I juli ble det offentliggjort at 12 departementer er blitt hacket av en målrettet aktør. 1. august opplyser NSM om at aktøren har vært inne i systemene i over to måneder. Angriperen har benyttet en såkalt «zero-day» – en sårbarhet som ikke er offentlig kjent og som det ikke finnes sikkerhetsoppdateringer for.
Dette gjør at flere av oss kanskje tenker: Mobiltelefonen min oppfører seg rart. Er det noen som har hacket den? Som lytter inn på alt jeg sier? Er det derfor den blir raskt tom for batteri? Og derfor jeg får annonser på Facebook som er skremmende presise?
Svaret er nesten alltid nei, det er veldig lite sannsynlig.
Med fare for å fornærme deg som leser dette: Du er sannsynligvis ikke interessant nok. Du er sikkert en veldig dyktig og smart person, men fra en målrettet hackers perspektiv så gir ikke det automatisk en god business case.
Hvorfor ikke? Mesteparten av cyberkriminalitet er finansielt motivert, godt hjulpet av fremveksten av digitale tjenester og muligheten til å overføre verdi online ved hjelp av kryptovaluta. Det er en positiv side ved dette. Moderne cyberkriminelle er altså forretningsfolk. Med andre ord kan vi, ved bruk av rimelig standard business-terminologi, anta at de også er opptatt av god avkastning på sine investeringer, om det er tid eller ressurser.
Om vi videre antar at cyberkriminelle er rasjonelle aktører, vil de være opptatt av kostnader. Kun de mest innbringende målene, målt i kroner og øre, vil kunne regnes hjem økonomisk for angrep som krever vesentlig investering. Dette gjelder ikke i like stor grad fremmed etterretning, men er du under lupen til CIA eller Mossad så har du det vi i bransjen kaller «andre problemer».
Fremveksten av kriminalitet i cyberspace har også gjort at det finnes et marked for kjøp og salg av tjenester knyttet til cyberkriminalitet. En ikke helt urimelig antagelse som følger, er at markedet setter riktige priser for disse tjenestene. Vi vet med andre ord noe om kostnadsnivået en avansert trusselaktør har.
For eksempel blir zero-days solgt online. I august ble angrepskode for en kritisk zero-day for Iphone lagt ut til salg for 80 millioner kroner. Angrepet mot departementene benyttet en zero-day; jeg ville priset den til cirka 1,5 millioner kroner.
Ikke bare cyberkriminelle betaler for sårbarheter. I såkalte «bug bounty»-ordninger som Google og Apple selv organiserer får ikke-kriminelle sikkerhetsforskere betalt i størrelsesorden ti millioner kroner for tilsvarende sårbarheter. Så da kan du spørre deg selv om dataene på din mobiltelefon er verdt titalls millioner av kroner, og i så fall, for hvem?
Nå kan det hende kriminelle kan bruke en slik sårbarhet flere ganger, og på den måten øker avkastningen. Men å bruke slik angrepskode utgjør en risiko for angriperen: Blir den oppdaget, rapportert og «patchet», synker verdien raskere enn på en amerikansk diesel-suv i Oslo med MDG i byrådet.
Med andre ord eksisterer det også økonomiske incentiver for en angriper i det å forbli uoppdaget. Det vil være i angriperens interesse at telefonen din ikke oppfører seg annerledes enn normalt.
De mest alvorlige hackerangrepene er derfor ofte de vi aldri oppdager eller hører noe om.
Målrettede angrep mot enkeltpersoner er derfor noe som heldigvis de færreste av oss bør bekymre oss over. Det finnes selvsagt unntak; næringslivsledere, etterretningssjefer, statsråder som skulle ønske de kunne henge på Tik-Tok, og regimekritikere eller journalister i land med lemfeldig omgang med pressefrihet og vestlige verdier er eksempler.
Og selvsagt kan du bli hacket. Men i de aller fleste tilfeller er det på grunn av automatiserte angrep der du var på feil sted til feil tid. Dette er mer sammenlignbart med å være dårlig forberedt på ustadig vær; du var ute i badeshorts og ble overrasket av en haglskur.
Det finnes ikke dårlig vær på internett, bare dårlige klær. Gode klær i denne sammenhengen er å bruke lange passord og tofaktor, holde telefonen din oppdatert, og ikke klikke på mistenkelige lenker eller åpne vedlegg.
Det er selvsagt mye penger i automatisert cyberkriminalitet også. Og det finnes et fungerende marked for dette online. Men du er ikke et mål alene. Businesscasen i denne typen angrep er god på grunn av den «lange halen» av sårbarhet som volumet av utdaterte telefoner på internett representerer.
Så skal det sies at alle cyberkriminelle ikke er rasjonelle eller drevet av finansiell vinning. Men det er lett å bli fanget opp i «hypen» som omfatter digital risiko og cyberangrep. Av og til kan det være nyttig å tenke litt nyansert på om man virkelig er et legitimt mål for avanserte hackere før man får panikk. Om man ikke er det, kommer man langt sikkerhetsmessig med sunn fornuft.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.