Samfunnet digitaliseres i stadig økende tempo, og kriminalitetsutviklingen går i samme retning. Men hvem leder det digitale kriminalitetskappløpet? Politi eller røver?
Under Sysla Live i oktober, diskuterte Frode Karlsen fra politiet og etisk hacker Chris Dale blant annet nettopp dette spørsmålet.
Fakta
Forlenge
Lukke
Sysla Live
Syslas plattform for journalistikk på scenen.
5. Oktober arrangerte vi Sysla Live med teknologi i næringslivet som overordnet tema under Atea Community i Bergen.
I Sysla Live-en du kan se i denne artikkelen er Åshild Hanne Larsen fra Statoil og John Markus Lervik fra Cognite gjester.
Den erfarne politilederen var klokkeklar på spørsmål om han og kollegene har kommet lenger enn hackere og andre digitale kriminelle.
– Det er bare å erkjenne at røverne alltid leder. Det ligger i sakens natur at kriminelle alltid vil finne nye metoder for å begå kriminelle handlinger. De er innovatører og bruker nye løsninger, og vil alltid ligge foran oss, svarte Karlsen.
– Prøver å forebygge
Tjenestenektangrep, direktørsvindel og utpressing i kjølvannet av kryptering av filer er noen av de vanligste formene for digital kriminalitet mot næringslivet. Selv om den grunnleggende metodikken er kjent for politiet, endrer de kriminelle til stadighet sin fremgangsmåte.
– Det vi må gjøre, og hele tiden forsøker å bli bedre på, er å raskest mulig tilpasse oss de siste trendene og bidra til forebygging i størst mulig grad. Måten vi tilpasser politiets struktur gjennom politireformen, er ett av disse grepene, sier Karlsen.
Fakta
Forlenge
Lukke
Digitale angrep mot virksomheter
Det blir gjennomført stadig flere digitale angrep mot virksomheter.
I fjor ble 13 prosent av norske virksomheter utsatt for direktørsvindel.
Ti prosent av norske virksomheter ble utsatt for kriminalitet som de valgte å ikke anmelde.
Antall anmeldelser utført av virksomheter har sunket med 16 prosent på fire år.
Kilde: Krisino-rapporten og Nasjonal kommuniksjonsmyndighet
Noe av utfordringen, ifølge Karlsen, er at politiet ofte blir koblet inn på et sent stadium.
– Eller andre ganger ikke i det hele tatt. Det er fortsatt slik i 2017 at det er knyttet en viss grad av skam til det å bli utsatt for dette. Man føler seg dum fordi man har latt seg lure, eller fordi man har hatt smutthull. Den manglende åpenheten kan gjøre det vanskelig for politiet å oppklare sakene, sier han.
Chris Dale i Netsecurity Foto: Adrian Søgnen
Enig i at politiet er bakpå
Chris Dale er en av Norges mest kjente etiske hackere. Som penetrasjonstester i Netsecurity er jobben hans blant annet å avdekke smutthull i norske bedrifters digitale infrastruktur. Han mener også at politiet halser etter.
– På den ene siden er politiet i økende grad flinke til å sikre bevis, etter at angrep har skjedd, på en effektiv måte. Utfordringen ligger i å forhindre angrep i forkant, og der er det ingen tvil om at røverne klart leder an, sier han.
Han sier seg enig med Karlsen i at manglende åpenhet om problematikken er et problem.
– Jeg tror bedrifter må legge stoltheten til side, når man vurderer dette. Jeg ville sagt: Vær transperent, og gå ut og fortell hva ditt selskap har gjort for å motvirke angrep, men at dere likevel ble hacket. Vis kunder og allmennheten at dere er åpne. Det vil gi stor preventiv effekt om noen går foran og tør å snakke om dette, sier Dale.
.mc4wp-form input[name="_mc4wp_required_but_not_really"] { display: none !important; }
NYHETER OM TEKNOLOGIENE SOM ENDRER NÆRINGSLIVET
Faktaene er ikke til misforstå. Ifølge en rekke ulike rapporter øker antall digitale angrep rettet mot virksomheter jevnt og trutt, år for år. Likevel velger stadig færre norske virksomheter å anmelde kriminalitet.
Antall anmeldelser foretatt av selskaper har sunket med 16 prosent i løpet av de fire siste år, ifølge siste utgave av den såkalte Krisini-rapporten.
Hvorfor er det slik? Det spørsmålet inviterte vi Chris Dale fra Netsecurity og Frode Karlsen i Vest politidistrikt til Sysla Live i oktober, for å diskutere.
Se hele intervjuet i videoen under!
– Selv om jeg alltid råder mine kunder til å gå til politiet, har jeg stor forståelse for at mange velger å ikke gjøre det, sier Dale.
– Gode grunner til å ikke anmelde
Som penetrasjonstester i Netsecurity lever Dale av å avdekke smutthull inn i bedrifters datasystemer, for så å lære dem hvordan hullene tettes. Han mener politiet ofte har en annen agenda enn den ofrene har.
– Det bunner i at man ofte har et helt annet mål med anmeldelsen enn det politiet vil ha. Politiets oppgave er å oppklare saker. For en virksomhet er ofte det viktigste at man raskest mulig kommer tilbake i den situasjonen man hadde før det aktuelle angrepet fant sted, forteller han.
Den erfarne sikkerhetseksperten mener disse hensynene ofte krasjer når virksomheter involverer politiet.
– For politiet kan det eksempelvis være nødvendig å sikre bevis som kan bidra til å avdekke hvem som har utført angrepet, og hvordan det ble gjennomført. Det kan innebære at virksomheten ikke kan benytte utstyr som er viktig for driften, så lenge bevissikringen pågår. Det vet jeg av erfaring at mange selskaper er skeptiske til, og dermed velge å ikke anmelde, sier han.
Forståelse for tvil
Karlsen utrykte forståelse for perspektivet som Dale påpekte, men la til at politiet forsøker å redusere ulempen etterforskningen medfører for selskapene, så mye som mulig.
Kilde: Krisini-rapporten
– Som et eksempel speiler (metode for å kopiere data, journ. anm.) vi det vi trenger som bevismateriale på stedet. Dette fører til at vi sjelden må “oppholde” servere eller datamaskiner særlig lenge før offeret kan benytte seg av utstyret sitt igjen, sier politilederen.
Dale mener også at noe av problemet ligger hos bedriftene.
– Hvis en bedrift forteller meg at de aldri har blitt hacket, så tror ikke på dem. Svaret er egentlig at det sannsynligvis har blitt hacket, men at de ikke vet om det ennå. De eneste som tjener på at vi ikke er åpne om dette, er de kriminelle, sier Dale.
– Legg stoltheten til side
– Hvilke råd har dere til de næringslivslederne som leser dette og akkurat nå vurderer å anmelde noe de har blitt utsatt for?
– Jeg tror bedrifter må legge stoltheten til side, når man vurderer dette. Jeg ville sagt: Vær transperent, og gå ut og fortell hva ditt selskap har gjort for å motvirke angrep, men at dere likevel ble hacket. Vis kunder og allmennheten at dere er åpne. Det vil gi stor preventiv effekt om noen går foran og tør å snakke om dette, sier Chris Dale.
Karlsen råder de som er i tvil til å løfte opp telefonen.
– Etter 15 år i politiet har jeg ennå til gode å anmelde en sak hvor fornærmede ikke ønsker å anmelde. Derfor er mitt råd: ring meg på 02800, og så tar vi det derfra.
Sysla Live Atea Community Digital kriminalitet Frode Karlsen leder for økonomiavsnittet i Vest politidistrikt. Foto: Adrian Søgnen
Ifølge den nylig publiserte Krisini-rapporten, ble 13 prosent av norske selskaper utsatt for direktørsvindel i fjor. Svindelen går ut på at kriminelle lurer ansatte til å overføre store beløp ved å fremstå som en overordnet, via e-post. Flere ledende eksperter mener det er grunn til å tro at det også er store mørketall.
Under Sysla Live i oktober, deltok leder for økonomiavsnittet i Vest politidistrikt, Frode Karlsen og sikkerhetsekspert Chris Dale.
Under kan du se “Sysla Live: Cyberkriminalitet: Er politi eller røver lengst fremme?” i sin helhet.
Enorme summer
Innledningsvis fortalte Dale om et eksempel fra sin egen karriere hvor et selskap hadde betalt ut noen hundre millioner kroner som følge av direktørsvindel.
Da Karlsen, entret scenen, fortalte han om langt høyere beløp.
Publikum lytter til Karlsens erfaringer under Sysla Live i høst. Foto: Adrian Søgnen
– Vi kjenner blant annet til en sak hvor et norsk selskap har utbetalt flerfoldige hundre millioner, oppunder en milliard kroner, som følge av denne type svindel, fortalte Karlsen, som ikke kunne gå nærmere inn på detaljer rundt saken.
Forbedret egne karakterer
Han fortsatte ved å gi flere eksempler på tidligere og pågående etterforskninger om digital kriminalitet rettet mot næringslivet.
Hør for eksempel hvordan 19-åringen hacket seg inn på skolens systemer for å gi seg selv bedre karakterer. Hør hvordan et forsøk på direktør-svindel tilfeldigvis ble avverget fordi de to som angrepet var rettet mot tilfeldigvis satt i samme rom. Og om det norske selskapet som ikke var like heldige.
