I DN 10. august forteller Chris Dale i River Security at de bistår kunder med å betale løsepenger i kjølvannet av datainnbrudd.

Argumentet deres er at det stort sett ikke finnes noe alternativ. River Security har derfor alliert seg med en finansinstitusjon for å kunne skaffe til veie større mengder kryptovaluta på kort varsel. Virksomheten går visstnok så bra at de sliter med å skaffe til veie nok bitcoin på det åpne markedet.

Denne typen datakriminalitet, hvor kjeltringer krypterer data og saboterer systemer, for deretter å presse ofrene til å betale, har i senere tid gått fra å være plagsomme hendelser til å bli eksistensielle trusler for mange virksomheter. Å betale løsepenger er derimot problematisk av flere årsaker, og frarådes av myndigheter, politi, og anerkjente sikkerhetsmiljøer.

PwCs rådgivningspolicy globalt er at løsepenger ikke skal betales, med mindre det medfører fare for liv og helse.

Økonomisk vinning er livsgrunnlaget til mange datakriminelle. All logikk tilsier at jo vanligere det blir å betale seg ut av knipen, desto flere vil tiltrekkes denne formen for kriminalitet, og problemet vil øke.

Virksomheter som velger å betale, har ingen garanti for at de får dekrypteringsnøkkelen som trengs for å gjenopprette tapte data. Vi har også sett tilfeller hvor feil implementering av krypteringsalgoritmene som benyttes i løsepengevirusene, gjør det umulig å låse opp krypterte filer, til tross for at virksomheten tilsynelatende har fått riktig nøkkel.

Risikoen for gjentatte datainnbrudd hos virksomheter som betaler løsepenger, er også reell. Hvis kjeltringene vet at du ikke tar deg bryet med å anmelde innbrudd, og attpåtil betaler innbruddstyvene for å få tilbake tyvgodset, da kan du være sikker på at de vil prøve seg på nytt.

Man kan stille spørsmål om det er etisk forsvarlig av sikkerhetsleverandører å bistå i finansieringen av kriminelle hackermiljøer. Det innebærer helt klart at man beveger seg inn i en juridisk gråsone: Dersom virksomheten man bistår for eksempel har amerikanske eiere, kan utbetaling av løsepenger være omfattet av sanksjoner.

I Norge diskuteres det hvorvidt dette kan vurderes som terrorfinansiering. Kryptovaluta gjør det utfordrende å vite hvem man betaler pengene til, og det er kjent at enkelte terrororganisasjoner blant annet begår datakriminalitet for å spe på budsjettene sine.

Jan Henrik Schou Straumsheim
Jan Henrik Schou Straumsheim

Virksomheter som er uheldige nok til å havne i en slik situasjon, blir kanskje servert en historie om at «dette skjer alle» og at det er helt greit å betale seg ut av knipen. Et slags plaster på såret fra velmenende rådgivere, om du vil. Å betale betyr ikke at man skal gi opp sikkerhetsarbeidet. Tvert imot. Flere virksomheter bør ta en titt i speilet og vurdere hvilke investeringer de har gjort for å sikre it-systemene sine, og hvorvidt de er kapable til å forhindre, oppdage og i verste fall håndtere denne typen hendelser.

Det at Norges Handelshøyskole (NHH) trekkes frem som et eksempel i saken blir søkt: Institusjonen kunne og burde oppgradert systemene sine for lenge siden, så hadde det hele vært unngått.

Preventivt vedlikehold er billigere enn å gi etter for utpressing.

Forebygging hjelper. Systematisk arbeid over tid med kontinuerlig forbedring av sikkerheten reduserer utvilsomt risikoen for at noe skal skje, samtidig som det reduserer konsekvensene dersom uhellet først er ute.

Rådgivere som anbefaler kunder å betale kjeltringene for å komme seg ut av trøbbelet når det oppstår, bør ingen høre på.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.