INNSIKT

36/38 34/38

Ble lammet i jula:

Amedia sier tirsdag kveld at de er i dialog med ulike myndighetsorganer, herunder politi, nasjonale sikkerhetsmyndigheter og Datatilsynet. Utover det ønsker ikke mediekonsernet å svare på spørsmål om datahackingen som lammet selskapet i julen.

Ikke overrasket over Amedia-angrep: - De som velger å betale løsepenger betaler rundt tre millioner kroner

Sikkerhetsrådgiver mener oppsiden ved større datainnbrudd er at bevisstheten økes. - Norske bedrifter er ikke godt nok rustet i dag.

Publisert 07.56 05.01.2022 / Oppdater 07.56 05.01.2022

Tobias Fredø Journalist

Denne julen har det gått varmt for seg i IT-avdelingene og på styrerommene til flere store norske selskaper som har opplevd alvorlige datainnbrudd. Sist ut var mediekonsernet Amedia, som den 28. desember oppdaget at de hadde blitt hacket.

Det medførte full stans i papiravisproduksjonen til flere av konsernets aviser, og gjorde dem samtidig til det 37. norske selskapet som har opplevd datainnbrudd i løpet av 2021, av det som er offentlig kjent.

Mandag og tirsdag satt mediekonsernet fortsatt i krise- og beredsskapsmøter og har enn så lenge ikke ønsket å gi Kampanje kommentarer på noen av spørsmålene våre, men i en pressemelding tirsdag kveld opplyser Amedia om at kunder og abonnenter av konsernet bes om å være oppmerksomme på svindelforsøk i kjølvannet av dataangrepet som rammet mediekonsernet i jula.

- Av hensyn til pågående undersøkelser, politiets etterforskning og risikoen for at hackerne kan dra nytte av informasjon som spres fra Amedia, kan vi ikke på nåværende tidspunkt informere mer detaljert om årsaken til angrepet. Vi vil komme tilbake med kvalitetssikret informasjon så snart fakta er klarlagt, og det er forsvarlig å kommunisere disse, sier Pål Nedregotten, konserndirektør for teknologi og data i Amedia.

Da Kampanje omtalte et tilsvarende angrep i fjor sommer kunne IT-selskapet Tieto Evry fortelle at selve beskjeden kom opp som en tegning i beste «Donald Duck-stil», men Amedia ønsker ikke å gi noen ytterligere detaljer rundt dette.

Les også: Ble angrepet av kriminelle nett-banditter: - Vi trodde aldri dette skulle komme til å skje oss

- Beklager ulempene:

Teknologidirektør Pål Nedregotten sier Amedia benytter ekstern bistand «for raskt og systematisk kunne avdekke om hackerne legger ut eller utnytter data.» - Vi jobber kontinuerlig med å håndtere situasjonen og beklager de ulempene dette medfører, sier han.

Vi ser i økende grad at det er snakk om målrettede angrep, og denne type angrep kan også kjøpes av kriminelle som en tjeneste på det mørke nettet. Lars Henrik Gundersen, Norsis

- Kan få millionkrav:

- Vi har ingen gode tall fra Norge, men fra en nylig Europol-rapport vet vi at de virksomhetene som velger å betale løsepenger i snitt betaler i underkant av tre millioner kroner, sier Norsis-sjefen, Lars Henrik Gundersen. Foto: Per-Erik Beck Bjørnback.

- Dette kan ramme hvem som helst

Leder for Norsk senter for informasjonssikring (NORSIS), Lars Henrik Gundersen, er ikke overrasket over at Amedia har blitt enda et offer for den økende cyberkriminaliteten.

- Det er et bilde av at dette kan ramme hvem som helst, og det er to innganger som også disse kriminelle har. Noen ganger går de målrettet etter noen, men i vel så mange tilfeller har de følere ute på nettet og finner smutthull. Når de da kommer på innsiden av et system, iverksetter de angrep. Likevel ser vi i økende grad at det er snakk om målrettede angrep, og denne type angrep kan også kjøpes av kriminelle som en tjeneste på det mørke nettet, sier han til Kampanje.

Hvorvidt angrepet på Amedia var målrettet eller ei, vites enda ikke. Hackerne skal ha kommet seg inn i Amedias printersystemer og lagt igjen et visittkort hvor løsepenger ble krevd.

- Er norske bedrifter godt nok rustet?

- Nei, det er de ikke, men vi ser at det er en økende bevissthet rundt det. Du kan si at oppsiden med denne type angrep er at du får massiv oppmerksomhet, og du får andre virksomheter til å stoppe opp og tenke seg om. Fortsatt behandles ikke IT-sikkerhet i stor nok grad på høyeste nivå i norske virksomheter. Det er en holdningsendring på gang, men den går litt sakte. Det viktigste er at datasikkerhet kommer ut av IT-avdelingen, og at den behandles som en forretningskritisk risiko på øverste nivå, sier Gundersen.

Vi ser at noen går i dialog med kjeltringene for å få mer informasjon eller forhandle på pris, mens andre avstår helt fra å gjøre det. Jan Henrik Schou Straumsheim, PWC

Kan møte millionkrav i løsepenger

Til tross for at hackerne skal ha lagt igjen et visittkort og instruksjoner på hvordan å betale, fastholder Amedia at de ikke vet hvor mye penger innbruddstyvene er ute etter. Gundersen forteller at man i norsk sammenheng både kan se krav på et par titalls tusen eller helt opp i millionstørrelsen.

- Vi har ingen gode tall fra Norge, men fra en nylig Europol-rapport vet vi at de virksomhetene som velger å betale løsepenger i snitt betaler i underkant av tre millioner kroner. Generelt sett så ser vi at hackerne tilpasser løsepengesummen med tanke på det som er realistisk for offeret å betale. Er det en liten bedrift, er løsepengesummen også liten, og det setter bedriften samtidig i det dilemmaet at de må tenke seg om fordi det kan være en farbar vei ut av situasjonen rent økonomisk sett. Det er ikke en statisk og uoppnåelig sum, den er tilpasset dem som faktisk blir rammet, sier Gundersen.

Også tall fra USA underbygger at snittet på løsepengeutbetalinger ligger i millionklassen. Ifølge det amerikanske sikkerhetsselskapet, Palo Alto Networks, var snittet på løsepengesummer ved datainnbrudd på 5,3 millioner dollar i første halvår 2021. Det er også en markant økning fra samme periode i 2020, da var den på 847.000 dollar.

- På generelt grunnlag har de fleste løsepengesummene vi har sett i Norge vært lavere. Det kan ha noe å si med tanke på omsetning og størrelse på virksomheten, kommenterer direktør for Cyber Threat Operations i PWC, Jan Henrik Schou Straumsheim, til Kampanje.

- Men man kan også møte på millionsumkrav her i Norge?

- Ja, det kan man.

Ifølge Palo Alto Networks var den høyeste enkeltstående summen krevd etter datainnbrudd i første halvår i 2021 på hele 50 millioner dollar. Tilsvarende for 2020 var 30 millioner dollar.

Norske virksomheter påføres millionkostnader

Selv om Amedia ikke har noen ambisjon om å imøtekomme hackerne og betale løsepengekravet, vil datainnbruddet uansett koste penger for Amedia. I fjor ble det kjent at dataangrepet på Hydro tilbake i 2019 kostet industrigiganten hele 800 millioner kroner.

De måtte da ta ned det interne nettverket i 40 land, og opp mot 200 fabrikker ble påvirket og flere måtte stoppe produksjonen helt i flere uker.

Amedia skriver selv på sine sider at det er for tidlig å si noe om hvilke finansielle kostnader innbruddet vil ha. Likevel er det kjent at Amedia nå ikke får solgt abonnement og at de fortsatt må trykke aviser på en alternativ løsning. Samtidig har de også hyret inn ekstern bistand i prosessen med å gjennoprette datasystemer og kartlegge hva slags informasjon innbruddstyvene sitter på.

Ifølge NRK koster det i gjennomsnitt 23,5 millioner kroner for en skandinavisk virksomhet å bli utsatt for dataangrep. Tidligere i år opplevde blant annet Østre Toten kommune et dataangrep som endte opp med å koste 40 millioner kroner.

Det skriver den Amedia-eide avisen, Oppland Arbeiderblad, som samtidig kan berette at Datatilsynet mener at Amedia-angrepet har likhetstrekk med angrepet på kommunen i januar i fjor.

Der ble kommunen i tillegg ilagt en klekkelig bot på fire millioner kroner fra Datatilsynet. Det samme kan skje med Amedia, som leverte sin avviksmelding til tilsynet 29. desember.

- Om de får bot, vet vi ikke før vi har behandlet saken, det vil si belyst og vurdert saken opp mot personvernregelverket, sier avdelingsdirektør for teknologi, analyse og sikkerhet ved Datatilsynet, Veronica Jarnskjold Buer, til Oppland Arbeiderblad tirsdag formiddag.

Amedia har fortsatt ikke kunnet verifisere om personopplysninger til ansatte eller abonnenter har kommet på avveie.

- Om persondata er på avveie, er publisert eller er utnyttet på annet vis kan ikke Amedia se i sine systemer på nåværende tidspunkt, skriver mediekonsernet på sine nettsider tirsdag kveld.

- Anfebaler ikke å betale løsepenger

PWC-direktøren Straumsheim ønsker ikke å spekulere i taktikken til Amedia, som har valgt å avstå fra å gå i dialog med innbruddstyvene. I sitt virke ser han både selskaper som går i dialog med hackerne, og andre som avstår helt fra å gjøre det.

- Hvilken taktikk funker best?

- På generelt grunnlag anbefaler ikke PWC å betale løsepenger med mindre det å ikke betale vil medføre fare for liv og helse. Det forutsetter samtidig at man har tatt gode sikkerhetskopier og at man gjør nødvendige tiltak for at dette ikke skal skje igjen, forteller han.

Straumsheim ønsker ikke kommentere på om han er overrasket over at Amedia har blitt angrepet, men han forteller at mediebransjen, som resten av norsk næringsliv, må være forberedt på datainnbrudd.

- Det er ikke en enkeltstående aktør i næringslivet som er skånet for dette. Det treffer alle.

- Er det noe ved dette angrepet som lyder kjent for deg - har du noen tanker om hvem som eventuelt kan stå bak?

- Det ønsker jeg ikke spekulere i. Generelt sett så kan jeg si at hvis det er snakk om et løsepengevirusangrep, er det flere ulike grupper som driver med denne type angrep. Organiserte kriminelle grupperinger er som oftest økonomisk motivert, og ønsker å tjene penger.

Da Kampanje i fjor sommer for første gang satte søkelyset på disse nye utfordringene, fantes anslag på at den samlede kostnaden for selskaper som blir offer for denne nye formen kriminalitet lå på hele 3.500 milliarder dollar, eller 3.000 milliarder norske kroner bare det siste året.

Les også: Datasvindel og krav om løsepenger truer norske bedrifter: - Konsekvensene kan bli katastrofale

Les også