– Du kan gjøre mye for å sikre deg mest mulig, men det er nesten umulig å sikre seg 100 prosent, forteller Kari Anna Fiskvik.
Hun er teknologidirektør ved Nordic Choice.
Som NRK fortalte ble selskapet for ikke lenge siden offer for datakriminalitet. Det stengte dem ut fra mange av deres egne systemer.
I NRKs sak om angrepet, forklarte vi hvordan et vedlegg kan være nærmest «umulig» å avsløre. Nesten fire av ti oppgav at man kunne latt seg lure:
I går fortalte NRK også om funnene i en ny rapport. Både NVE og bransjen bør ta grep for å sikre kraftnettet best mulig mot dataangrep. I verste fall sitter vi der uten strøm, er budskapet.
Samtidig blir de kriminelle stadig mer utspekulerte. Det er slett ikke enkelt lenger å skille ekte fra falskt.
– Den tilbakemeldingen vi har fått etter å ha snakket med både NSM og Kripos, er at slike angrep kan skje hvem som helst, sier Fiskvik.
Så hva kan man egentlig gjøre for å sikre seg best mulig?
Her er ekspertenes tips:
Vær forberedt på at også du kan bli lurt
Det første punktet er kanskje tydelig etter innledningen over.
Altså: Forbered deg på at selv du kan bli lurt.
Ved Nordic Choice har de ansatte fått trening i det å kjenne igjen falske e-poster. Men her hadde de kriminelle vært så sofistikerte, at de likevel klarte å lure noen til å laste ned en ondartet fil.
Kombinert med det faktum at etterspørselen etter stjålne personopplysninger på det mørke nettet øker, er det all grunn til å være forberedt på at det verste kan skje.
Å være forberedt innebærer for eksempel klare beredskapsplaner for datainnbrudd. Å ha andre systemer å lene seg på (ikke bare Windows). Eller å ha tilgang på riktig kompetanse når du trenger det.
Føler du at din bedrift har klare planer for et dataangrep?
Europol har en årlig trusselrapport. Her meldes det om en «boom» i etterspørselen etter såkalt kompromitterte data, på det mørke nettet, opplyser NorSIS.
– Her selges også fulle identiteter. Såkalte «fullz». De inkluderer gjerne personlig data, finansiell informasjon med mer. Dette kan misbrukes til alt fra ID-tyveri til utpressing, sier Lars-Henrik Gundersen.
Han er administrerende direktør ved NorSIS. Det står for «Norsk senter for informasjonssikring».
Gundersen har selv jobbet med sikkerhet siden 1996. Han kan opplyse at selv uskyldige persondata misbrukes. For eksempel e-post, fødselsnummer og adresser.
Opplysningene kan selges enkeltvis. Til alt fra tilsynelatende seriøse aktører som ønsker å bruke det til mer målrettet reklame, spam eller helseopplysninger for forskning. Til regelrette kriminelle grupper.
– Digital utpressing (løsepengeangrep) har økt kraftig de siste årene. Det er all grunn til å tro at denne trenden vil fortsette, sier Gundersen.
Denne type kriminalitet blir stadig mer profesjonalisert. I økende grad fungerer det på samme måte som en større multinasjonal virksomhet.
De som står bak er kriminelle nettverk. De ønsker å tjene store penger på å utnytte dine opplysninger. Det forteller Marie Moe.
Hun er senior sikkerhetskonsulent ved IT-sikkerhetsfirmaet mnemonic.
– Informasjonen kan selges videre på det mørke nettet via mellommenn som kalles «initial access brokers». Det er kriminelle som videreselger brukernavn og passord til andre kriminelle som deretter hacker seg inn på dine kontoer.
Hvis dine brukernavn og passord gir tilgang til jobbkontoen din og du jobber i et attraktivt firma for kriminelle hackere, vil informasjonen din være ekstra verdifull. Da kan det selges for høyere summer på «darkweb».
– Annen informasjon som kan videreselges er helseopplysninger og kredittkortinformasjon.
Vær kritisk til alle henvendelser
Lars-Henrik Gundersen ved NorSIS sier nettkriminelle alltid vil forsøke enkleste vei for å oppnå det dem vil.
– Teknologien gjør stadig oftere mennesker til mål for digitale angrep. Samtidig er mange av de digitale truslene de samme som før. Selv om de blir mer raffinerte.
Løsepengevirus, svindel, kontokapring og andre former for svindel vil fortsette å prege trussel-landskapet.
– Dette er alle svindler der sosial manipulering av den enkelte er en viktig ingrediens. I tillegg er dette svindeltyper som gir de kriminelle god avkastning selv med relativt lav innsats. Det er også slik at det er lav risiko for at de som står bak blir tatt.
E-poster, SMSer eller chatte-meldinger på sosiale medier kan se ut til å komme fra noen du kjenner. De kan inneholde lenker til videoer som pirrer vår nysgjerrighet.
Eller spiller på frykt for at noe vi ikke ønsker skal lekke ut, har kommet på avveie.
– Vi har også eksempler på at falske rekrutterere på LinkedIn tar kontakt med potensielle ofre med fristende jobbtilbud der man via direktemeldinger blir lurt til å åpne et dokument som inneholder skadevare, forteller Marie Moe.
Vær derfor ekstra kritisk til alle henvendelser. Om de kommer på telefonen, SMS, e-post eller på andre måter.
– Aldri stol på en SMS, er det generelle rådet til Martin Gundersen. Han jobber mye med datasikkerhet for NRKbeta.
Kode på app bedre enn SMS
Noe av det viktigste er to-faktor autentisering. Det visste du kanskje. Da holder det ikke bare med passordet ditt alene.
Men det du kanskje ikke visste, er at to-faktor via tekstmelding ikke er det sikreste. Altså, der du får en kode via SMS for å logge på.
Marie Moe ved IT-sikkerhetsfirmaet mnemonic forklarer:
– Det er et kappløp mellom oss som jobber med å sikre systemene og de kriminelle som stadig utvikler nye metoder for å omgå sikkerhetstiltakene.
– To-faktor autentisering via SMS er ett eksempel på dette, der svindlere finner stadig nye finurlige måter å omgå dette. For eksempel via såkalt «SIM-swapping».
«SIM-swapping», eller SIM-kortkapring, er «en metode som brukes for å overføre telefonnummeret fra offerets SIM-kort og over til angriperen», skriver ITavisen.
– I stedet for å vente på SMS og taste inn koden kan autentisering via en dedikert tofaktor-app være enklere og sikrere når du skal logge inn på nettbanken, sier Moe.
Gode passord
God passordhygiene. Kanskje opplagt, men likevel: Opprett sterke passord.
– Ikke bruk samme passord flere steder. Aldri del passordene dine. Selv om du stoler på vedkommende, sier Moe.
– Det finnes programvare som hjelper deg med å opprette gode passord og holde styr på disse, en såkalt «password manager».
Hun anbefaler at man holder programvaren oppdatert. Så er man bedre sikkert skulle man gå på limepinnen.
– Skru på automatisk oppdatering av programvare på PC, nettbrett og smarttelefon. Med oppdatert programvare har du beskyttelse mot de fleste typer skadevare som utnytter populære sikkerhetshull.
Har du et tips?
Jeg interesserer meg for datasikkerhet, og vil gjerne høre fra deg om du har historier knyttet til svindel og/eller hacking. Jeg har tidligere blant annet skrevet om kryptosvindel, fenomenet «deepfake» og hackingen av Nordic Choice.