Dagens Næringsliv

Åpne i appen

Åpne

Norske myndigheter advarer mot hotellspionasje

Tekst
Slår alarm. Vidar Kristiansen, sjef for tekniske sikkerhetsundersøkelser i Nasjonal sikkerhetsmyndighet, advarer nordmenn mot en ny og lite kjent overvåkningsmetode: skjulte videokameraer på hotellrommet. Med en enkel detektor har han gjort kamerafunn på hotellrom i utlandet tre ganger de siste tre årene.

Slår alarm. Vidar Kristiansen, sjef for tekniske sikkerhetsundersøkelser i Nasjonal sikkerhetsmyndighet, advarer nordmenn mot en ny og lite kjent overvåkningsmetode: skjulte videokameraer på hotellrommet. Med en enkel detektor har han gjort kamerafunn på hotellrom i utlandet tre ganger de siste tre årene.

Godtroende nordmenn på jobbreise i utlandet er lett offer for overvåking og avlytting. Nasjonal sikkerhetsmyndighet advarer mot skjulte videokameraer på hotellrom.

– Jo mer penger du spanderer på hotellrommet ditt, jo større er sjansen for at du får video, sier Vidar Kristiansen.

Han snakker om skjulte videokameraer på hotellrom.

– Og du får neppe hentet den ut i resepsjonen når du sjekker ut, sier han.

Som sjef for tekniske sikkerhetsundersøkelser i Nasjonal sikkerhetsmyndighet er Kristiansen en av dem med aller best innsyn i sikkerhetstrusler mot nordmenn. Kristiansen sjekker aldri inn på et hotell uten kameradetektor. Videokameraer kan være skjult i brannvarsleren, i smart-tv-en, i klokkeradioer.

– Eller plassen som er dedikert den bærbare pc-en din. Jeg har funnet kamera ved flere anledninger på hoteller i utlandet de siste tre årene, sier Kristiansen.

Han anbefaler nordmenn å ha med seg kontraspionasjeutstyr på reisen.

 

Naive nordmenn

På en konferanse for norsk sikkerhetselite i Oslo denne uken tegnet direktøren for Næringslivets sikkerhetsråd (NSR) et dystert bilde av de nye truslene mot norske forretningsreisende. Skjulte videoopptak i hotellrom er en av dem.

– Kameraovervåkning på hotellrommet kan være svært uheldig, hvis du for eksempel har med deg noen du ikke burde. Jeg vet om kollegaer som har hatt det, sier Jack Fischer Eriksen.

NSR mener nordmenns godtroenhet på jobbreise er blitt et sikkerhetsproblem for norske bedrifter.

– Norge er Europas mest tillitsfulle nasjon. Helt øverst i undersøkelsen om 30 land. Fire av fem stoler på folk flest.

Farlig tillit. – Når folk er på hotell, slapper de av og oppfører seg som om de var hjemme, sier den amerikanske hackeren og sikkerhetseksperten Eric Michaud, som driver sikkerhetsselskapet Rift Recon.

Farlig tillit. – Når folk er på hotell, slapper de av og oppfører seg som om de var hjemme, sier den amerikanske hackeren og sikkerhetseksperten Eric Michaud, som driver sikkerhetsselskapet Rift Recon.

Akvariet

I baren på Hotell Bristol i Oslo sitter to dresskledde amerikanere og studerer omgivelsene nøye.

– Når folk er på hotell, slapper de av og oppfører seg som om de var hjemme. De har den samme tilliten til omgivelsene, selv om de i realiteten er på fremmed grunn. Det gjør dem svært sårbare, sier Eric Michaud.

– Både for småkriminalitet og spionasje på høyt nivå, utdyper Brian O’Shea og skanner omgivelsene.

– Bare tenk litt på hva et hotell egentlig er. Det er et akvarium, et lite område hvor man pakker inn en haug med mennesker som ikke bor der. Det er ideelt for noen som vil samle informasjon.

O’Shea har i flere år studert metoder for å trenge inn i reisendes forretningshemmeligheter og sier han tidligere arbeidet for en amerikansk etterretningstjeneste han ikke vil navngi. Michaud har mangeårig bakgrunn som hacker med fysisk sikring som spesialfelt. I dag driver han sitt eget sikkerhetsselskap i San Francisco. De to driver sikkerhetsopplæring på menneskerettighetskonferansen Oslo Freedom Forum, hvor mange av gjestene er utsatt for spionasje og trusler.

– Alle må på ett eller annet tidspunkt bo på hotell, ta med seg en god del utstyr og forretningshemmeligheter, informasjon noen kan være interessert i, sier Michaud og bestiller en kaffe.

– Det kan være konkurrenter eller kriminelle som vil ha tak i omsettelig informasjon.

Døråpneren. Selv om hotelldøren er låst innenfra, er det en enkel sak å komme seg inn utenfra uten nøkkel. Eric Michaud demonstrerer det spesiallagede verktøyet som ser ut som en avansert fiskestang. Man sniker det under døren, hekter den på dørhåndtaket innenfra – og får opp en hvilken som helst hotelldør fra gangen. Hotellsafer er heller ikke så trygge som de ser ut, ifølge ham.

Døråpneren. Selv om hotelldøren er låst innenfra, er det en enkel sak å komme seg inn utenfra uten nøkkel. Eric Michaud demonstrerer det spesiallagede verktøyet som ser ut som en avansert fiskestang. Man sniker det under døren, hekter den på dørhåndtaket innenfra – og får opp en hvilken som helst hotelldør fra gangen. Hotellsafer er heller ikke så trygge som de ser ut, ifølge ham.

 

Fanget i trafikken

I et vindusløst kontor i Næringslivets Hus på Majorstuen sitter NSR-direktør Jack Fischer Eriksen. Han har 14 år i politiet og PST og jobb som rådgiver for Utenriksdepartementet, bak seg.

– Det du sier og det du gjør på hotellrommet i enkelte land, må du regne med at noen kan få med seg, sier han.

Eriksen har lukket spaning som ett av sine spesialfelt. NSR er et samarbeid mellom NHO, FNO, Spekter, Virke, Bedriftsforbundet, Rederiforbundet og Den Norske Krigsforsikring.

– Det er ikke fremmed for folk å tenke sikkerhet når de låser hotelldøren eller ser etter rømningsveier, men det er ganske fremmed for mange å tenke at noen kommer for å ta informasjonen deres.

Eriksen mener det allerede før reisen er avgjørende å tenke gjennom hvilken informasjon man tar med seg.

– Allerede ved ankomst til landet, ved grensekontrollen, kan du få utplassert virus i ikt-utstyret ditt, sier Eriksen.

På vei fra flyplassen til hotellet står truslene i kø, mener han.

– Jo mer planlagt det er, jo flere muligheter har motparten til å avlytte deg. Jeg kjenner tilfeller der det er blitt arrangert trafikkulykker på ruten.

 

Kringkastet pass

Når man sjekker inn, gir man fra seg biometriske data lagret i passet.

– Et moderne pass med chip kringkaster radiosignaler. Disse signalene kan også fanges opp av utenforstående i umiddelbar nærhet, sier Eric Michaud.

Det har for eksempel vært mulig å skille ut enkelte nasjonaliteter som befinner seg i et avgrenset område gjennom disse signalene. En rekke hoteller skanner også den digitale informasjonen for å få bedre databaser over kundene sine. Passinformasjonen – fingeravtrykk, biometrisk bilde, personnummer og andre persondata – kan dermed lett komme på avveie. Ifjor ble selskapet som behandler kundedataene til et tresifret antall internasjonale hoteller, som Hilton, Marriott, Sheraton og Westin, hacket i en periode på over ni måneder. Informasjonstyveriet ble stående igjen som et av fjorårets største.

– Klag alltid på rommet og be om et annet. Dersom noen har planlagt avlytting, må de utsette planene ett døgn, og kostnadene vokser, sier Brian O’Shea.

Michaud nikker på vei inn i heisen.

– Du må alltid la andre trykke først. Det er dumt å flagge hvilken etasje rommet ditt befinner seg på, sier han.

– Ta alltid heisen til en annen etasje enn den du bor i, og ta trappen derfra, supplerer O’Shea.

 

Usikre dører

Hotelldøren på Bristol Oslo har synlige fysiske merker.

– Det er ingen tvil. Her har noen prøvd å komme seg inn, men det var slik før jeg sjekket inn, sier O’Shea.

Michaud sier han har lagt merke til en list under døren.

– Det er ytterst sjelden du finner slike lister. De fleste hoteller i verden, inkludert noen av de dyreste, har en liten glipe mellom døren og gulvteppet, sier han.

Gjennom denne sprekken kan man låse seg inn i et hvilket som helst hotellrom utenfra, uten nøkkel. Et avlangt verktøy snikes inn under døren og hektes på håndtaket utenfra. Innen 30 sekunder er døren åpen.

– En dørkile gjør det umulig å komme seg inn uten at du våkner, tipser O’Shea.

Mange tror de får ekstra trygghet av å bruke et kjede over døråpningen. Et verktøy til 20 dollar som selges på nettet, gjør det mulig å nøytralisere også dette – og gå rett inn. «Do not disturb»-skilt på døren er det heller ingen hjelp i.

– Det viser at du er fra Vesten og at du sannsynligvis er der inne. Turister har mistet livet i hotellangrep hvor terrorister har gått etter slike skilt, sier han.

– Vi har sett flere steder at folk tror de har låst døren sin uten at de egentlig har gjort det. Her i Oslo reagerte jeg på at døren ikke låses automatisk når du går ut. Det var overraskende, utfyller Michaud.

Sikkerhetssjef Olav Stavnsborg i Olav Thon Gruppen, som eier Bristol, sier til DN at Bristol er i ferd med å skifte ut alle låser og dører i disse dager og at kjeden har hatt 18 innbrudd i sine 80 hoteller det siste året. Han kjenner ikke til spionasjetilfeller i kjedens hoteller.

– Det kan godt være det skjer, men vi har ikke fått rapportert noe eller oppdaget noe, sier han.

Kommunikasjonssjef Merete Habberstad i NHO Reiseliv sier til DN at bransjen ikke har rapportert om spionasje som et økende problem i hotellnæringen hittil.

Advarer. – Det du sier og gjør på hotellrommet i enkelte land, må du forvente at noen kan få med seg, sier den tidligere politimannen Jack Fischer Eriksen, direktør i Næringslivets Sikkerhetsråd.

Advarer. – Det du sier og gjør på hotellrommet i enkelte land, må du forvente at noen kan få med seg, sier den tidligere politimannen Jack Fischer Eriksen, direktør i Næringslivets Sikkerhetsråd.

 

Not safe

Jack Fischer Eriksen har alltid med seg en døralarm som aktiveres hvis noen prøver å åpne døren utenfra. Før han forlater rommet fotograferer han strategiske steder for å kunne verifisere om noen har snoket i hans fravær.

– Hvis noen vil ha tak i informasjonen din, er hotellrommet enkelt. Da har de kontroll på deg – og hvor du er, hvis du går derfra, sier Eriksen.

– Du må tenke over hva slags utstyr du bringer med deg, både pc-er, mobiler, nettbrett, harddisker og USB-pinner. Og ikke minst apper, sier han.

Apper gjør reisende sårbare for enkel sporing og innsamling av kontaktlister, fotoalbum og stedsdata. Løsningen er en egen reisetelefon og -pc, noe flere større selskaper i dag praktiserer ved reiser til enkelte destinasjoner, ifølge Eriksen.

– En safe er ikke nødvendigvis en safe, men et sted der de som vil ha tak i informasjonen din, leter først, fortsetter han.

Det er ikke alltid et trygt sted å oppbevare verdisaker.

– Det trenger ikke være snakk om statshemmeligheter og graderte dokumenter. Det kan være informasjon om selskapet ditt, om hvor grensen går for hva du kan bruke av penger når du skal kjøpe et annet selskap, sier han.

– Bør man helst ha med seg pc-en overalt?

– Jeg vil anbefale det.

 

Rottefellen

– Å bo på hotell er en sosial kontrakt som går ut på at du kan forvente privatliv og sikkerhet på rommet ditt. I realiteten er det ikke så trygt. De fleste hoteller understreker nøye at de ikke er ansvarlige for tyverier fra hotellrommet, selv ikke fra safen, sier Eric Michaud.

– Jeg har alltid med meg en stor rottefelle jeg setter i safen. Hvis du skal prøve å snoke, skal det koste deg dyrt, sier O’Shea.

«Evil maid attacks» er et kjent begrep i hackerverdenen og betegner inngrep utro hotellansatte kan gjøre med utstyr, informasjon eller eiendeler når gjesten ikke er tilstede.

– De kan for eksempel plassere skadevare eller hente ut informasjon fra datamaskinen din ved å speile den, sier han.

Også Michaud og O’Shea fotograferer utvalgte steder i hotellrommene de bor i.

«På hotellrommet må du anta at rommet og telefonen blir overvåket. Ikke prøv å spille etterforsker og begynn å lete etter elektroniske avlyttingsenheter. Dette kan sende feil signal til dem som står bak overvåkningen. Bare oppfør deg normalt og sørg for at du ikke sier eller gjør noe på hotellrommet du ikke ønsker å se på forsiden av lokalavisen. Og ikke gjør eller si noe som tilsier at du vet eller mistenker at noen lytter,» heter det i sikkerhetsguiden for USAs landbruksdepartement.

– Jeg synes rådene er veldig gode. Enkelte steder skal du ta overvåkning for gitt, sier Jack Fischer Eriksen.

Amerikanske statsansatte tar sjelden med seg elektronisk utstyr til Kina, ifølge Washington Post. Enkelte forretningsreisende tar omveien om Australia fremfor å diskutere business i et kinesisk hotellrom. Noen kjøper en ny Ipad for hvert Kina-besøk og bruker den aldri igjen.

Da Det hvite hus sendte ut et bilde av president Barack Obama på hotell i Brasil, fikk verden et lite glimt av det som trolig er verdens sikreste hotellinnretning. Når Obama må lese et hemmelig dokument eller ha en privat samtale på hotell, dukker han inn i et stort, lydisolert blått telt.

Topptrent i industrispionasje. – Vi gjør ikke dette for moro skyld. Vi lever av dette, sier sikkerhetseksperten Brian O’Shea.

Topptrent i industrispionasje. – Vi gjør ikke dette for moro skyld. Vi lever av dette, sier sikkerhetseksperten Brian O’Shea.

 

Farene utenfor

– Stol aldri på kommunikasjonssystemet i et hotell, sier Eric Michaud.

Med seg på turen har Michaud en liten enhet som kan avlytte alle oppkoblingene til det trådløse nettet. Da er det en smal sak å fange opp alle passord.

– Ta alltid med deg en egen reise-pc med minst mulig sensitiv informasjon. Slå alltid av alle wifi og Bluetooth-signaler på alle enheter – datamaskiner, mobiltelefoner og bruk VPN, sier han.

– Bruker du elektroniske enheter, er det alltid lett å følge deg uten å fotfølge deg. Et fitnessarmbånd kan også gjøre susen. Det kringkaster alltid hvor du er.

Det kan også være lurt å tenke gjennom hvordan man beveger seg videre når man har forlatt hotellet, mener Brian O’Shea.

– Det er ofte da overvåkningen virkelig starter, sier han.

– En drosje kan være en enkel måte å plukke opp et offer på. Hvis du bruker en taxi du selv ikke har valgt, gir du egentlig noen andre mulighet til å ha kontroll på hvor du er. De kan for eksempel forsinke deg for å sjekke rommet ekstra nøye, sier han.

Djevelen i detaljene. Sikkerhetseksperten Brian O’Shea fotograferer alltid detaljer i hotellrommet sitt før han forlater det. Et kjedes mønster, en rennende vannkran på badet og personlige eiendelers plassering kan avsløre snoking.

Djevelen i detaljene. Sikkerhetseksperten Brian O’Shea fotograferer alltid detaljer i hotellrommet sitt før han forlater det. Et kjedes mønster, en rennende vannkran på badet og personlige eiendelers plassering kan avsløre snoking.

 

Konferanseofrene

Konferanser er spesielt utsatte for spionasje og manipulasjon, mener ekspertene.

– Det er lett å infiltrere en konferanse og delta i samtaler med noen utvalgte. Hvis du har litt kunnskap, antar de automatisk at du deltar på konferansen. Med litt research vet jeg hvilken avdeling du leder, hvem du jobber med og hvem som er sjefen. Så lenge du er avslappet og bruker teknikker som gjør dem komfortable, kommer de til å prate, sier O’Shea.

– Jeg har sett mange eksempler på at pc-er står igjen i konferanserommet under måltidene, sier Jack Fischer Eriksen.

– Og ikke drikk alkohol! Å drikke er noe du gjør på ferie, hvis du er en ansvarlig forretningsreisende. Selskapet har investert penger i reisen din, sier O’Shea.

Hotellbaren er en gullgruve, mener han.

– Jeg drar dit gjerne litt tidlig og ser om det er noen med konferanse-badge der. Det å bli sendt på konferanse, er et privilegium. Hvis du i stedet befinner deg i baren, er du åpenbart ikke dedikert. Å innlede en samtale med deg, er enkelt. Så er det bare å bestille drinker, sier han.

– Norske ledere gir ofte fri bar til de ansatte for at de skal ha det gøy, men tenker ikke på farene, sier Jack Fischer Eriksen.

Han forteller om en episode fra et hotell i Kasakhstan.

– Vi tømte hotellet for sprit, men ingen tenkte på hva vi kunne bli utsatt for. Vi hadde informasjon som var veldig viktig for motparten.

 

Sosial manipulasjon

– Å bli utsatt for sosial manipulasjon i et hotell er lettere enn du tror, sier Brian O’Shea.

– Noen har kanskje hyret folk som oss. Vi lever av dette. Vi vet at representanter fra det norske selskapet x skal bo på Bristol i Oslo. Vi må finne ut hvorfor de er her, hvem som er i teamet og hvilket produkt de jobber med, hvem de skal møte, hvor lenge de skal være der og om de skal holde noen presentasjoner mens de er der. Skaffe mest mulig verdifull, konkurransesensitiv informasjon, sier O’Shea.

Han kaster et blikk ut i resepsjonsområdet for å sanke informasjon menneskene rundt bordene sender ut, kanskje uten engang å være klar over det.

– Alle lener seg tilbake og er komfortable og avslappet – unntatt dem. De har et forretningsmøte, lener seg fremover og gestikulerer. De er mulige ofre, sier han.

– Du må aldri ha møter i lobbyen.

Valg av arbeidsplass kan også åpne for overvåkning, ifølge Jack Fischer Eriksen.

– Er det innsyn på pc-en din? Kan man lese det du sitter og skriver? spør han.

Han mener nordmenn bør tenke sikkerhet også på ferie- og fritidsreiser.

– Hvis du tar med deg jobb-pc-en til utlandet, er det likegyldig om du er på ferie eller på jobbreise for dem som vil ha tak i informasjon. Har du med deg verdifulle data, må du tenke likedan, sier Eriksen.

 

Honningfellen

Jack Fischer Eriksen ble forsøkt utsatt for en honningfelle da han i en tidligere jobb i et privat selskap befant seg i hotellbaren til et femstjerners hotell i Moskva. Plutselig var han omsvermet av en gruppe unge, vakre kvinner – og noen menn som tilbød ham jobb med millionlønn.

– Jeg fikk et jobbtilbud som var for godt til å være sant. De ville skape en relasjon til meg og hadde til hensikt å fiske informasjon, få meg interessert i å høre mer, få meg bundet til dem, blant annet med alle kvinnene som var der, sier han.

– Det er så mange ting man kan utsettes for som kan brukes mot deg i ettertid. Hva kunne jeg blitt kapabel til å gjøre for at informasjon ikke skal tilfalle familie eller arbeidsgiver? Da har man et dilemma, og det bør man ikke utsette seg for.

Se også:
Hva har Putin til felles med Ivan den grusomme?

En lommetyv er løs på The Thief.

Ny emballasje overrasker positivt.

«Lunch» av Børge Lund.
 

Les mer fra Magasinet her(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.