Ann-Kristin Ytreberg forteller om det som skjedde for noen uker siden.
Ann-Kristin Ytreberg forteller om det som skjedde for noen uker siden. Foto: Stiftelsen Miljøfyrtårn

Rammet av angrep: – Du føler deg paralysert

De kriminelles utspekulerte metode kan ramme deg der du minst venter det. – En vond følelse å kjenne at du ikke kan gjøre jobben din, sier Ann-Kristin Ytreberg, som fikk oppleve konsekvensene av et angrep.

Onsdag offentliggjør Norsk senter for informasjonssikring (NorSIS) sin årlige rapport om digitale trusler og trender, spesielt rettet mot små og mellomstore bedrifter.

I rapporten beskriver NorSIS blant annet den økte trusselen fra løsepengevirus, som TV 2 tidligere har omtalt i flere artikler.

Les mer: Én svindeltype bekymrer ekspertene mest – mange nordmenn rammet

NorSIS advarer også mot såkalte «verdikjedeangrep», som er en utspekulert metode kriminelle bruker for å ramme virksomheter.

Nylig opplevde Ann-Kristin Ytreberg hvordan et angrep kan komme brått og uventet.

– Verst tenkelige tidspunkt

Ytreberg er daglig leder i Stiftelsen Miljøfyrtårn. Tidlig mandag 22. februar ble Miljøfyrtårn varslet av IT-leverandøren TietoEvry om at Miljøfyrtårns portal var utilgjengelig.

– Samtidig tok kunder kontakt med oss og varslet om det samme. Portalen brukes som arbeidsredskap både for kunder som er eller er i ferd med å bli sertifisert og partnere som hjelper kunder med å bli sertifisert, forklarer Ytreberg.

Over 7000 virksomheter er sertifisert hos Miljøfyrtårn, og hele sertifiseringssystemet er digitalisert i portalen. Til sammen har over 20.000 brukere tilgang.

– For å være Miljøfyrtårn-sertifisert må kunder levere en årlig klima- og miljørapport gjennom portalen vår. Februar er en tid på året hvor mange jobber med sin rapport, og derfor var dette det verst tenkelige tidspunktet for oss å bli rammet av et slikt angrep, sier Ytreberg.

Rammer der du minst venter det

Det viste seg at IT-leverandøren TietoEvry hadde blitt utsatt for et angrep med løsepengevirus.

– TietoEvry tar denne hendelsen meget alvorlig, og beklager den ulempe dette medfører for våre kunder, sa managing partner Christian Pedersen i TietoEvry dagen etter angrepet ble kjent.

Løsepengevirus

Nasjonal sikkerhetsmyndighet (NSM) i Norge har i flere år observert en økning i bruk av løsepengevirus.

Avdelingsdirektør Bente Hoff ved Nasjonalt cybersikkerhetssenter i NSM har i et tidligere intervju med TV 2 forklart løsepengevirus slik:

– Løsepengevirus fungerer ved at en aktør låser innholdet på maskinen din slik at du ikke får tak i det, og så krever penger for å låse opp igjen. En ny trend vi ser knyttet til løsepengevirus er at aktøren ikke bare låser maskinen, men også truer med å publisere innholdet. Dermed blir det en dobbel trussel, sier Hoff.

Løsepengevirus, på engelsk kalt ransomware, er av Europol omtalt som den mest dominerende trusselen mot næringslivet i Europa og ellers.

Ved å ramme TietoEvry, rammet de kriminelle også TietoEvrys kunder. Angrepet var rettet mot TieroEvry, men fikk konsekvenser også for andre ledd i verdikjeden, og derav uttrykket verdikjedeangrep.

Administrerende direktør Lars-Henrik Gundersen i NorSIS forklarer verdikjedeangrep som et angrep rettet mot en annen aktør enn den man først og fremst ønsker å ramme.

– Når kriminelle skal ramme en bedrift, går de etter den enkleste angrepsveien. Skal de angripe en stor bedrift, kan den enkleste veien for eksempel være gjennom å angripe en mindre leverandør som samarbeider med den større bedriften, sier Gundersen.

Verdikjedeangrep

Teknologien knytter virksomheter stadig tettere til samarbeidspartnere, kunder og leverandører, som gjør virksomhetene gjensidig avhengige av hverandre. Det betyr at dersom en samarbeidspartner er dårlig sikret, kan angripere nå din bedrift gjennom deres systemer. Eller omvendt.

I et verdikjedeangrep angripes noen i verdikjeden som kan lede angriperen til målet for angrepet, istedenfor at selve målet angripes. I Europa har det de siste årene blitt stadig vanligere at angrep på store virksomheter skjer gjennom angrep rettet mot virksomheter i deres verdikjede.

Et angrep mot en liten, lokal underleverandør kan i ytterste konsekvens medføre at systemer i store, globale konsern settes ut av spill. Fordi data utveksles mellom disse aktørene i verdikjeden, kan også virus utveksles og forplante seg.

Kilde: NorSIS

Kriminelle bruker leverandøren som en inngangsport for å få tilgang til de andre leddene i verdikjeden, slik at både kunder og leverandører av virksomheten blir rammet.

– Den mindre aktøren har kanskje færre sikkerhetsmekanismer, og er derfor lettere å angripe.

Nede i over to uker

Målet for angriperne kan noen ganger være å sperre tilgangen til informasjon, slik som i tilfellet med TietoEvry. De kriminelle vil da kreve løsepenger for at virksomheten skal få tilgang til informasjonen sin igjen.

Administrerende direktør i NorSIS, Lars-Henrik Gundersen.
Administrerende direktør i NorSIS, Lars-Henrik Gundersen. Foto: Nicolas Tourrenc

– Et angrep kan også skje gjennom at de kriminelle ligger med et virus i programvaren og spionerer på alt bedriften foretar seg. Dette kan de senere bruke til å kreve penger mot å ikke spre det, eller få penger for å selge informasjonen til konkurrerende virksomheter, sier Gundersen.

For Miljøfyrtårn fikk angrepet konsekvenser for kunder som skulle levere rapport eller sertifiseres, ettersom de mistet tilgang. Noen mistet også arbeidet de hadde lagt ned.

– Vi kunne heller ikke jobbe med utvikling i portalen selv. Våre konsulenter og sertifisører som lever av å hjelpe kunder tapte inntekt fordi deres arbeidsverktøy var utilgjengelig, sier Ytreberg.

Selv om angrepet i utgangspunktet var rettet mot TietoEvry, fikk det store følgefeil videre og indirekte konsekvenser for andre.

– I løpet av kvelden på mandag fikk vi gitt beskjed til alle våre kunder og partnere om hva som var saken. Portalen var nede i 17 dager frem til 10. mars, sier Ytreberg.

– En vond følelse

Den daglige lederen forteller at det tok litt tid å forstå hvilke konsekvenser angrepet hadde.

– Det var en helt ny opplevelse for oss. Både politiet og Nasjonal sikkerhetsmyndighet ble involvert. Det var veldig skremmende og surrealistisk at kriminelle hadde rammet oss gjennom vår leverandør med et slikt angrep, sier Ytreberg, og fortsetter:

– Det var en vond følelse å kjenne at vi og andre ikke kunne gjøre jobben sin på grunn av et hackerangrep hos vår IT-leverandør. Du føler deg paralysert og vil gjerne kunne gjøre noe med det, men det eneste vi kunne gjøre var å vente og håpe på det beste.

Ytreberg vil skryte av TietoEvry for hvordan de holdt Miljøfyrtårn oppdatert om situasjonen, og forteller at Miljøfyrtårn selv møtte forståelse for situasjonen hos sine kunder og partnere.

– Men det kunne nok blitt helt andre økonomiske konsekvenser både for oss og dem om det hadde vart lenger enn to uker, sier Ytreberg.

– Alle kan bli rammet

Alt tyder på at de kriminelle kun sperret tilgangen til data, og at det er ikke var noe data som kom på avveie. Ytreberg mener det sier mye om hvor profesjonelle de kriminelle har blitt når en profesjonell IT-aktør blir rammet på den måten.

– Vi har med hensikt satt bort vårt IT-system til en profesjonell aktør, og så får de et innbrudd. Det er ganske skremmende at det kan skje.

Ifølge NorSIS er det vanskelig å tallfeste hvor mange virksomheter som rammes av verdikjedeangrep og løsepengevirus, ettersom man er avhengig av at bedrifter forteller om angrepet for at det skal bli kjent.

– Dessverre er det få bedrifter som er åpne om at de har blitt utsatt for et angrep. De er kanskje redde for omdømmet sitt, eller har dårlig samvittighet for at IT-sikkerheten ikke var god nok. Det er trolig store mørketall, sier Gundersen.

I desember i fjor ble det avslørt at det amerikanske IT-selskapet SolarWinds var blitt angrepet. Her ble et populært program som brukes av tusenvis av virksomheter over hele verden, inklusiv USAs sikkerhetsdepartement, Visa, Microsoft og flere norske virksomheter, kompromittert.

Da kundene oppgraderte programmet, ble systemene deres infisert og det ble mulig for kriminelle å spionere på eller sabotere for selskapene.

– De aller fleste store virksomheter i Norge kjøper tjenester fra underleverandører. Alle virksomheter kan bli rammet, advarer Gundersen.

– Det enkleste rådet

For å hindre å bli rammet av et verdikjedeangrep, oppfordrer Gundersen til å tenke på alle bedrifter du samarbeider med som en del av din bedrift.

– Har din bedrift innført tofaktorautentisering, bør du sørge for at andre virksomheter som er involvert i dine IT-systemer har gjort det samme.

Nettopp tofaktorautentisering er Gundersens viktigste råd for å unngå at medarbeidere blir hacket.

– Det er det enkleste og beste rådet. Hvis skaden allerede har skjedd og angriperne har kommet seg inn i dine systemer, gjelder det å ha gode backup-løsninger. Hvis du sørger for å ha en backup av systemet som er lagret et annet sted, kan du egentlig bare glemme angrepet og raskt komme tilbake til vanlig drift, sier direktøren.

I forbindelse med lanseringen av rapporten holder NorSIS og SMN Norge et gratis seminar onsdag klokken 15 om sikkerhet for små og mellomstore bedrifter.

Hvordan unngå verdikjedeangrep

Gratisprogrammer og usikrede hjemmekontor gjør bedriften sårbar for angrep.

Sørg for:

  • at alle enheter, inkludert kaffetraktere og varmeovner som er koblet opp mot nett, er sikret med et godt brukernavn og passord, ikke standardpassordet som fulgte med.
  • at alle samarbeidspartnere, kunder og leverandører som har tilgang til dine datasystemer har gode rutiner for IT-sikkerhet.
  • å ha oversikt over dine verdier, verdikjeder og sårbarheter.
  • at dere har rutiner for å avinstallere programvare som ikke brukes.
  • at alle enheter er sikkerhetsoppdatert.
  • at dere har sørget for logging og monitorering av systemene, slik at uregelmessigheter kan oppdages.
  • at de ansatte har dedikert utstyr å jobbe på.

Kilde: NorSIS

Relatert