Flere hundre virksomheter i Norge er blitt utsatt for datainnbrudd de seneste månedene. Private og offentlige virksomheter som benytter seg av skytjenester er spesielt utsatt. Til tross for omfanget og alvorlighetsgraden, får sakene lite oppmerksomhet i norsk offentlighet. Hvordan ville vi reagert dersom innbrudd og tyverier ble begått hos like mange virksomheter, i den fysiske verden? Alle alarmklokker ville ha ringt. I det digitale domenet går datainnbruddene og tyveriene derimot under radaren. Det må vi endre på!

Næringslivets Sikkerhetsråd (NSR) uttalte i starten av januar at de hadde varslet over 250 norske bedrifter som hadde fått skykontoene sine kompromittert . Dette er bare de kjente tilfellene som oppdages, og mørketallene er betydelige. Årsaken til den enorme økningen er at de cyberkriminelle nå kommer seg forbi tofaktorautentiseringen og dermed lykkes med å komme seg på innsiden av bedriftens IT-systemer. Det har gått så langt at Nasjonal sikkerhetsmyndighet (NSM) i midten av desember, like før jul, gikk ut med en anbefaling til virksomheter i hele landet om å iverksette tiltak umiddelbart.

Les også Markus (33): – Jeg var med å hacke nasjonalbanken i Danmark Brødrene Færevaag har laget en enkel cybersikkerhetsløsning. Med seg på laget har de både Nasjonal sikkerhetsmyndighet og Kripos. – Det er ikke et spørsmål om du blir lurt, men når, sier Markus Færevaag.

Tofaktorautentisering har tradisjonelt vært ansett som et sterkt sikkerhetstiltak. Dette er ikke lenger tilfellet. Angriperne lurer nå bedriftens ansatte inn på en nettside som kontrolleres av angriperne, men som ser helt identisk ut med en legitim nettside tilhørende for eksempel Microsoft. Sistnevnte er en av leverandørene som de fleste norske virksomheter benytter skytjenester fra, herunder Teams og Office-pakken.

På nettsiden som ser helt legitim ut, men som kontrolleres av angriperen, blir de ansatte bedt om å oppgi brukernavn, passord og tofaktorkode for pålogging. I god tro om at de er i ferd med å logge seg på bedriftens IT-systemer, gir de ansatte fra seg alle påloggingsdetaljene. Informasjonen overføres i sanntid til angriperen, som ved hjelp av sin tekniske infrastruktur logger seg inn i bedriftens skytjenester. Herfra kan angriperen lete rundt i e-postsystemene etter sensitiv informasjon, mapper for fildeling, Teams-kanaler og andre IT-systemer som bedriften benytter. Når angriperne har fått et fotfeste inn til bedriftens skytjenester, vil de kunne forsøke å ta kontroll over større deler av bedriftens IT-systemer. Eller de kan kompromittere samarbeidspartnere.

Økningen i antallet norske virksomheter som i dag får sine IT-systemer kompromittert av internasjonale og organiserte kriminelle cyberaktører mangler historisk sidestykke

Angrepsmetoden som trusselaktørene i dag benytter for å kompromittere norske virksomheter og som er i sterk vekst, omtales som «adversary in the middle» . På norsk: «Motstander i midten». Begrepet viser til at angriperen stiller seg mellom bedriftens ansatte og den legitime innloggingssiden til for eksempel Microsoft, for å ta kontroll over påloggingsdetaljene. Kriminelle nettsteder tilbyr i dag denne angrepsmetoden som en betalingstjeneste. I de aller fleste tilfellene blir hverken den ansatte eller bedriften som eier kontoen som misbrukes gjort kjent med at de er kompromittert. De forblir uvitende.