Datahackerangrep øker i antall og konsekvenser. Løsepengekravene øker. Hvordan kan vi forsvare oss?

Datahackerangrep gir stadig flere, større konsekvenser og større løsepengekrav. Hvorfor klarer vi ikke å forsvare programmene våre og dataene vi har lagret?

Datahackerangrep: Flere, større konsekvenser og større løsepengekrav. Irlands helsestell er i uorden. Den 14. mai ble landets Health Service Executive (HSE) rammet av et dataangrep som stengte ned de fleste av datasystemene deres. Angriperne truet med å publisere data fra systemene inklusive konfidensielle pasientjournaler om ikke HSE betalte løsepenger. Kravet var på 16,5 mill. Euro. Hackerne bak angrepet skal etterhvert ha gitt fra seg software som kan reetablere systemene, men truer fortsatt med offentliggjøring om ikke løsepengene blir betalt. Economist, som omtaler saken, bruker dette som et eksempel av mange der viktige datasystemer blir angrepet og satt ut av spill og der hackere forlanger løsepenger. I USA ble Colonial Pipeline, et selskap som leverer nær innpå halvparten av drivstoffet til USAs øst-kyst, tvunget til å stenge forsyningen etter et dataangrep. Her ble det krevd og betalt mer enn USD 4 mill. i løsepenger. Både JBS, en storleverandør av kjøttvarer og Apples underleverandør Foxconn har nylig vært utsatt for datasystemangrep. The Economist peker på dette som en ny trend. Mange av angrepene kan føres tilbake til Russland. Men de er ikke nødvendigvis del av statlig organisert sabotasjevirksomhet, men noe myndighetene ser gjennom fingrene med fordi det tjener politiske formål de ser seg tjent med. 

Agenter, spioner og kriminelle i samme miljø. Economist viser til at moderne stater gjennom alle tider har drevet spionasje mot hverandre for å samle opplysninger, understøtte propaganda, forberede og også gjennomføre angrep. Offentlig ansatte spioner og kriminelle har lusket rundt i de samme miljøene og ofte ytt hverandre tjenester. Skillelinjen mellom det hva som er kriminelt og hva som er etterretning og spioners virksomhet har ikke alltid vært lett å trekke opp. Teknologiene man kan gjøre seg nytte av både som spion og kriminell har også utviklet seg. Mens man tidligere måtte samle informasjon over lang tid og videreformidle denne på ofte tusenvis av sider med papir, er informasjon i dag «lettere tilgjengelig» gjennom bruk av såkalt ransomware og tastetrykk. Og «de kriminelle» lusker ikke rundt i trange og mørke bakgater, men sitter ved pcene sine i kontorliknende lokaler slik også etterretningspersonell og spioner gjør. The Economists artikkel inneholder er oversikt over alvorlige dataangrep siden 2007 med angivelse av adresse (land) for angripere og angrepsmål. Oversikten viser at miljøer i Russland har vært blant de dominerende aktive siden 2015 og at alle de tre angrepene omtalt ovenfor er regissert fra Russisk område.

Stormaktspolitikk og "den enes død", den annens brød. I Bidens samtaler med Putin, 16 juni i år, var dette et av mange temaer som ble tatt opp. Biden skal ha presentert en liste med 16 typer viktig infrastrukturer som han ikke ville akseptere nye dataangrep mot, og antydet at USA ville kunne komme til å svare tilbake. Biden skal ifølge Time ha minnet Putin om at USA har sitt eget cyberforsvar og også kapasitet til å iverksette angrep om nødvendig. Og at også allierte i Europa har kapasitet til å delta i slike angrep om nødvendig. Men utenfor stormaktpolitikken er det i ferd med å vokse frem en hel næring av «konsulenter og profesjonelle forhandlere» som tilbyr sine tjenester til virksomheter som blir offer for dataangrep. Dette er ifølge Fortune forhandlere du bør håpe at du aldri vil ha behov for å tilkalle. Men de er der altså. Trikset ligger, ifølge en av de intervjuede spesialistene, i å forstå at «The bad guys know they are bad guys – they are trying to pretend to be businesspeople». «As long as you pretend with them that this is just a normal business transaction, it goes better».

Hvorfor klarer vi ikke å forsvare programmene våre og dataene vi har lagret? Economist peker i sitt oppslag til økonomen GeorgeAkerlof som i sin tid formulerte en lov om effekten av asymmetrisk informasjon i markedet for omsetning av bruktbiler inspirert av en tilsvarende lov om asymmetrisk informasjon i markedet for sitroner. Poenget i denne lovmessigheten er at kjøperne normalt ikke er i stand til å identifisere en bruktbil som er i god stand fra en som ikke er det. De er derfor uvillige til å betale prisen en selger av gode bruktbiler forlanger. Dette fører over tid til at det «de gode bruktbilselgerne» må gi seg som bruktbilselgere og at vi markedet overtas av bruktbilselgere slik vi kjenner dem fra karikerte roller i filmer og serier. Tilsvarende lovmessighet sies å ha eksistert i markedet for omsetning av sitroner. The Economist antyder at forklaringen på manglende forsvar mot ransomeware ligger her. Intervjuer med næringslivsledere har avdekket at de har lite felles utviklet forståelse for hvordan man måler effektivitet og sikkerhet ved software man kjøper eller får utviklet for å ivareta sikkerhet. Forsikringsselskapene er en potensiell fremtidig driver for å utligne asymmetrien. Forsikringsutbetalingene ved slike angrep kan bli store. Riksrevisjonen la 22. juni frem sin rapport med evaluering av Direktoratet for e-helses styring av vårt lands største IT-prosjekt. Også her var det mye å sette fingrene på. Kanskje er det også asymmetrisk informasjon i markedet for bestilling og omsetning av denne typen it-prosjekter?

I en tidligere post på denne bloggen var problemstillingen hvorfor «smarte byer» ikke fremsto som smarte under da pandemien traff oss. Asymmetri i informasjon og forståelse mellom tilbydere og bestillere/«brukere» ble også her pekt på som en forklaring.