Det begynner å gå opp for moderne skurker at banker og finansinstitusjoner er blitt ganske smarte, og at de ikke taper så mye penger lenger på tradisjonell IT-basert svindel.
Men disse folkene er ikke dumme, og de vil ha tak i penger. Det er det som driver dem. Derfor viser de stor innovasjonsevne, og utpressing og andre metoder er på rask vei inn, sier sikkerhetssjefen i datasikkerhetsselskapet RSA, Eddie Schwartz.
Med en 25 år lang karriere i IT-sikkerhet og viktige verv i sikkerhetsorganisasjoner burde han vite hva som vil skje.
Huawei: Norges mest fryktede kinesere
Går etter pengene
– Det vi ser er mye mer planlegging fra de kriminelles side. Dette er flinke folk med store ressurser. De bruker utpressing i mye større grad og de sørger for å få sine folk på innsiden. Spesielt banker med kontorer i mange land er utsatt. Ved å ha flinke folk på innsiden får de kunnskap som ikke er tilgjengelig ellers og kan designe verktøy som er skreddersydd til sikkerhetssystemene. Det likner litt på hvordan Slik knuste nordmennene Stuxnet ble designet, men dyp kjennskap til målet. Målet i dette tilfellet er enten tyveri eller utpressing. Flinke folk på innsiden kan skaffe seg mulighet til å sende svært store beløp ut av banken. Og får de kontroll over systemene kan de stoppe dem i timer eller dager, og det betales lett mange millioner dollar for å unngå det.
Som alle sikkerhetsfolk vil ikke Schwartz komme med noen eksempler. Her henger kundenes fortrolighet svært høyt, men han tror vi vil se mye mer til dette i fremtiden.
Les også:
Dette er verdens kraftigste datamaskiner
Ny metode for å avsløre datatrusler
Sliter med trojanere
DNB og andre finansinstitusjoner i Norge sliter med trojanere, og de er svært vanskelig å få has på.
De sniker seg inn i brukerens maskin når de surfer på nettet, men er kryptert slik at det er vanskelig å identifisere dem på utseende. Det som kommer i første omgang er bare en slags fortropp.
Så henter programmet resten av koden selv når den er vel installert på PC-en.
– Vi jobber sammen med store sikkerhetsselskaper for å få has på inntrengerne. Av og til klarer vi å dekryptere dem og avsløre dem før de får gjort skade. Men vi kan også avsløre dem på oppførselen deres og blokkere det de prøver å gjøre når de går løs på nettbanken, sier teknisk IT-arkitekt i DNB, Jan Haugdal.
Han innrømmer at mange av kundene er infisert og at banken jobber både to og tre skift for å holde skurkene unna. Problemet med finansiell svindel har økt voldsomt de siste par årene, og det fortsetter å øke.
– Vi har klart det til nå, men antallet infiserte PC-er øker og skurkene blir smartere. Jobben vår er å være svært årvåkne hele tiden og sjekke om det skjer noe unormalt. Når det går penger fra en konto til spesielle land kan det være en indikator. Visa og Mastercard taper mer enn oss, men det er fremdeles lite i forhold til det totale volumet av transaksjoner, sier Haugdal.
Les også:
Norsk tillitskultur passer dårlig i cyberspace
Mer enn banker
Schwartz i RSA tror ikke det er bare banker som er sårbare. De som vil presse penger har et ganske stort spillerom.
– Jeg tror slike ting som el-nettet kan være utsatt. Vi bruker jo internett til å kontrollere elektrisitetsforsyningen, og her er nok sikkerheten nokså varierende. I USA har vi 6000 kraftselskaper, og mange av disse burde nok se alvorlig på sikkerheten sin. I Europa er det jo et åpent kraftmarked og det er over internett markedet fungerer. Det store spørsmålet er om alle har like god forståelse av sikkerhet i denne sektoren. Det er jeg ikke så sikker på, sier Schwartz.
Han tror andre bransjer også vil bli mer utsatt etter hvert som skurkene utvider territoriene sine.
– Alt innen teknologi og telekom bør være føre var og tenke på hele leveransekjeden sin. Hvor er verdiene og hvordan kan noen få tak i dem? Og dette handler ikke bare om teknologi. Man bør også se på hvem man ansetter ut fra et sikkerhetsperspektiv.
Les også:
Politiet betalte for rapport som slakter it-kompetansen
Selvsjekk
Det beste rådet Schwartz kan gi er at selskaper bør ta en titt på sine digitale verdier, fra kundedatabaser til produktdata og skape seg et bilde av hva de er verd i feil hender.
Det er bedre å starte en gjennomgang av sikkerheten på denne måten enn bare å passe på at man overholder reglene fra det offentlige.
De er laget ut fra trusselbildet som var og ikke det som er og det som kommer.
Les også:
Dette endrer hele IT-landskapet
Dette er Norges ukjente milliardbutikk