Angrepet har vært planlagt i flere uker allerede. Ingen har så langt merket noe. I et nesten hermetisk lukket rom i et massivt kontorbygg øverst i Groruddalen i Oslo samler et team med dataeksperter seg. Der sitter de foran hver sin pc. De har ett mål for øye: Å bryte seg ubemerket inn i systemene til virksomheten der det hver eneste dag overføres et tusentall milliarder kroner.

De tar seg god tid. Når arbeidsdagen er over, går de hjem og lar egenutviklet, skadelig programvare gjøre jobben frem til neste morgen. Så forsøker de igjen. Med nye teknikker, virkemidler og angrepsvinkler. Kan de endelig lykkes denne gangen?

I det samme kontorbygget, i etasjen under, har imidlertid alarmklokkene for lengst begynt å ringe. Det vet at de er under angrep, men hverken av hvem eller fra hvor. Pulsen i overvåkningsrommet er høyere enn normalt. Forsvarsverket holder inntrengerne på armlengdes avstand. Nå gjelder det å få stoppet dem en gang for alle.

Ikke før faren er over får de vite at det er deres egne kolleger som nok en gang har angrepet dem. Det eneste de får vite er at det kommer til å skje igjen. Men de aner ikke når.

Herjer og ødelegger

Dette er en del av hverdagen i et av Norges største private sikkerhetsmiljøer. Det kan ved første øyekast se ut som et spill. Et spill der slaget står mellom «red team» og «blue team», hvor oppgaven til det røde laget er å angripe, mens oppgaven til det blå laget er å forsvare seg.

Men hos betalingstjenesteleverandøren Nets tas angrepene fra «red team» på fullt alvor. Dette er ikke et spill. Oppgaven deres er nemlig å lete etter svakheter og hull i systemene som aktører med mindre ærlige hensikter kan tenkes å ville utnytte. Og på motsatt side er oppgaven for «blue team» å demme opp for angrepet på best mulig måte.

– Vi forsøker alt vi kan på å bryte oss inn, herje og ødelegge. Og så sørger vi for at det vi måtte finne blir fikset, slik at man har høy tiltro til at systemene ikke kan misbrukes.

Det sier mannen med det øverste ansvaret for sikkerheten i Nets, Andreas Rieber. Det er han som til syvende og sist må sørge for at verdier tilsvarende et drøyt norsk statsbudsjett hver dag kan overføres mellom hundrevis av europeiske banker – uten at noen i det hele tatt kan stille spørsmål ved sikkerheten.

Han forsikrer at han sover utmerket om natten.

Skaper verdier

En viktig grunn til at Rieber kan sove godt om natten er at betalingsselskapet har bygget opp en sikkerhetskultur som gjennomsyrer hele organisasjonen. Alt fra fysisk adgangskontroll til hvordan man beskytter eget selskap og kundene mot avanserte dataangrep utenfra.

– Hvis vi er ærlige, så er en del av tingene vi holder på med veldig kjedelige, de er vanskelige og de handler om tunge, lange prosesser. Men de er utrolig viktige og skaper verdi hvis man gjør det på den riktige måten, sier sikkerhetssjefen.

For når alt kommer til alt så er det en ting alle selskapets produkter er avhengig av: tilliten til at de fungerer på en helt sikker måte.

Som en av Nordens største teknologibedrifter sier det seg nesten selv at Nets' strategi må endres i takt med teknologiutvikling, rammevilkår og kundenes forventninger. Men en ting ligger likevel alltid fast: Sikkerheten kommer først.

Det handler om detaljer i hverdagen, men også om å ha øye for helheten. Og om å motivere de ansatte og kunder til å ta nye skritt for å demme opp for et trusselbilde som blir stadig større i omfang og stadig mer avansert.

Som en lek

Men hvordan skaper man motivasjon for noe som i utgangspunktet kan oppfattes som kjedelige, rutinepregede oppgaver?

– Med humor og glimt i øyet, svarer Rieber.

Det handler om å ufarliggjøre og om å skape rom for å feile. Det er for eksempel bedre å si fra en gang for mye enn en gang for lite.

Og hvorfor ikke gjøre deler av sikkerhetsarbeidet om til noe som ligner en lek? Nets tok tidlig i bruk «gamification» for opplæring og bevisstgjøring. Dette blir blant annet brukt til å lære opp de ansatte til å kjenne igjen eposter som inneholder svindelforsøk eller skadelig programvare.

Med ujevne mellomrom blir alle ansatte forsøkt lurt med e-poster som i utgangspunktet er ufarlige, men som har noen av de typiske tegnene på svindel- eller skadeforsøk. Dersom man identifiserer en slik e-post, og varsler om det, får man poeng. Man kan få ytterligere poeng ved å gå gjennom ulike identifikatorer som viser hvordan man kan avsløre om dette er et forsøk på uønsket aktivitet. Jo flinkere man er, desto flere poeng får man. Samtidig kan man sammenligne sin egen poengscore med de som scorer best i selskapet.

På denne måten blir hele staben lært opp i å gjenkjenne alle de typiske signalene på forsøk på svindel eller skade. Samtidig vil bedriften i langt større grad få varsel om de faktiske forsøkene på å lure de ansatte til å klikke på en lenke eller åpne et dokument som kan true sikkerheten.

Fullt alvor

For sikkerhetsavdelingens førstelinjeforsvar, det såkalte CERT-teamet, handler imidlertid forsøkene på svindel, skade eller inntrengning i systemene om alt annet enn lek. Her overvåkes aktiviteten i samtlige av Nets' systemer over hele Europa – døgnet rundt.

Men det ligner ikke noe du har sett på film. Her er det ingen tegn til grønn kodetekst som ruller over store oversiktsskjermer. Bortsett fra at det er få andre i selskapet eller utenfra som noensinne vil få lov til å komme inn hit, er det lite som tyder på at det foregår noe annet enn ordinært kontorarbeid her.

Vi får riktignok ikke ta bilde av ansiktene deres. Og heller ikke av det som foregår på dataskjermene deres. Begge deler er naturlig nok en del av sikkerhetstiltakene.

Arbeidsspråket er engelsk. De som jobber her inne og i resten av sikkerhetsavdelingen har svært ulik bakgrunn. De kommer fra en rekke ulike nasjoner. Noen av dem kan skilte med bakgrunn fra de hemmelige tjenestene i militæret og politiet, andre har lange universitetsutdannelser, mens noen langt på vei er selvlærte dataeksperter.

Det er her hos CERT-teamet at varslene fra ansatte og eksterne om faktiske svindelforsøk behandles. Det er også dette som er «blue team», når kollegene deres i «red team» forsøker å angripe.

– Det er den aller mest operasjonelle delen av det vi driver med. De overvåker, avdekker, responderer og håndterer sikkerhetshendelser, forklarer Rieber.

Viktig erfaring

Over gangen for CERT-teamet sitter en annen gruppe spesialister: dataingeniørene. Her er teamene som blant annet hjelper andre deler av organisasjonen med å spesifisere hvilke sikkerhetskrav nye produkter og systemer må tilfredsstille.

– Vi definerer sikkerhetskravene som systemene skal utvikles etter, vi deltar med råd og veiledning i design- og utviklingsfasen, og vi tester at systemene er sikre før de settes i produksjon.

Det siste punktet tar ingeniørenes såkalte pentest-team seg av.

– Det er de som rent faktisk prøver å hacke, ødelegge, bryte seg inn med de virkemidlene de måtte ønske å bruke, for å prøve å avdekke sårbarheter som likevel kan ha kommet seg inn i systemene. Dette har vi strenge rutiner for at vi må gjennomføre før vi for eksempel tar et nytt system i bruk, sier Rieber.

Dette er nettopp spesialistene som utfører pentestene som utgjør «red team» i slagene mot «blue team». Erfaringene som begge lag gjør seg kommer godt med når reelle trusler skal håndteres.

Sparer samfunnet for millioner

De siste månedene har Nets, i likhet med mange andre selskaper, opplevd en kraftig vekst i antall svindelforsøk der sluttbrukere blir forsøkt lurt til å gi fra seg personlig informasjon og kortnummer.

– Det har eksplodert både hos oss og globalt. Vi så en tredobling gjennom sommeren.

I slike forsøk på såkalt phishing benytter kriminelle seg av Nets' merkevarer og forsøker å etterligne produkter som for eksempel BankID og eFaktura. I tilfellene der Nets egne merkevarer blir misbrukt, må selskapet sørge for å stenge ned de falske nettsidene, som ofte blir brukt til å «fiske» kortinformasjon eller annen personsensitiv informasjon, så raskt som mulig.

Dette kan være sider som ligger hvor som helst på nettet og som kan ha blitt hacket eller på annen måte kompromittert.

I løpet av noen uker i sommer fikk Nets stengt ned rundt 1000 slike sider. Det tilsvarer en tredobling i løpet av kort tid.

Ved å automatisere prosessen for å behandle og reagere på varslede phishing-angrep har Nets redusert responstiden fra fire-fem timer til så lite som ti minutter.

– Når et angrep først er iverksatt er det egentlig allerede for sent å garantere at ingen blir svindlet. Selv om det bare er en liten promille av de som blir forsøkt lurt faktisk blir det, kan skaden allerede ha skjedd. Derfor har vi jobbet mye med hvordan vi kan minimere tiden fra vi får en indikasjon på at et nytt angrep er på gang til vi får tatt ned siden, sier Rieber.

For samfunnet betyr lavere responstid at mindre penger havner hos de kriminelle aktørene. Hvor store beløp det er snakk om er imidlertid vanskelig å tallfeste, siden man ikke vet hvor mye penger som ville gått tapt dersom angrepene hadde fått fortsette.

– Men det har nok spart samfunnet for flerfoldige millionbeløp.