PwC-podden: «Vi ble hacket 4. mai kl. 21.40»

Gjester: 

• Brynjar Larssen-Aas, IT-sjef i Volue.

• Jan Henrik Schou Straumsheim, leder Cyber Threat Operations i PwC. 

Programledere:

• Signe Moen
• Steinar Hareide

– Vi ble hacket i mai i år. En angriper fikk tak i brukernavn og passord via en kunde og fikk kryptert store deler av bedriften. Vi valgte å være åpen for å øke bevisstheten hos andre, sier Larssen-Aas. 

Pri en under angrepet: Varsling og nedstenging

– Vi har vært ISO sertifisert på 27001 lenge. Det er en informasjonssikkerhets-standard som gjør at man må forholde seg til et stort rammeverk. Vi skriver en policy som vi sørger for at alle ansatte leser og en beredskapsplan. Den fulgte vi. Den sier noe om hvem man skal varsle og hvilke tiltak skal man sett i gang med umiddelbart. Vi stengte ned med en gang. Det er ikke det rette i alle situasjoner, men akkurat for oss var det det rette. Det neste var å sette en krisestab, forteller Larssen-Aas. 

 Filene har blitt kryptert. Klikk her for å betale

– Dette oppdaget vi 5. mai. Jeg var hjemme med familien min. Kona skulle på jobb, og barna på skolen. Jeg fikk melding fra en kollega  om at filene hadde blitt kryptert. Da slo det meg. Nå skjer det faktisk. Vi hadde snakket om det. Om noen tapper oss for data uten at noen vet det. Og nå fikk vi det opp på skjermen: “Filene har blitt kryptert. Klikk her for å betale”. Det var ikke et sjokk, men vi hadde ikke forventet det heller. Det var krevende, sier IT-sjefen i Volue.

Best i klassen

– Volue har gjort mye riktig: De hadde en god kriseberedskapsplan, og har kjørt brannøvelser. De visste hvem de skulle mobilisere, hvor de skulle møtes og hvordan sette stab. Det andre er den ekstreme åpenheten de praktiserte. Det å kalle inn ansatte og markedet til åpne webcasts i to uker skapte en tillit om at de jobber proft med dette. Dette er en god oppskrift på hvordan andre bedrifter bør gjøre det, sier cyber-direktøren i PwC.

– Mange er avhengige av eksterne IT-leverandører, tenker at de passer på og at de selv ikke trenger å gjøre noe som helst.  Men de gjør seg selv en bjørnetjeneste. Man må følge godt opp selv om man har ekstern IT-leverandør, sier Schou Straumsheim.

Bruker stress, press og frykt for å få oss til å klikke 

– Hackingen av Stortinget handlet om et annet land, sannsynligvis Kina, som ønsker å spionere på Stortingspolitikere. Men økonomisk kriminalitet treffer alle. Vi har alle informasjon som kan selges videre, sier cyber-rådgiveren.

– Jeg fikk en epost i morges om at LinkedIn-kontoen var forsøkt hacket. “Klikk her for å forhindre dette”. Jeg klikket ikke, og skjønte at det var en phishing-test. Men jeg klikket da jeg ble invitert til Halloween-fest. Der bommet jeg, og fikk svar om at det var en phishing-test som jeg hadde gått rett på. Det virker som porten er stor, og enkelt å komme seg inn i systemer når et klikk er alt som skal til, forteller programleder Moen. 

– Det nytter ikke bare å bygge høye murer og tekniske sikkerhetsmekanismer. Man må ha brukeropplæring også. Hackerne bruker stress, press og frykt for å få oss til å klikke på et vedlegg eller en lenke, sier Schou Straumsheim.

Få blir straffet, og mange hackere lykkes

– Våre hackere var ute etter penger, forteller IT-sjefen som ble hacket i år. 

– Det at kjeltringbandene hopper via flere land, kompliserer politiaksjonen. Oddsen for å bli tatt og straffeforfulgt er lav. Mange lykkes med å bryte seg inn og stjele penger, som gjør dette til en lukrativ business, forteller Schou Straumsheim.

– Høres ut som en kjempe-business!, sier Steinar Hareide, som er mer bekymret for hacking som berører infrastrukturen enn bedrifter som taper penger. 

Verre når infrastrukturen rammes

Han nevner eksemplene fra USA hvor en kjøttprodusent og en oljeprodusent i USA ble hacket, og folk fikk ikke får fylt bensin i bilene sine. – Jeg er enig. Det er verre når det går på liv og helse. Hacking brukes også som maktmiddel fra andre stater for å ramme infrastruktur, de kan for eksempel stoppe vannforsyninga til Oslo, eller skru av strømmen på sykehus. Det er mer alvorlig, og jeg frykter at det blir mer av dette, sier Schou Straumsheim. 

Noen prøver å hacke oss hele tida

– Går vi inn i brannmuren vår, så bombarderes vi av hackerangrep hele tida. Akkurat nå. Det er ikke målrettet angrep, men folk som sjekker hvilke muligheter som finnes, forteller Larssen-Aas.

Dette er IT-sjefene mest bekymret for i Norge

– De er aller mest bekymret for at systemet slutter å funke eller at fortrolig informasjon/forretningsinformasjon havner på avveie, sier Schou Straumsheim og forteller om cyber -undersøkelsen fra 2021.

– Ligger hackerne i forkant?, spør Signe. 

– Det er et kappløp. Hackerne blir stadig mer avansert. De finner stadig nye metoder å angripe på. For en god stund siden ble multifaktorautentisering innført. Det stenger 99% av forsøkene på angrep. Men vi ser at hackerne nå kommer opp med måter å lure seg mellom der, forteller cyber-direktøren i PwC. 

Har bygget opp et sterkt forsvar

– Vi har gjort mange tekniske tiltak. Vi var midt i migreringstiltak med flere selskap og  jobbet med å migrere alle ansatte til en felles plattform. Vi bruker In tune, og da er ikke pc´en medlem av et domene. Domenemedlemskap er sentralt i et ransomware-angrep. Det blir vanskelig så lenge ikke pc´ene er medlem av et domene, forteller IT-sjefen i Volue.

Må vi leve med dette til evig tid? 

– Da jeg vokste opp var det bankran hele tida. Nå er det aldri bankran. Klare vi å løse dette og? , spør Steinar Hareide. 

– Kjeltringene følger pengene. Å regulere kryptovaluta kan fungere til en viss grad, men jeg tror det vil bli verre før det blir bedre, sier cyber-direktøren. 

Tre råd for å unngå å bli hacket

1. Virksomhetene må vite hva som er viktigst å forsvare, hva som er bedriftens kronjuveler

2. Følg hygienerådene som gis av nasjonal sikkerhetsmyndighet, hold utstyret oppdatert og vit hvem som er inne i systemene.

3. Invester i de ansatte, så du luker bort de enkleste formene for svindel.