Hopp til innhold

Slik tok 17-åringen ned nettsidene til Noregs største selskap

Korleis klarte ein 17–åring å ta ned nettsidene til Noregs største selskap? Eit slikt dataangrep syner at tryggingsnivået i dei norske selskapa ikkje er godt nok, seier direktør i IKT-Norge, Torgeir Waterhouse.

Torgeir Waterhouse og Vidar Korsberg Dalsbø i DnB.

IKKJE GODT NOK: – Tryggingsnivået i norske selskap er ikkje godt nok, seier Torgeir Waterhouse i IKT-Norge (til venstre). Vidar Korsberg Dalsbø i DnB (til høgre) seier dei meiner tryggingstiltaka deira er blant dei beste på marknaden. – Me sparar ikkje på noko, seier Dalsbø.

Foto: DNB/IKT-Norge

Ein 17 år gammal gut frå Bergen blei i går pågripen og sikta for grovt skadeverk etter tysdagens dataangrep på nettstadane til fleire av Noregs største selskap.

Guten har komme med ei full tilståing og blei i går sluppen frå varetekt.

IT-sjef i Telenor Lars Vågsdal sa til NRK tysdag at datangrepet var uvanleg kraftig, men ikkje spesielt avansert. Likevel var angrepet nok til å ta ned nettsidene til Noregs Bank. Telenor og bankane Sparebank 1, Nordea og Dansk Bank, samt forsikringsselskapa Storebrand og Gjensidige, vart også ramma av dataangrepet.

Torgeir Waterhouse

– TRYGGINGSNIVÅET ER IKKJE GODT NOK: Det seier Direktør for Internett og nye medium i IKT-Norge, Torgeir Waterhouse.

Foto: Pressebilde / IKT Norge

Direktør for internett og nye medium i IKT–Norge, Torgeir Waterhouse stadfestar at dataangrepet truleg er blant dei største i den norske historia.

– Det er det største på lang tid som har vorte kjent, og er nok blant dei største angrepa me har hatt i Noreg.

LES OGSÅ: 17-åring pågripen for dataangrepet - Hordaland

– Tryggingsnivået er ikkje godt nok

At det er ein 17-åring som står bak skadeverket som tok ned nettsidene til fleire av Noregs største selskap, er ikkje overraskande for Waterhouse.

– Me har som mål å vere lengst framme med teknologien, og me er heilt avhengige av det. Det blir ikkje spara på noko når det gjeld tryggingstiltak.

Vidar Korsberg Dalsbø i DnB

– Å utføre eit slikt angrep er ikkje veldig komplisert. Men det seier noko om kor sårbare slike internettsider er, og er ein indikasjon på at tryggingsnivået ikkje er godt nok.

– Korleis kunne noko slikt skje?

– Med atterhald om å ikkje kjenne alle detaljane i kva han har gjort: slike ting vil alltid kunne skje. På same måte som ein spør seg om korleis bilulukker kan skje, eller ein feil på operasjonsbordet. Er det ein menneskeleg faktor med i biletet, vil det alltid finnast feil.

Fagdirektør Roar Thon i Norsk tryggingsmyndigheit seier norske selskap kan bli betre på å sikre seg mot slike angrep.

– Me har i mange år sagt at me har eit forbetringspotensial når det kjem til informasjonstryggleik. Men det jobbast alltid med dette, og me ser at det blir betre. Dette er eit kappløp om å beskytte seg mot organisasjonar, statar og individ som er gode på å ta i bruk nye metodar og ny teknologi.

DNB sine nettsider nede

TRULEG ÅLEINE OM ANGREPET: 17-åringen som har tilstått det omfattande dataangrepet tysdag denne veka er no lauslaten. Politiet trur han står bak angrepet åleine

Foto: Skjermdump DNB

Slik gjorde 17-åringen det

Angrepet må ha vore godt planlagt, og det er tydeleg at den som står bak har brukt mykje tid på det, seier Waterhouse. Ifølgje IKT-eksperten finst det mange måtar å utføre slike angrep på, men metoden 17-åringen truleg har brukt er den vanlegaste og ikkje spesielt komplisert.

– Sannsynlegvis har han sendt masse trafikk mot ulike nettstadar, så mykje at dei stoppar opp.

Roar Thon i Nasjonal sikkerhetsmyndighet (NSM)

KAN BLI BETRE: Norske selskap kan bli betre på å sikre seg mot slike angrep, seier Roar Thon i Norsk tryggingsmyndigheit.

Foto: Inger Johanne Stenberg

– Ein kan samanlikne det med det som skjer dersom ein får mange bilar inn på ein veg. Blir det for mange folk på vegnettet, så stoppar trafikken rett og slett opp. Eller ta ein demonstrasjon i gatene. Dersom meir og meir folk pøser inn i gata, vil det til slutt bli heilt fullt og ikkje råd å røre seg. På same måten laga 17-åringen så mykje trafikk til nettstadane at dei ikkje klarar å handtere det.

Fagdirektør Roar Thon i Norsk tryggingsmyndigheit seier det ikkje er spesielt vanskeleg å utføre slike angrep.

– Dessverre er det slik at det finst moglegheiter for å bestille slike angrep på nettet. Det krev litt teknisk forståing, eit gyldig kredittkort, ein paypal-konto og vond vilje for å ramme den ein ønsker å ramme.

– Bak dette står det kriminelle organisasjonar som har survernett beståande av hacka datamaskiner. Desse vert brukt av dei kriminelle sjølve, eller av andre som kjøper tenestene. Slike angrep kan komme frå menneske som har lita teknisk kompetanse eller frå miljø som har høg kompetanse.

LES OGSÅ: – Hackere har sikkert stjålet data - NRK – Norge

– Tryggleiken er for dårleg

Dataangrepet dreia seg ikkje om eit innbrot i nettsidene til dei norske selskapa. Ingen personinformasjon eller andre sensitive opplysingar har komme på avvege. 17-åringen er førebels berre sikta for skadeverk.

Til BT.no sa guten at motivasjonen bak skadeverket var å syne kor dårleg tryggleiken på slike nettstadar er. Waterhouse i IKT-Norge seier 17-åringen nok har rett i at det blir gjort for lite for å hindre denne type angrep.

– Me har ein lang veg å gå for å komme dit me skal. Noko av det me manglar er viljen til å betale for nødvendig sikkerheit. Det er utfordrande å få selskapa til å betale for eit nødvendig tryggingsnivå, seier Waterhouse.

– Ein trenger å få stoppa dei som gjer tilgjengeleg og sel dei tenestene 17-åringen truleg har nytta seg av for å kunne utføre angrepet. Via desse tenestene har han truleg skaffa seg tilgang til andres datamaskiner og brukt dei for å slå ut nettsidene til dei norske selskapa. Det finst tenester som kan blokkere den type førespurnader som 17-åringen har lagt inn for å ta ned nettsidene. Desse kan hindre fiendtleg trafikk i å komme fram.

(Artikkelen held fram under biletet)

Vidar Korsberg Dalsbø

SPARAR IKKJE PÅ NOKO: DnB brukar store deler av budsjettet sitt på tryggingsløysingar, seier Vidar Korsberg Dalsbø i DnB.

Foto: DNB

Vidar Korsberg Dalsbø i DnB meiner dei gjer alt dei kan for at tryggleiken til ei kvar tid skal vere den beste.

– Me oppfattar tryggingsløysingane våre som dei beste som er på marknaden. Det utfordrande med slike angrep er at ein ikkje kan heilgardere seg mot dei. Det dreier seg om hærverk.

– Kan de gjere meir for å sikre dykk mot slike dataangrep?

– Av våre totale utgifter står IT for ein svært stor del av budsjettet. Me har som mål å vere lengst framme med teknologien, me er heilt avhengige av det. Det blir ikkje spara på noko når det gjeld tryggingstiltak seier Dalsbø.

Roar Thon i Norsk tryggingsmyndigheit vil ikkje kommentere Waterhouse sine påstandar om at selskapa manglar vilje til å betale for den nødvendige tryggleiken.

– Det har eg ingen kommentar til.

Private PC-ar står også i fare

Torgeir Waterhouse i IKT-Norge meiner ein må førebyggje dataangrep ved å gje folk meir opplæring i digital kompetanse.

– Me har ein lang veg å gå for å komme dit me skal. Det er utfordrande å få selskapa til å betale for eit nødvendig tryggingsnivå.

Torgeir Waterhouse i IKT-Norge

– Digital kompetanse må inn som ein del av alle utdanningar, både generelle utdanningar og i spesialiserte utdanningar. Både politi og økonomar og andre yrkesgrupper treng å kunne sikre seg mot slike ting. Denne kompetansen er ikkje til stades i dag.

Det er ikkje berre dei store selskapa som må bruke meir ressursar på å sikre seg mot slike dataangrep, seier Waterhouse. Også privatpersonar må skaffe seg kunnskap om korleis ein kan hindre dataangrep.

– Verda er full av datamaskiner, i eiga av personar som har inga kompetanse. Det gjer det lett for kriminelle å skape ein forretningsmodell ut av å utnytte dette.

– Det viktigaste ein som privatperson kan gjere, er å halde systema oppdatert. Hugs også på at telefonen er ei lita datamaskin. Viss ein ikkje klarar å halde telefonen oppdatert, må ein få hjelp til det. I langsiktig perspektiv må ein skaffe seg kunnskap om slike ting. Det er ein større jobb.