrik Schou Straumsheim. 

Viktigste læring for Norfund

– Det er to nivåer: For det første det IT-tekniske. Der hvor man har en ekstern leverandør så må man ha intern kompetanse. Det hjelper ikke å  gjøre en god jobb en gang. Noen interne må følge opp med jevne mellomrom, og det må settes i system, sier Tellef.

– En annen ting er en bevisstgjøring om at e-post ikke er trygt. Selv om man installerer tofaktor og alt. Legg til grunn at e- poster kan bli lest av andre. Legg opp rutiner. Bli litt gammeldags igjen. Bruk telefon og skype i tillegg. Bruk flere kanaler. Iallfall når du skal sende penger, sier Tellef i Norfund. 

Store mørketall

– De aller fleste angrep hører vi aldri om. Det hele starter med en erkjennelse av ledelsen. Risikostyring er noe de fleste er vant å jobbe med, f.eks. i henhold til strategi og finans. Cybersikkerhet er derimot mer utfordrende å å måle. Man skal ikke undervurdere det å lage og gå gjennom ulike scenarier. Hva skjer med oss dersom alle systemer blir kryptert? Hvordan gjenoppretter og sikrer vi stabil drift? Du bør ikke stole blindt på at alle leverandører har stålkontroll på dette, du må stille krav, råder cyber-rådgiver Straumsheim.

Tips fra Olav Skard. Ikke ha cyberskam!

Tofaktorautentisering gjør det vanskeligere å komme inn på andres eposter

• Ha gode rutiner for sikkerhetskopiering av data. 

– Du skal ikke skamme deg. De kriminelle er dyktige nok til å lure de aller fleste. Da er det viktig å være åpen og melde ifra. Da jobber man mot de kriminelle i første stund. Samle organisasjonen med at dere har et problem. Samhold skaper styrke, sier Skard. – Mange sitter på gjerdet. Skal vi anmelde . Skal ikke. Men samarbeid er viktig. Det gir oss informasjon så vi kan begrense fremtidige cyber-angrep, sier Skard i NC3. 

Anmeld angrep!

– Vi var ikke i tvil om at vi måtte anmelde. Da Nokas-ranet skjedde var det enorme ressurser inne i bildet. Norfund ble ranet for mer enn Nokas-ranet. Ressursallokering mot det digitale er viktig. Dette er bare starten. Det må mere ressurser til. Hjemmekontor gjør oss mer sårbare også, sier Thorleifsson. 

Vil du ha hjelp til å beskytte deg?