Til forsiden
19-11-2021

Hva må til for å stoppe hackerne?

IT-kriminalitet er en bransje i vekst.

Thomas Tømmernes
Leder for IT-sikkerhet
Thomas Tømmernes

Denne kommentaren ble først publisert i Digi. 

I løpet av mine 20 år i IT-sikkerhets bransjen må jeg innrømme at tanken innimellom har slått meg at vi er nåtidens «Don Quijote» – et uttrykk som ofte brukes spøkefullt om en latterlig idealist eller drømmer med manglende virkelighetssans. Etter at det er gjennomført flere ransakinger i Ukraina etter angrepene mot Hydro i 2019. ble 12 personer etterforsket. Det er bare å ta av seg hatten for NC3/Kripos som har vært en stor del av etterforskningen i det internasjonale samarbeidet.

Hva må til for å stoppe den negative utviklingen?

Det er dessverre ikke ofte vi hører at IT kriminelle faktisk blir pågrepet og må stå til rette for sine ugjerninger. Det er vel ikke å stikke under stol at IT kriminaliteten har ligget flere hestehoder foran både myndigheter og oss som jobber i den private sektoren med å bekjempe dette. Jeg bruker betegnelsen «oss», for i arbeidet med IT kriminalitet er vi avhengige av en felles dugnad som består av myndigheter, organisasjoner og interessegrupper sammen med den kommersielle IT-sikkerhets bransjen. Alle disse aktørene må dra i samme retning.

En skremmende utvikling

Sjef for Nasjonal sikkerhetsmyndighet (NSM) Sofie Nystrøm la nylig frem en rapport om at det er registrert tre ganger flere alvorlige hendelser hos Nasjonal cybersikkerhetssenter i NSM i fjor enn året før. Det samme bildet ser vi i Atea. Vårt hendelseshåndterings team har så langt i år allerede rykket ut på fire ganger så mange oppdrag som i hele 2020 til sammen. Alle ferske rapporter fra alle virksomheter og organisasjoner som har tilknytning til det IT-relaterte trusselbildet viser den samme utviklingen. Det å si at IT kriminalitet er en «bransje» i vekst, er det ingen tvil om. 

Bruker penger som «fulle sjømenn»

Nok en gang slår det meg at hackerne som ofte fremstilles som tekniske genier, setter søkelyset på seg selv gjennom støyende og lite gjennomtenkt bruk av midler de har ervervet på ulovlig vis.

Det vi ser gjentatte ganger i de oppklarte sakene i mediene, er kommentarer som: «Store beslag i kontanter, luksusartikler og dyre biler. Det hadde blitt lagt merke til at vedkommende bedrev ekstrem shopping og førte en livsstil som ville gjort seg på godt i en reklame film for vinnere av lotto». Et godt eksempel er en hacker fra den kjente hacker grupperingen Revil som skal ha blitt avslørt av ferievideoer hans kone skal ha lagt ut på sosiale medier. Offisielt eier bare vedkommende en liten sportsbar i det sørlige Russland, men pengebruken paret viser henger dårlig sammen med økonomien som bareier. 

Verdens 3. største økonomi?

Økonomien forbundet med IT sikkerhets kriminalitet omtales som verdens tredje største økonomi.  Det er mange år siden det ble hevdet at inntjeningen fra ulovligheter forbundet med IT kriminalitet passerte all narkotika omsetning i verden. Dette kan selvsagt være vanskelig å bevise, både på grunn av store mørketall i forbindelse med offer som ikke går ut med at de har blitt kompromittert, men også fordi ikke alle land i verden anser hacking som brudd på loven. Uansett, det som er helt åpenbart, er at det er enorme pengebeløp i omløp i de kriminelle miljøene, og at risikoen for å bli tatt er relativt liten.

Jeg vil stille følgende spørsmål: kjører du mer lovgyldig der det er satt opp trafikk kameraer?
Om svaret er «ja». Hvorfor? Er det fordi risikoen for å bli tatt medfører at du heller kjører lovlig enn å få bot?
Jeg vet svaret for min del.

Slår der det gjør mest vondt

Internett setter få begrensninger i forhold til landegrenser. Dette er noe de IT-kriminelle selvfølgelig kapitaliserer på. Vi snakker nok både om forskjell på lokale lover og regler rundt IT-kriminalitet, og varierende kompetanse i utførende myndighetsorganer. Manglende internasjonale lover, kontrollorganer og varierende landegrenser gjør at det lav risiko for å bli pågrepet, men som Kripos/NC3 viser i Hydrosaken, er det «lys i tunnelen». Den største delen av hackerangrepene som er i raskest utvikling, nemlig løsepengevirus, er økonomisk betinget. Da er det gamle og velbrukte utsagnet fra enhver kriminal roman med økonomisk story – følg pengene.

Samarbeid gir effekt

Jeg har tatt til orde i flere år nå for at det må et mer definert samarbeid på banen for å komme de IT-kriminelle til livs. Regjeringen påbegynte denne jobben i 2016/2017 med Stortingsmelding 38: IKT-sikkerhet; Et felles ansvar. De forsterket budskapet ytterligere i 2020/2021 med Stortingsmelding 5: Samfunnssikkerhet i en usikker verden hvor de igjen uttaler at IKT-sikkerhet er et felles ansvar. I praksis har det blitt til dugnadsbasert innsats. Dette holder ikke!

Dugnad fungerer relativt godt i borettslag der alle beboerne kapitaliserer likt på felles innsats. De beste dugnadsøktene er der hvor styret har forberedt en god liste med oppgaver som skal utføres, med forslag til hvem som gjør hva for deretter å handle inn utstyr til oppgavene.

Hvem eier dugnaden?

NSM har gjort en fantastisk god jobb med sine grunnprinsipper, men dessverre er det få av de 606.000 virksomhetene SSB har registret i Norge som har satt seg inn i disse. Hvis vi trekker fra de 400.000 enkeltmannsforetakene og de 850 virksomhetene som er større enn 250 ansatte, sitter vi igjen med ca. 205.000 små og mellomstore Norske hjørnestens bedrifter. Disse trenger også å forstå viktigheten av å sikre seg. Hvem er det som passer på at disse virksomhetene som utgjør det Norske samfunnet får den informasjonen og hjelpen de trenger for å kunne etablere en IT-løsning som er motstandsdyktig mot det samtidstrusselbilde. 

Gjennom forståelse minsker vi risikoen

Statistikker og rapporter forteller oss mye om hvordan angrep foregår, hvordan de kriminelle får fotfeste i en virksomhet fordi det er mulig på grunn av manglende tiltak og kontroller.

Klarer vi å heve den generelle forståelsen for hva som kreves? (da tenker jeg på hele verdikjeden) Både de som leverer tjenester og bistand, og de som leder og har ansvaret for en virksomhet, vil vi senke risikoen for behov for å betale løsepenger eller bli utsatt for en svindel. Dette vil igjen bidra til at Norge fremstår som mindre lett tilgjengelig for cyber-kriminelle og vi vil dermed få et mer robust samfunn.

Follow the Money

Som jeg startet med, for de aller fleste kriminelle så handler dette først og fremst om penger. Klarer vi å strupe igjen den økonomiske gevinsten som de kriminelle oppnår, vil de «gå konkurs» eller finne seg andre marker og jakte på. Oppfordringen blir derfor at vi trenger et tydeligere felles forsvar, der myndighetene går foran, viser vei og setter sammen de ulike ressursene og aktørene som skal dra i samme retning.

Med dette utgangspunktet kan vi sammen gjøre Norge mer motstandsdyktige. Vi har stilt spørsmålet flere ganger og gjør det igjen: Er tiden nå moden for et digitalt heimevern?