– Hacking og datalekkasjer utgjør en stor trussel for personvernet

Personopplysninger som kommer på avveie kan misbrukes til alt fra ID-tyveri til utpressing. Dette kan oppleves som svært inngripende og truer blant annet retten til et privatliv, sier Lars-Henrik Gundersen, direktør i NorSIS.

Illustrasjonsfoto: NorSIS
Illustrasjonsfoto: NorSIS

Gundersen sier at det fortsatt er mange mennesker som utsettes for ID-tyveri i Norge, og peker på at en undersøkelse som Respons Analyse utførte på vegne av Skatteetaten og NorSIS i 2021 viste at over 100 000 nordmenn hadde opplevd ID-tyveri de siste to årene.

Han forteller at de vanligste grunnene til at kriminelle får plantet skadevare, som løsepengevirus, er e-poster som forsøker å lure mottageren til å laste ned ondartet innhold i vedlegg/web-lenker, eller at de tar over ansattes brukerkontoer, såkalt kontokapring.

– Det er en potensielt stor trussel at så mange ansatte ikke har fått tilstrekkelig kunnskap for å mestre de aller viktigste sikkerhetstiltakene som kan stoppe dette, sier han til Juristen.

Lars-Henrik Gundersen er direktør i Norsk senter for informasjonssikring, NorSIS. (Foto: Per-Erik Beck Bjørnback / NorSIS)
Lars-Henrik Gundersen er direktør i Norsk senter for informasjonssikring, NorSIS. (Foto: Per-Erik Beck Bjørnback / NorSIS)

På spørsmål om hvilke utfordringer NorSIS ser i tiden fremover, trekker Gundersen blant annet frem at Europol i sin årlige trusselrapport melder om en boom i etterspørselen på det mørke nettet etter kompromitterte data fra forskjellige typer dataangrep.

– Kunnskapen de store databasene inneholder er med på å gjøre svindelen mer personrettet og derfor mer troverdig. Europol trekker spesielt frem de eldre som en sårbar gruppe for målrettet svindel via phishing e-poster, telefonsamtaler eller SMS fra falsk avsender, sier Gundersen.

– Det endelige målet her er ofte å få tilgang ofrenes konto eller kredittkortinformasjon. Noe av utfordringen fremover er nettopp det personrettede fokuset, og bruk av stadig mer avanserte metoder.

Denne artikkelen stod på trykk i Juristens temautgave om personvern. Les flere av sakene her

Alle rammes

Økt bevissthet og kunnskap om informasjonssikkerhet er viktig for å beskytte seg og sine personopplysninger, mener Gundersen.

– Dette gjelder blant annet passord til ulike kontoer. Mange bruker det samme passordet privat som på sine jobbkontoer, og utsetter både seg selv og sin arbeidsplass for en unødvendig stor risiko. Vi anbefaler derfor å lage sterke og unike passord, spesielt for tjenester hvor det vil gjøre stor skade dersom andre får tilgang til kontoen. I tillegg til totrinnspålogging er dette den viktigste tommelfingerregelen for sikker passordbruk.

Når det gjelder hvilke virksomheter som er utsatt, ser de hos NorSIS at hele verdikjeden rammes; fra enkeltstående virksomheter til offentlig forvaltning og kritisk infrastruktur.

– Det er imidlertid en økning i aktiviteten mot de små og mellomstore bedriftene, fordi disse kan være enkle innganger for å ramme et større mål, såkalte verdikjedeangrep, sier Gundersen.

– Fortsatt ser vi at de små og mellomstore virksomhetene ikke har et like stort fokus på sikkerhet som de større, og derfor er attraktive i denne type angrep.

Flere dataangrep

Bare i løpet av de siste månedene har det vært flere dataangrep mot store virksomheter i Norge. I mange av disse har det vært uttrykt en frykt for at personopplysninger om kunder eller ansatte kan være på avveie. I flere tilfeller det siste året har disse opplysningene dukket opp til salgs på det mørke nettet.

– Kunder eller tidligere ansatte som får et varsel om at de kan være berørt bør derfor ta dette på største alvor, og sette seg inn i hva deres personopplysninger kan brukes til, sier Gundersen på NorSIS nettsted.

I en stor forebyggende aksjon mot datakriminalitet avdekket Kripos og Økokrim en utspekulert bedragerimetode og klarte, gjennom forebyggende tiltak, å forhindre minst 28 bedragerier mot norsk næringsliv. Over 170 bedrifter ble varslet. Nyheten om aksjonen kom ut i begynnelsen av februar i år.

I 2019 ble Universitetet i Tromsø (UiT) og Norges Handels­høyskole (NHH) utsatt for bedragerier, der det til sammen gikk tapt over 12 millioner kroner, ifølge pressemeldingen fra Kripos og Økokrim.

Blir flinkere

Samtidig fikk Kripos informasjon fra samarbeidspartnere om at flere norske bedrifter ble utsatt for phishing, en bedrageriform der kriminelle forsøker å få tilgang til sensitiv informasjon de kan utnytte gjennom å utgi seg for å være noen andre enn den de er.

Olav Skard er avdelingsdirektør ved Nasjonalt cyberkrimsenter (NC3) på Kripos. (Foto: Kripos)

– Ved å sette sammen informasjon fra flere kilder klarte vi å avdekke metoden til gjerningspersonene. Politiets primærstrategi er å forebygge kriminalitet, og når vi klarer å forhindre at mange norske selskaper blir utsatt for bedragerier, så gir strategien vår god effekt, sier Olav Skard, leder for NC3 i Kripos til Juristen.

– Det er en krevende oppgave for virksomhetene å avsløre slike bedrageriforsøk. Dette har vært såpass profesjonelt gjort at det har tatt oss en tid å avdekke modus. De cyberkriminelle blir stadig flinkere til å kommunisere på en måte som gjør at virksomhetene ofte ikke fatter mistanke til at noe er galt, sier Skard.

Gjennom etterforskning og analyse fant Kripos at svindlerne benyttet seg av informasjon på Doffin.no i bedrageriene. Svindlerne utgir seg for å være en offentlig virksomhet og tar kontakt med leverenadører. De ber om alle utestående fakturaer relatert til avtalen de har fått opplysninger om gjennom doffin.no. Så endrer de betalingsinformasjonen på fakturaene og sende dem tilbake til den offentlige virksomheten. Slik klarte svindlerne å bedra norske offentlige virksomheter for millionbeløp. Helt til Kripos og Økokrim gjennomskuet dem.

– Gjennom Doffin.no fulgte de med på hvem som vant anbudskonkurranser, og opplyste til leverandørene via epost for eksempel at de hadde problemer med faktura- og betalingssystemet sitt, slik at de hadde vært nødt til å bytte kontonummer, og spurte om det var greit at de ettersendte nye fakturaer med nytt kontonummer, sier Skard.

Kripos og Økokrim brukte gjerningspersonene sin metode for å finne potensielle ofre og sendte ut eposter til om lag 170 kontaktpersoner for norske anskaffelser.

– I retur har vi fått informasjon om at 28 av disse er forsøkt bedratt etter en modus som samsvarer med denne. Vi er ikke kjent med at det har vært fullførte bedragerier knyttet til denne modusen etter at vi startet forebyggingskampanjen, sier Skard.

Selger opplysninger

I følge NorSIS selges stjålne id-opplysninger av datakriminelle. Personopplysningene kan ifølge Nor­­SIS-direktør Lars-Henrik Gundersen selges enkeltvis, til alt fra tilsynelatende seriøse aktører som ønsker å bruke det til mer målrettet reklame, spam eller helseopplysninger for forskning, til regelrette kriminelle grupper.

– På det mørke nettet selges også fulle identiteter, såkalte fullz, som gjerne inkluderer personlig data, finansiell informasjon og så videre. Dette kan misbrukes til alt fra ID-tyveri til utpressing, sier han på NorSis nettsted.

Europol melder i sin årlige trusselrapport om en boom i etterspørselen på det mørke nettet etter såkalt kompromitterte data, som personopplysninger, fra forskjellige typer store og små dataangrep.

– Når de kriminelle har tilgang til dine personlige opplysninger, øker også sjansen for at de lykkes. Kunnskapen de store databasene med innsikt inneholder, er med på å gjøre svindelen mer personrettet og derfor mer troverdig.

Ifølge Gundersen benytter gjerne de kriminelle flere kanaler samtidig, for eksempel ved at de først sender en SMS, tilsynelatende fra «banken», for deretter kort tid etter å ringe offeret – enten for å bekrefte at de er banken eller for å gi flere instruksjoner.

Passord

En annen stor utfordring er ifølge Gundersen når personlige innloggingsdetaljer blir stjålet i store datainnbrudd. Over 11,7 milliarder stjålne brukernavn og passord til e-post-kontoer, Netflix-abonnement, sosiale medier og en rekke andre tjenester er nå registrert i den gigantiske databasen «Have I Been Pwned».

– Ifølge vår nye rapport om nordmenns digitale sikkerhetskultur bruker bare drøye 4 av 10 nordmenn forskjellige passord for de fleste tjenestene de benytter på nett. Det betyr at om de kriminelle får tak i det ene passordet, vil de kunne få tilgang til store deler av ditt digitale liv, sier Gundersen.

Mange bruker også det samme passordet privat som på sine jobbkontoer, og utsetter også sin arbeidsplass for en unødvendig stor risiko, i følge NorSIS.

Er ditt brukernavn og passord på avveie kan det også medføre en økt risiko for at noen tar over din e-post eller konto i sosiale medier, skriver NorSIS på nettsiden.

– Lag derfor sterke og unike passord hver gang, og spesielt for tjenester hvor det vil gjøre stor skade dersom andre får tilgang til kontoen. I tillegg til totrinnspålogging er dette den viktigste tommelfingerregelen for sikker passordbruk, oppfordrer Gundersen.

Tags