– Jeg har jobbet med kriminalitetsforsikringer i 20 år. Det startet med ran av kontanter, typisk Nokas-ran med finlandshetter. Nå er det blitt mer sofistikert. Det meste skjer via internett og det er ikke lenger kontanter. Dette er høyt utdannede mennesker som sitter i et land som ikke har noe forhold til selskapet som skal angripes, sier partner Alexander Plows i DLA Piper.
Cyberhendelser øker i omfang. Sofie Nystrøm, direktør i Nasjonal sikkerhetsmyndighet (NSM), har tidligere uttalt til Finansavisen at det fra 2019 til 2021 har vært en tredobling av alvorlige cyberoperasjoner mot Norge.
Amedia, Nordic Choice og Nordland fylkeskommune er noen av cyberoperasjonene som er omtalt den seneste tiden. Ifølge Plows og hans to kolleger, advokat Johan André Eikrem og senioradvokat Lars A. Jøstensen, er det bare toppen av isfjellet som når mediene.
– Dette er en trend som bare vil fortsette på grunn av hjemmekontor og stadig mer sofistikerte angrep, sier Jøstensen.
Advokatene har forsikringsselskapene som klienter, og er såkalt «breach response manager» for et internasjonalt forsikringsselskap i Norge. Det innebærer at samtlige cyberhendelser som berøres av polisene meldes inn til DLA Piper-advokatene.
– Kan oppstå konkurser
Advokatene sitter derfor med god oversikt over hvordan cyberangrepene utføres på norske bedrifter. De mener alle bedrifter har behov for cyberforsikring, men for noen er det viktigere.
– Det er særlig ett segment som bør være oppmerksom, og det er markedet for små og mellomstore bedrifter, sier Jøstensen, som mener at dette markedet ikke er nok bevisste hva som står på spill om bedriften blir angrepet.
– Ved et dataangrep risikerer bedriften at hele systemet må stenges ned. Kanskje er all data infiltrert. Har du ikke gode backupsystemer, så har du da mistet tilgangen til e-post og lønnsportal. Tapene blir veldig fort store hvis du ikke har tilgang til hjelp og støtte, utdyper Jøstensen.
– Det er selskapets eget tap, så er det et tredjepartstap som kan bli veltet tilbake på selskapet. I tillegg er det også risiko for overtredelsesgebyrer fra Datatilsynet dersom persondata har kommet på avveie. Dette er en skikkelig giftig cocktail. Vi tror det snart kan oppstå flere konkurser i Norge på grunn av cyberhendelser, fortsetter Eikrem.
Krisetelefon
Plows viser til at små- og mellomstore bedrifter ofte ikke har en intern IT-avdeling. Men har bedriften en forsikring og det skjer et angrep, kan man ringe et krisenummer slik at man får bistand til å minimere tapet.
– Det blir koblet på ulike ressurser, alt fra IT-eksperter, PR- og kommunikasjon til advokater. I noen tilfeller vil man også kunne dra veksel på et callsenter dersom persondata er kommet på avveie og personene må varsles, fortsetter Eikrem.
De internasjonale forsikringsselskapene har også tilgang til konsulenter som er eksperter på å forhandle med cyberkriminelle.
– Man kan gå inn i forhandlinger med formål om å trekke ut tiden for å jobbe med å finne sikkerhetshullet. Man kan også gå i forhandlinger for å fremforhandle rabatter og betale løsepengekravet som typisk blir fremsatt i den typen saker, sier Eikrem.
Man kan gå inn i forhandlinger med formål om å trekke ut tiden for å jobbe med å finne sikkerhetshulletJohan André Eikrem, DLA Piper
– Dersom et selskap opplever infiltrasjon er det viktig å få oversikt over hva som har skjedd og prøve å stanse den. Jo tidligere du kommer inn for å stoppe spredningen jo bedre. Hvis dette får lov til å spre seg kan det bli fatalt, sier Jøstensen.
Større selskaper med en veldreven IT-funksjon og stab har ofte mindre behov for en breach response-forsikring, men heller dekning for tap.
Kan bidra til hvitvasking
– Hva skal du gjøre dersom du ikke er forsikret og havner i en løsepengesituasjon?
– Jeg vil i det absolutt sterkeste fraråde å håndtere det på egenhånd. Dette gjelder særlig spørsmålet om man skal betale eller ikke betale. Dersom man vurderer å betale må man være bevisst på hva man holder på med. Betalingsmottageren kan for eksempel være sanksjonerte enheter eller terroristorganisasjoner slik at betaling er en absolutt no go, sier Jøstensen.
Jeg vil i det absolutt sterkeste fraråde å håndtere det på egenhånd. Dette gjelder særlig spørsmålet om man skal betale eller ikke betale.Lars A. Jøstensen, DLA Piper
– I verste fall er det straffeansvar. Man kan ha bidratt til hvitvasking og finansiering av terrorvirksomhet avhengig av hvilken organisasjon som krever løsepenger, sier han.
Å stikke hode i sanden vil de heller ikke anbefale.
– Nei, det går ikke vekk. Jeg ville ha snakket med advokat som har ekspertise på sanksjoner. Man bør også koble på noen IT-eksperter og andre konsulenter.
Han legger til at man også har plikt til å varsle Datatilsynet etter et visst antall timer hvis man mistenker at persondata er på avveie.
– Om man misligholder den plikten kan må få et overtredelsesgebyr. Det er minefelt å bevege seg i.
Kan være russisk
Den klassiske typen angrep er at hackerne finner en svakhet i selskapets datasystem.
– Svakheten kan komme av mange årsaker, men blir utnyttet som en inngang av datakriminelle. De krypterer en større andel data, trekker seg ut og går inn i en ny fase, for eksempel fremsette løsepengekrav mot selskapet som de infiltrerer i bytte mot en dekryptreringsnøkkel, sier Eikrem.
Dersom persondatafiler, som lønnslipper og personnummer, lekkes må man tenke seg nøye om.
– Skal man faktisk betale løsepengekravet? Her er det ikke bare snakk om selskapets interesser, men også ansattes interesse. En trussel som ofte kommer på toppen er at trusselaktøren truer med å publisere dataene på det mørke nettet eller en offentlig side som alle kan få tilgang til.
Skal man faktisk betale løsepengekravet? Her er det ikke bare snakk om selskapets interesser, men også ansattes interesse.Jon André Eikrem, DLA Piper
Nettstedet Ransomwatch tar daglig skjermbilder av det de cyberkriminelle legger ut på det mørke nettet «Tor». Det kan for eksempel være flere hundre gigabyte med sensitive data fra ett selskap som har bestemt seg for ikke å betale ut løsepenger.
– Noen ganger legges dataene ut gratis og hvem som helst kan laste de ned. Andre ganger kreves betaling for de som ønsker å se på filene, sier Eikrem.
De aller fleste grupperingene holder til i Kina eller tidligere Sovjetunionen. De opererer også som vanlige arbeidsgivere. De har arbeidskontrakt, lønn og pensjon.
En trusselaktør som går igjen er Conti ransomware. Eikrem forteller at det ikke er identifisert hvem som står bak, men organisasjonen har tatt russisk side i Ukraina-krigen.
– Det spekuleres nå om at aktøren er en del av den russiske stat, sier han.
Sofistikerte metoder
Eikrem legger til at cyberkriminelle ikke bryr seg om høytider og sommerferier.
– Vi hadde en hendelse som vi måtte håndtere lillejulaften sent på kvelden. Det slår ofte til i høytider fordi da er færre på jobb i selskapet de ønsker å angripe og guarden er senket.
Jøstensen forteller at trusselsaktøren kan finne på å infiltrere underleverandøren først, og deretter overvåke korrespondansen mellom underleverandøren og målselskapet. Når trusselaktøren ser en åpning, for eksempel bestilling av en vare, følger de opp med å sende en link i en e-post som er nesten helt identisk med hvordan e-posten ellers ville sett ut om den kom fra den virkelige underleverandøren.
– Den som trykker på linken tror det er en oppfølging av korrespondansen man har hatt med underleverandøren, men i realiteten er det et cyberangrep.
Andre datakriminelle kan for eksempel ringe målselskapet og presentere seg som en journalist. Deretter følger de opp med en e-post som ser ut til å komme fra journalisten.
– Det finnes også ulike aktører med ulike spesialiseringer. Noen aktører gjennomfører selve infiltrasjonen før dataene selges videre til aktører som spesialiserer seg på å fremsette løsepengekrav, sier Jøstensen.
Mest systeminfiltrasjon
Å vite hvem trusselaktøren er kan derfor være veldig nyttig ved vurderingen av om man skal betale løsepengekravet eller ikke.
– Det varierer veldig om du får tilbake dataene om du betaler løsepengekravet. For eksempel er trusselaktøren Conti tro mot sin forretningsmodell. Betaler du får du dekrypteringsnøkkelen nesten alltid tilbake. Til sammenligning er det ikke sikkert du får utlevert dekrypteringsnøkkelen dersom trusselaktøren heter BlackCat, en organisasjon som ble observert første gang i november i fjor.
– Hva er et typisk løsepengekrav?
– Trusselaktøren tilpasser kravet til selskapets økonomi for at det skal være mulig for selskapet å betale. Så de har gjort hjemmeleksen der, svarer Eikrem.
Tall fra forsikringsmarkedet i London viser at rundt 60 prosent av cyberhendelsene relaterer seg til systeminfiltrasjon, rundt 15 prosent utilsiktede utleveringer av data, såkalte «slipping fingers», mens 1 prosent kommer fra utro tjenere.
– Det er ikke nødvendigvis alltid en kriminell handling som utløser en cyberhendelse og behov for cyberforsikring. Det kan også oppstå om noen i virksomheten utilsiktet videresender dokumentasjon. Eller det er noen i virksomheten som samarbeider med trusselaktøren, sier Eikrem.
