DATASIKKERHET: Som cybersikkerhetssjef i Cisco Norge følger Leif Sundsbø nøye med på det digitale trusselbildet.
DATASIKKERHET: Som cybersikkerhetssjef i Cisco Norge følger Leif Sundsbø nøye med på det digitale trusselbildet. Foto: Bjørn Roger Brevik / TV 2

Utfører dataangrep og krever løsepenger: – Sykehus er populære mål

Skoler, helsevesen og virksomheter knyttet til bekjempelse av covid-19 regnes som enkle mål for dataangrep.

– Sykehus betaler i 80 til 90 prosent av tilfellene, fordi de ikke har noe valg.

Mannen som sier dette, er i 30-årene og har universitetsutdannelse. Men det ble aldri noe av drømmen om en karriere og en godt betalt jobb i IT-bransjen.

Milliarder i løsepenger

Nå forsørger han familien gjennom utpressing mot offentlige virksomheter og bedrifter. Våpenet han bruker, utgjør en av de vanligste truslene mot små og mellomstore bedrifter i Norge.

Hackeren «Aleks» utfører dataangrep og krever løsepenger.

Samtidig mener han at han får gitt en «lærepenge» til bedrifter som ikke beskytter dataene sine, ifølge en nylig rapport fra IT-giganten Cisco.

Ifølge FBI fikk ukjente trusselaktører utbetalt over 1,2 milliarder kroner fra 2013 til 2019. «Aleks», som er bosatt i Sibir i Russland, mener at EUs personopplysningslov (GDPR) har gjort det mer fordelaktig å slå til mot europeiske mål.

Utdrag av samtalen som etterretningsanalytikerne i Cisco Talos hadde med «Aleks».
Utdrag av samtalen som etterretningsanalytikerne i Cisco Talos hadde med «Aleks». Foto: Skjermdump

Ofre for løsepengevirus betaler heller enn å risikere de juridiske konsekvensene hvis kompromitteringen blir offentlig kjent.

Analytikere i Cisco Talos, som utvikler trusseletterretning og bekjemper cyberkriminalitet over hele verden, fikk kontakt med «Aleks» høsten 2020.

Etter å ha gjennomført flere intervjuer med ham, laget de en rapport som med historien om «Aleks» gir innsikt i hvordan uavhengige datakriminelle jobber.

Enkle verktøy

– Det finnes veldig mange mennesker som har god IT-kompetanse, men som ikke får seg jobb. De er enkle å «ansette» for å gjøre denne typen oppgaver, sier Leif Sundsbø, leder for cybersikkerhet i Cisco Norge, til TV 2.

Systemene har akkurat fanget opp spredning av skadevare i USA.
Systemene har akkurat fanget opp spredning av skadevare i USA. Foto: Bjørn Roger Brevik / TV 2

Et løsepengevirus er en skadevare som kan brukes til låse eller kryptere innholdet på en datamaskin.

«Aleks» bruker enkelt tilgjengelige verktøy, når han jakter på sårbarheter i datasystemer.

– «Aleks» er en person som plutselig kan banke på døra di?

– Ja, det kan han.

– Legger man merke til det, og hvordan?

– Veldig ofte så gjør en jo ikke det. Det finnes to typer virksomheter. De som har blitt hacket, og de som ikke vet at de har blitt hacket, sier Sundsbø.

I rapporten fra Cisco Talos omtales skoler, helsevesen og virksomheter knyttet til bekjempelse av covid-19 som enkle mål, fordi sikkerhetsavdelingene har lite ressurser og virksomheten ikke tåler nedetid.

Leif Sundsbø viser hvordan forekomsten av koronasvindel-epost var i 2020.
Leif Sundsbø viser hvordan forekomsten av koronasvindel-epost var i 2020. Foto: Bjørn Roger Brevik / TV 2

Mer sårbart under pandemien

Ifølge Nasjonal sikkerhetsmyndighet (NSM), PST og Etterretningstjenesten har covid-19 forsterket de digitale sårbarhetene i samfunnet.

Mens fremmede etterretningsorganisasjoner har fått flere steder å hente informasjon, utnytter kriminelle krisen til å prøve å installere løsepengevirus og skadevare.

Allerede tidlig under pandemien så Nasjonalt cybersikkerhetssenter en økning i rapportering av løsepengevirus mot norske virksomheter.

Det er PST som har ansvar for å etterforske statlige aktører som står bak dataangrep, mens Kripos tar hånd om etterforskningen av kriminelle aktører, som da et løsepengevirus rammet selskapet Hydro natt til 19. mars 2019.

Hydro varslet alle sine ansatte om ikke å slå på pc-en.
Hydro varslet alle sine ansatte om ikke å slå på pc-en. Foto: Terje Pedersen/NTB

Rev ut ledninger

Ledningene til 22.000 datamaskiner i fem verdensdeler måtte rives ut. Det omfattende dataangrepet kostet Hydro mellom 300 og 350 millioner kroner.

Hackerne hadde planlagt angrep mot flere andre norske og utenlandske selskaper, men Hydro-bevisene som norske sikkerhetsmyndigheter fikk, gjorde at disse forberedelsene ble sporet opp.

Om noen hadde vært inne i systemene før alarmen gikk, og i så fall hvor lenge, har Hydro ikke sagt noe om. Industrispionasje skjer oftere enn vi tror, sier Sundsbø.

– En har tilgang inn i systemet for å hente ut informasjon uten at det blir oppdaget. Det er det som er det skumle. En kan hente ut konfidensiell informasjon, pasientdata eller personsensitiv informasjon og bruke det på et eller annet tidspunkt, sier Ciscos cybersikkerhetssjef til TV 2.

For å kamuflere en slik aktivitet, kan en aktør kryptere alle filer og be om et beløp i bitcoin for å låse dem opp igjen, sier han.

Liv kan gå tapt

Flere norske bedrifter og sykehus er utsatt for større dataangrep det siste året. Sundsbø fraråder på det sterkeste å betale løsepenger.

– En betaler jo til kriminelle, og da vil de se at dette virker. En har ingen garanti for at man får filene sine tilbake, sier han.

I januar advarte Kripos norske virksomheter etter alvorlige dataangrep mot Østre Toten kommune, Hurtigruten og Akva Group.

Dette sykehuset i kommunen Dax i Frankrike ble i februar rammet av et løsepengevirus.
Dette sykehuset i kommunen Dax i Frankrike ble i februar rammet av et løsepengevirus. Foto: Iroz Gaizka/AFP/NTB

– Løsepengeviruset mot Østre Toten kommune er bare ett av mange vi vil se i 2021, sier Bente Hoff i Nasjonalt cybersikkerhetssenter om trusselbildet.

I Østre Toten mistet 1300 ansatte tilgang til datasystemene, sikkerhetskopier ble slettet og alle dataene ble kryptert. Personnummer og helsedata kan være på avveie.

Hele Hurtigrutens globale infrastruktur ble rammet av et løsepengevirus, og angriperne kan ha skaffet seg tilgang til personlige ansattopplysninger.

Hos oppdrettsleverandøren Akva Group ble datasystemene låst, og en av verdens største produsenter av utstyr til havbruksnæringen ble krevd for løsepenger.

– For en bedrift som lever av å produsere eller selge noe, kan det være kroken på døren. En risikerer å sette store verdier i fare, sier Sundsbø.

– Hva er «worst case» i helsevesenet?

– Absolutt «worst case» er at liv går tapt. Det har jo skjedd at en har tatt ned sykehus, sier cybereksperten.

Mørketall

Datakriminalitet har de siste årene økt i omfang, samtidig som det har vært en stor underrapportering.

I oktober advarte FBI om at datakriminelle ville bruke pandemien til å angripe helsevesenet med løsepengevirus.
I oktober advarte FBI om at datakriminelle ville bruke pandemien til å angripe helsevesenet med løsepengevirus. Foto: J. David Ake/AP/NTB
  • I 2015 anmeldte bare 9 prosent av norske bedrifter som ble utsatt for datakriminalitet, forholdet til politiet. Forklaringen på de kolossale mørketallene var at mange var redde for å tape ansikt.
  • I 2017 sa NSM at de ukentlig ble kontaktet av bedrifter og privatpersoner som hadde betalt løsepenger.
  • I 2019 viste en undersøkelse at 40 prosent av norske bedrifter heller ville betale løsepenger enn i investere i datasikkerhet.
  • I 2020 var løsepengevirus en av de vanligste truslene mot små og mellomstore bedrifter i Norge, og en av dem som økte mest. Mer enn hver tiende norske virksomhet hadde vært utsatt for forsøk på datainnbrudd eller hacking, ifølge NorSIS.
  • Ifølge «Mørketallsundersøkelsen 2020» fra Næringslivets sikkerhetsråd tok det en dag eller mer før tre av ti sikkerhetsbruddtilfeller ble oppdaget.

Etterlyser bedre vaner

Nordmenn har godt innarbeidede sikkerhetsvaner når de bruker nettbank, men i jobbsammenheng er vi ikke like flinke, sier Sundsbø.

Leif Sundsbø i Cisco Norge.
Leif Sundsbø i Cisco Norge. Foto: Bjørn Roger Brevik / TV 2

Han mener at sikkerhetskulturen i arbeidslivet er nødt til å bli bedre.

Før jul viste en undersøkelse utført av Fremtind at under halvparten av norske bedrifter bruker totrinns-pålogging.

De færreste ville logget seg inn i nettbanken uten å ha enten Bank-ID på mobil eller en brikke for det, påpeker han.

– En enkel tofaktor-autentisering på telefon ville hjulpet veldig mye. Det er kanskje en av de aller enkleste midlene for å beskytte seg mot denne type hendelser, sier cybersikkerhetssjef Sundsbø.

Gjenbrukte passord kan kompromitteres på en eller annen måte. Derfor må man ta i verk totrinns-pålogging, for å gjøre det langt vanskeligere for en datainntrenger, forklarer han.

– Hvis jeg har ditt brukernavn og passord, kommer jeg meg inn. Men hvis du har en tofaktor-autentisering, må jeg også ha telefonen din, sier Leif Sundsbø til TV 2.

Relatert