INNSIKT

32/38 30/38

Travel juletid:

Gunnar Hovland ved Telenors sikkerhetssenter i Arendal er et av miljøene som bistår Amedia etter at mediekonsernet ble utsatt for et alvorlig datainnbrudd i romjulen. - Det er dessverre slik at enkelte holder guarden litt lavere da og gir disse kriminelle nettverkene mer å spille på, sier Ugland. Foto: Tomm W. Christiansen.

Telenor-selskap bistår Amedia etter dataangrep: - Det var en hektisk jul med tanke på utpressing

Mediekonsernet får bistand fra Telenors sikkerhetssenter etter dataangrepet

Publisert 08.12 06.01.2022 / Oppdater 08.12 06.01.2022

Tobias Fredø og Knut Kristian Haugen

Amedia hyrer inn bistand fra to eksterne sikkerhetsselskaper for å bistå dem i kjølvannet av dataangrepet de opplevde 28. desember.

- Amedia er i dialog med ulike myndighetsorganer, herunder politi, nasjonale sikkerhetsmyndigheter og Datatilsynet. Vi benytter i tillegg Mnemonic og Telenor som ekstern ekspertise, sier teknologidirektør i Amedia, Pål Nedregotten, til Kampanje.

Telenor har et eget sikkerhetssenter, en avdeling i Telenor som sikkerhetsovervåker kunders datanettverk. Selskapet holder til i Arendal, og ble etablert som «Proseq» i 2000, men overtatt av Telenor i 2003. Da Kampanje besøkte Arendal og sikkerhetssenteret til Telenor på Sørlandet kunne sikkerhetsdirektør Hanne Tangen Nilsen fortelle at telegiganten håndterer over tusen alvorlige angrep og hendelser hvert år i deres sikkerhetssenter.

Ferd-eide Mnemonic er på sin side et av Europas største IT-sikkerhetsleverandører, og omsetter årlig for rundt 600 millioner kroner i Norge.

- Er Amedias systemer sikret nå?

- Vi går ikke i detalj om vårt interne sikkerhetsarbeid da det i seg selv senker sikkerheten, men på generelt grunnlag kan jeg si at Amedia har hatt et stort fokus på sikkerhet de siste årene i likhet med resten av bransjen. Hva gjelder fremtidige sikkerhetstiltak, blir det en del av evalueringsarbeidet vi gjennomfører i kjølvannet av hendelsen, svarer Nedregotten.

Les også: Ikke overrasket over Amedia-angrep: - De som velger å betale løsepenger betaler rundt tre millioner kroner

Under angrep:

Amedia og teknologidirektør Pål Nedregotten jobber fortsatt med å gjenopprette datasystemer og kartlegge hva slags informasjon som er på avveie.

- Hektisk periode i jula

Lederen for Telenors sikkerhetssenter i Arendal, Gunnar Ugland, sier det har vært en hektisk periode før jul.

- I forhold til den spesifikke angrepstypen vi kaller dobbelt utpressing var det en hektisk jul, sier Ugland til Kampanje.

- Dobbelt utpressing?

- Ja, på engelsk går det under navnet «double extortion ransomware» og grunnen til at vi bruker dette begrepet er at filene krypteres og det kreves løsepenger samtidig med at du får en trussel om at sensitiv informasjon og data vil bli lekket, dersom man ikke betaler, sier han.

Lekkasjene av data kan Telenors sikkerhetsteam fange opp ved å overvåke det såkalte Darknet, eller det mørke internettet.

- Vi følger med på disse nettsidene der mange av disse aktørene har sine hjemmesider og der filer som er blitt kryptert dumpes. Vi så blant annet et eksempel hos et amerikansk selskap hvor det ble lagt ut identifikasjonskort med personopplysninger og for et norsk selskap arbeidsavtaler og annen sensitiv informasjon. Utpresserne legger ut en liten del av dataen for å legge ekstra trykk på saken og vise at de mener alvor med utpressingen.

- En sårbarhet som rammer veldig

Han ønsker ikke å svare detaljert på hva slags rådgivning og hjelp han har bistått Amedia med, men sier på generelt grunnlag følgende.

- Amedia får snakke om seg selv, men det vi typisk gjør noen ganger er å hjelpe de som utsettes for denne utpressingen med å gjøre analyser på hvor sannsynlig det er at data er kommet på avveie. Det er ikke alltid virksomhetene er sikre på at data er kommet på avveie, sier han.

På Telenors sikkerhetssenter overvåkes både trafikken til Telenors globale, nordiske og norske virksomheter samt alle eksterne kunder som kjøper sikkerhetstjenester av Telenor.

- Så dere avdekket mer ondsinnet trafikk i desember i fjor?

- Ja, vi jobbet med flere saker i julen og enkelte av dem har vært varianter av det vi har lest om i mediene de siste dagene, sier han.

- Er det en grunn til at det tiltar i styrke nå?

- Det er ikke tvil om at vi opplever dette relativt ofte rundt juletider. Det er dessverre slik at enkelte holder guarden litt lavere da og gir disse kriminelle nettverkene mer å spille på, sier han.

- Vet dere hvem og hvor angriperne sitter?

- Man kan til en viss grad observere at aktørene jobber helt ordinære arbeidsdager og har noe som minner om vanlig kontortid før de går hjem også er det på’n igjen neste dag. Vi kan også se hvor i verden de jobber med tanke på tidssonene de jobber og er aktive. Ligger de syv-åtte timer bak oss så er det grunn til å tro at de befinner seg i USA, ligger foran oss er det nærliggende å tro de opererer i Russland eller Asia, sier han.

- Er det litt roligere nå ettersom det var hektisk før jul?

- Både og. Vi ser for eksempel nå at det på noen områder begynner å stige igjen og en av de tingene vi fortsatt jobber med er noe vi kaller for «Log4J». Her er det en sårbarhet som rammer veldig, veldig bredt og kort fortalt er det et bibliotek som et stort antall ulike programvarer bruker for å gjøre logging av ting til disk. Her har det dukket det opp et sikkerhetshull som mange fortsatt jobber med å tette. Vi følger derfor med på for å se hvem som ønsker å utnytte denne sårbarheten.

- Også de kriminelle nettverkene er tilbake på jobb etter juleferien?

- Ja, det kan du godt si, sier Gunnar Ugland.

Betaler i snitt tre millioner i løsepenger

Amedia har motatt visittkort og instruksjoner på hvordan å betale løsepenger, etter at de oppdaget at flere av deres systemer ble kryptert natt til tirsdag 28. desember.

Amedia har valgt å ikke gå i dialog med hackerne, og fastholder at de ikke vet hvor mye de krever i betaling. Ifølge Norsis-sjef, Lars Henrik Gundersen, kan slike løsepengekrav også komme opp i millionstørrelser i Norge.

- Vi har ingen gode tall fra Norge, men fra en nylig Europol-rapport vet vi at de virksomhetene som velger å betale løsepenger i snitt betaler i underkant av tre millioner kroner, sier Gundersen til Kampanje.

Også tall fra USA underbygger at snittet på løsepengeutbetalinger ligger i millionklassen. Ifølge det amerikanske sikkerhetsselskapet, Palo Alto Networks, var snittet på løsepengesummer ved datainnbrudd på 5,3 millioner dollar i første halvår 2021.

Kan påføres millionkostnader

Selv om ikke Amedia akter å gå hackerne i møte, vil angrepet kunne koste penger. Ifølge NRK koster det nemlig i gjennomsnitt 23,5 millioner kroner for en skandinavisk virksomhet å bli utsatt for dataangrep.

- Det er fortsatt for tidlig å anslå finansielle konsekvenser av dataangrepet, kommenterer Nedregotten.

Det er kjent at Amedia nå ikke får solgt abonnement og at de fortsatt må trykke aviser på en alternativ løsning. Samtidig har de også hyret inn ekstern bistand i prosessen med å gjennoprette datasystemer og kartlegge hva slags informasjon innbruddstyvene sitter på.

I fjor ble det kjent at dataangrepet på Hydro tilbake i 2019 kostet industrigiganten hele 800 millioner kroner. De måtte da ta ned det interne nettverket i 40 land, og opp mot 200 fabrikker ble påvirket og flere måtte stoppe produksjonen helt i flere uker.

Les også