– Vi fikk den første indikasjon på et stort angrep den 4. september i fjor, sier Espen Johansen, sikkerhetssjef i Visma. It-selskapet tilbyr lønns- og regnskapssystemer for 800.000 bedrifter, hovedsakelig i Norden, men også i Europa.
Visma valgte onsdag å bekrefte at det er et av selskapene som er rammet av det såkalte Cloudhopper-angrepet. Visma er det første som åpent går ut og forteller om hendelsene.
Det amerikanske sikkerhetsselskapet Recorded Future konstaterer med «stor grad av sikkerhet» at en aktør de kaller APT10, som de mener er støttet av kinesiske myndigheter, står bak angrepene som de mener fant sted mellom november 2017 og september 2018. De fastslår at også et internasjonalt motehus og et amerikansk advokatfirma ble utsatt for det samme angrepet av APT10, som også er kjent under navnene Stone Panda, menuPass og CVNX.
Les rapporten til Recorded Future her.
Sikkerhetsfirmaer og myndigheter har siden 2017 advart mot APT10 som de mener står bak hackerangrep på minst 45 bedrifter i 12 land.
Flinke folk
Vismas sikkerhetssjef forteller at hackerne hadde skaffet seg brukernavn og passord til en Visma-ansatt, og brukte disse til å logge seg inn, og få tilgang til Vismas system.
– Det var svært avansert gjort, kudos til dem, dette var flinke folk. De etterlot svært lite spor.
Etter først å ha kommet inn, fikk hackerne tilgang til og stjal nesten alle Visma-ansattes brukernavn og passord, som ble kopiert og lastet ned på en skylagringstjeneste, Dropbox. Visma har 8500 ansatte på verdensbasis med hovedkvarter på Skøyen i Oslo.
– De klarte å bryte seg inn og stjele brukernavn og passord til svært mange ansatte. Men passordene var krypterte, slik at det ville tatt tid før de kom videre inn, sier Johansen.
Fikk utysket ut i tide
Sikkerhetssjefen er helt sikker på at hackerne ikke kom inn til kundedata eller til kundenes systemer.
– Kundene våre er helt uberørt. Vi oppdaget dem raskt, og de fikk ikke være der mer enn en dag eller to maks, før vi hadde vasket ut utysket. Vi så i ettertid at de forsøkte å logge seg inn, men at de ikke klarte det.
Han mener at hackerne måtte hatt lengre tid innenfor hvis de skulle lykkes med det de ville. Han vil ikke spekulere i motivet, men tror ikke hensikten var å skade. Da ville hackerne brukt andre metoder.
– Hovedproblemet med en slik aktør, er når de får være lenge på innsiden uten å bli oppdaget. Hvis de får være et par år, kan de gjøre mye skade. Det er helt essensielt å snappe dem opp tidlig, for å kunne forebygge, sier Johansen.
Kyllinger
Datagigantene IBM og HP er ifølge Reuters blant selskapene som skal være rammet av det samme angrepet, som kalles Cloudhopper, fordi hackerne benytter seg av ulike skylagringstjenester.
– Vi velger å gå ut fordi vi mener åpenhet er det eneste som nytter hvis vi skal bekjempe dette. Hvordan skal vi lære dersom vi ikke snakker om det?
– Hva synes du om selskaper som holder tett om hackerangrep?
– Kyllinger! Det er slik at jo flere som deler, dess flere lærer.
Skryter av PST
Han synes det er tøft å gå ut, men at hensikten er at flest mulig nå leser rapporten de har lagt ut som i detalj beskriver metoden hackerne har brukt.
– Jeg anbefaler alle å se på rapporten, på oppskriften, sjekke om de finner indikatorer i egne systemer og logger. Vi er bare en av fryktelig mange bedrifter. Også Dagens Næringsliv må sjekke sine systemer.
Johansen berømmer både Politiets sikkerhetstjeneste og Nasjonal sikkerhetsmyndighet, som Visma fikk bistand fra underveis.
– Sjekk og snakk med politiet. PST er grisedyktige på dette.
Vismas styreleder Gunnar Bjørkavåg sier Visma har merket en kraftig økning fra hackermiljøene de siste to årene.
– Vi har investert mye i logisk sikkerhet på alle nivåer, så reelle kundedata er beskyttet. Men innbrudd kan skje på flere nivåer.
Bjørkavåg mener det ikke er fastslått med sikkerhet at kinesere står bak.
– Vi tar til etterretning de resultatene fra sporingsanstrengelsene som har funnet sted. Samtidig er det usikkerhet i konkret hvem som står bak.
Redde for omdømmet
Bente Hoff, avdelingsdirektør for cybersikkerhet i Nasjonal sikkerhetsmyndighet, sier at en av de tingene NSM alltid ser etter er sammenheng mellom en hendelse og andre saker de kjenner.
– Men vi vil ikke konkludere hvem som står bak, annet enn at det er en avansert aktør, sier Hoff, som berømmer Visma for åpenhet.
– Åpenhet har en veldig god effekt, det gjør folk bevisste på viktigheten av å beskytte seg.
– Hva tror du er årsaken til at de fleste velger å holde angrep skjult for omverden?
– Mange er nok redd for omdømmet til bedriften. Men det er viktig å vite at alle kan bli utsatt for angrep. Vi opplever at Visma har håndtert saken godt.
Hoff forteller at NSM kontinuerlig jobber med saker, men oppgir ikke hvor mange bedrifter eller etater som opplever å bli angrepet.
– Vi har over 20.000 alarmer i året, men et fåtall av disse er alvorlige hendelser. Fra et statlig ståsted er angrep mot kritisk infrastruktur det mest alvorlige, og det vi fokuserer mest på.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.
