Det starter på søppelplassen, eller kanskje i en container i bedriftens bakgård etter en nylig gjennomført større utskifting av pc-utstyr.
Forsvinner
Nærmest umerkelig forsvinner harddisker ut av de bulkete pc-kabinettene som ubevoktet ligger henslengt i en haug i påvente av å bli fraktet vekk.
Penger bytter hender, harddiskene går videre til neste ledd: En it-spesialist som systematiserer og delvis rekonstruerer innholdet.
Blant mye uinteressant finner han filen «Notat om strategiske utvidelser», og noterer at firmaets webapplikasjon kjører i en versjon som ikke er oppdatert siden 2009.
Megler
Penger bytter hender igjen. It-eksperten går tilbake til dagjobben og/eller neste oppdrag. En såkalt informasjonsmegler overtar.
Megleren gjenkjenner straks hva filen faktisk inneholder: De ti mest aktuelle oppkjøpsobjektene til et av Norges største rådgivningsselskaper.
En kriminell handelsvare er skapt, med utgangspunkt i en utrangert pc.
Reelt problem
Eksemplet er fiktivt – men det kriminelle systemet i høyeste grad reelt, ifølge norske eksperter.
– Vi ser denne typen informasjonsmegling som et økende problem. Det er blitt en stadig mer uklar grense gjennom informasjonssøk via lovlige kilder og metoder som dette: Fysiske innbrudd, datainnbrudd og bruk av kassert datautstyr. For bedrifter i en beslutningsprosess er det utrolig viktig å være klar over at denne typen aktivitet foregår, sier leder Tore Larsen Orderløkken i Norsk senter for informasjonssikring (NorSIS).
Hvitvasking av informasjon
Informasjonsmeglernes potensial for å kunne «hvitvaske» stjålne opplysninger, er anerkjent som et alvorlig problem også av myndighetene.
«Gjennom etableringen av et stort og i utgangspunktet legalt marked for informasjonsmegling, er det skapt en mekanisme for prissetting av informasjon slik at den økonomiske verdien kommer konkret til uttrykk.
En bivirkning er at datakriminelle metoder kan være meget aktuelle både for å skaffe til veie slik informasjon og for å begå informasjonsheleri», heter det i NOU 2007:2, «Lovtiltak mot datakriminalitet».
Les også: Store datamengder lagres i ørsmå organismer
En av fem har samme passord overalt
Data for enhver smak
Dr. Svein Willassen, tidligere spesialetterforsker hos Økokrim og en av Nordens ledende eksperter innen digital bevissikring, foredro norske journalister om temaet under Skup-konferansen tidligere i vinter.
Her beskrev han et kriminelt hierarki bestående av så vel småkriminelle vinningsforbrytere som MC-gjenger, hackere, finansielt orienterte mellommenn og østeuropeiske datakrimsyndikater – alt sammen en del av samme marked:
Der én opplysning passer til innsidehandel, passer kanskje en annen opplysning best til utpressing av en privatperson. Sentralt sitter den it-kyndige, gjerne en klassisk hacker i ungdomstida, men som nå nyter tilværelsen i en mer tilbaketrukket rolle, ifølge Willassen.
– Før gjorde hackerne alt selv, og viste seg gjerne fram i prosessen. I dag utføres selve datainnbruddet av profesjonelle østeuropeere. Hackeren – teknologen – finner sårbarheten og lager programmet, men stopper der. I den kriminelle «bedriften» er han utviklingsavdelingen, sier Tore Larsen Orderløkken.
– Lar utstyret ligge fritt
NorSIS-lederen fortsetter bedrifts-analogien:
– Teknologen selger informasjonen videre til noen som kan utnytte den. Dette er markedsavdelingen, som selv har en variert «leverandørkjede» å forholde seg til. Vi har også en økonomiavdeling, ansvarlig for å skjule pengestrømmer. Megleren er på riktig plass og verdsetter informasjonen. Rottilgang til internsystemene i en stor bedrift er eksempelvis hard valuta, sier han.
Tragisk håndtering
En undersøkelse fra YouGov på oppdrag fra NorSIS og Kongsvinger-baserte Ibas viste tidligere i år at halvparten av norske kommuner dropper dokumentert sletting av personopplysninger.
Andre tok i bruk mer voldelige metoder som slegge, gravemaskin, sprengstoff eller skytevåpen (!) for å slette data. Det er lite som tyder på at situasjonen er bedre i privat sektor, mener Orderløkken.
– Håndteringen av utrangert datautstyr er tragisk. Man vet ikke hva man skal gjøre, og legger dermed harddiskene i en eske i søppelrommet – og gjerne fritt tilgjengelig, sier han.
Les også: Målrettet dataangrep mot Forsvaret