Ein 17 år gammal gut frå Bergen blei i går pågripen og sikta for grovt skadeverk etter tysdagens dataangrep på nettstadane til fleire av Noregs største selskap.
Guten har komme med ei full tilståing og blei i går sluppen frå varetekt.
IT-sjef i Telenor Lars Vågsdal sa til NRK tysdag at datangrepet var uvanleg kraftig, men ikkje spesielt avansert. Likevel var angrepet nok til å ta ned nettsidene til Noregs Bank. Telenor og bankane Sparebank 1, Nordea og Dansk Bank, samt forsikringsselskapa Storebrand og Gjensidige, vart også ramma av dataangrepet.
Direktør for internett og nye medium i IKT–Norge, Torgeir Waterhouse stadfestar at dataangrepet truleg er blant dei største i den norske historia.
– Det er det største på lang tid som har vorte kjent, og er nok blant dei største angrepa me har hatt i Noreg.
LES OGSÅ:
– Tryggingsnivået er ikkje godt nok
At det er ein 17-åring som står bak skadeverket som tok ned nettsidene til fleire av Noregs største selskap, er ikkje overraskande for Waterhouse.
– Å utføre eit slikt angrep er ikkje veldig komplisert. Men det seier noko om kor sårbare slike internettsider er, og er ein indikasjon på at tryggingsnivået ikkje er godt nok.
– Korleis kunne noko slikt skje?
– Med atterhald om å ikkje kjenne alle detaljane i kva han har gjort: slike ting vil alltid kunne skje. På same måte som ein spør seg om korleis bilulukker kan skje, eller ein feil på operasjonsbordet. Er det ein menneskeleg faktor med i biletet, vil det alltid finnast feil.
Fagdirektør Roar Thon i Norsk tryggingsmyndigheit seier norske selskap kan bli betre på å sikre seg mot slike angrep.
– Me har i mange år sagt at me har eit forbetringspotensial når det kjem til informasjonstryggleik. Men det jobbast alltid med dette, og me ser at det blir betre. Dette er eit kappløp om å beskytte seg mot organisasjonar, statar og individ som er gode på å ta i bruk nye metodar og ny teknologi.
Slik gjorde 17-åringen det
Angrepet må ha vore godt planlagt, og det er tydeleg at den som står bak har brukt mykje tid på det, seier Waterhouse. Ifølgje IKT-eksperten finst det mange måtar å utføre slike angrep på, men metoden 17-åringen truleg har brukt er den vanlegaste og ikkje spesielt komplisert.
– Sannsynlegvis har han sendt masse trafikk mot ulike nettstadar, så mykje at dei stoppar opp.
– Ein kan samanlikne det med det som skjer dersom ein får mange bilar inn på ein veg. Blir det for mange folk på vegnettet, så stoppar trafikken rett og slett opp. Eller ta ein demonstrasjon i gatene. Dersom meir og meir folk pøser inn i gata, vil det til slutt bli heilt fullt og ikkje råd å røre seg. På same måten laga 17-åringen så mykje trafikk til nettstadane at dei ikkje klarar å handtere det.
Fagdirektør Roar Thon i Norsk tryggingsmyndigheit seier det ikkje er spesielt vanskeleg å utføre slike angrep.
– Dessverre er det slik at det finst moglegheiter for å bestille slike angrep på nettet. Det krev litt teknisk forståing, eit gyldig kredittkort, ein paypal-konto og vond vilje for å ramme den ein ønsker å ramme.
– Bak dette står det kriminelle organisasjonar som har survernett beståande av hacka datamaskiner. Desse vert brukt av dei kriminelle sjølve, eller av andre som kjøper tenestene. Slike angrep kan komme frå menneske som har lita teknisk kompetanse eller frå miljø som har høg kompetanse.
LES OGSÅ:
– Tryggleiken er for dårleg
Dataangrepet dreia seg ikkje om eit innbrot i nettsidene til dei norske selskapa. Ingen personinformasjon eller andre sensitive opplysingar har komme på avvege. 17-åringen er førebels berre sikta for skadeverk.
Til BT.no sa guten at motivasjonen bak skadeverket var å syne kor dårleg tryggleiken på slike nettstadar er. Waterhouse i IKT-Norge seier 17-åringen nok har rett i at det blir gjort for lite for å hindre denne type angrep.
– Me har ein lang veg å gå for å komme dit me skal. Noko av det me manglar er viljen til å betale for nødvendig sikkerheit. Det er utfordrande å få selskapa til å betale for eit nødvendig tryggingsnivå, seier Waterhouse.
– Ein trenger å få stoppa dei som gjer tilgjengeleg og sel dei tenestene 17-åringen truleg har nytta seg av for å kunne utføre angrepet. Via desse tenestene har han truleg skaffa seg tilgang til andres datamaskiner og brukt dei for å slå ut nettsidene til dei norske selskapa. Det finst tenester som kan blokkere den type førespurnader som 17-åringen har lagt inn for å ta ned nettsidene. Desse kan hindre fiendtleg trafikk i å komme fram.
(Artikkelen held fram under biletet)
Vidar Korsberg Dalsbø i DnB meiner dei gjer alt dei kan for at tryggleiken til ei kvar tid skal vere den beste.
– Me oppfattar tryggingsløysingane våre som dei beste som er på marknaden. Det utfordrande med slike angrep er at ein ikkje kan heilgardere seg mot dei. Det dreier seg om hærverk.
– Kan de gjere meir for å sikre dykk mot slike dataangrep?
– Av våre totale utgifter står IT for ein svært stor del av budsjettet. Me har som mål å vere lengst framme med teknologien, me er heilt avhengige av det. Det blir ikkje spara på noko når det gjeld tryggingstiltak seier Dalsbø.
Roar Thon i Norsk tryggingsmyndigheit vil ikkje kommentere Waterhouse sine påstandar om at selskapa manglar vilje til å betale for den nødvendige tryggleiken.
– Det har eg ingen kommentar til.
Private PC-ar står også i fare
Torgeir Waterhouse i IKT-Norge meiner ein må førebyggje dataangrep ved å gje folk meir opplæring i digital kompetanse.
– Digital kompetanse må inn som ein del av alle utdanningar, både generelle utdanningar og i spesialiserte utdanningar. Både politi og økonomar og andre yrkesgrupper treng å kunne sikre seg mot slike ting. Denne kompetansen er ikkje til stades i dag.
Det er ikkje berre dei store selskapa som må bruke meir ressursar på å sikre seg mot slike dataangrep, seier Waterhouse. Også privatpersonar må skaffe seg kunnskap om korleis ein kan hindre dataangrep.
– Verda er full av datamaskiner, i eiga av personar som har inga kompetanse. Det gjer det lett for kriminelle å skape ein forretningsmodell ut av å utnytte dette.
– Det viktigaste ein som privatperson kan gjere, er å halde systema oppdatert. Hugs også på at telefonen er ei lita datamaskin. Viss ein ikkje klarar å halde telefonen oppdatert, må ein få hjelp til det. I langsiktig perspektiv må ein skaffe seg kunnskap om slike ting. Det er ein større jobb.