Denne uken ble det kjent at den amerikanske nettjenesten Yahoo har hatt hackere på innsiden i over tre år og at en milliard brukerkontoer er stjålet.

Yahoos tjenester er ikke så utbredt i Norge, men mange nordmenn har en konto på bildetjenesten Flickr, som også bruker Yahoos database.

Yahoos database har i seg selv ikke så stor verdi for hackerne, kanskje med unntak av noen brukere som har lagt inn kredittkortinformasjon der. Den store verdien ligger i en milliard brukernavn og passord som med stor sannsynlighet også blir brukt på andre nettjenester ligger ute for salg.

– De fleste av oss bruker bare et par passord til alle tjenester vi er registrert hos. Yahoo-hackerne kan med stor sannsynlighet bruke de samme passordene på alt fra Google-tjenester til betalingstjenester og pålogginger til brukernes arbeidsplasser, sier Sofie Nystrøm, leder for Center for Cyber and Information Security (CCIS) ved NTNU Gjøvik.

Yahoos database er allerede solgt i bolker til flere kjøpere. Hackerne tjener millioner på salget, mens kjøperne kan bruke informasjonen i databasen til alt fra økonomisk vinningskriminalitet til industrispionasje eller etterretning.

Anta at du er hacket

– Vi regner med at mange norske virksomheter sitter i samme situasjon som Yahoo uten å vite det. Hackere kan ha operert inne i nettverket i årevis for å sanke informasjon, sier Nystrøm.

Nasjonal sikkerhetsmyndighet (NSM) sier Norge hittil har unngått de store skandalene.

– Så langt har vi i Norge vært skånet for de store hackerskandalene. Det tror jeg dessverre skyldes mer flaks enn dyktighet, sier Hans Christian Pretorius, avdelingsdirektør for IKT-sikkerhet i NSM.

Hos CCIS tror de det er få slike skandaler som kommer ut i offentligheten.

– I sikkerhetsbransjen vet man at dette er ganske utbredt, men det er klart mange ikke ønsker å gå ut med informasjon om storstilt hacking offentlig. Det er jo både skamfullt og dårlig for virksomhetens omdømme, sier Nystrøm.

NSM sier man alltid må tenke sikkerhet ut fra at man allerede er hacket.

Hans Christian Pretorius. Hans Christian Pretorius er avdelingsdirektør for IKT-sikkerhet i Nasjonal sikkerhetsmyndighet (NSM).
Hans Christian Pretorius. Hans Christian Pretorius er avdelingsdirektør for IKT-sikkerhet i Nasjonal sikkerhetsmyndighet (NSM). (Foto: Thomas Haugersveen)

– Når man bygger sine nettverk må man gjøre det ut fra tanken om at man allerede er hacket og at noen sitter på innsiden og følger med. Derfor må man jobbe for å gjøre jobben til dem på innsiden vanskeligst mulig og sørge for gode verktøy som kan oppdage dem som allerede er innenfor, sier Pretorius.

Han sier blant annet at man bør sjekke logger og lignende for å se om det er noen mistenkelige strømmer av data ut av nettverket.

– Hackerne må jo sende informasjonen hjem for å utnytte den, sier Pretorius.

Ingen er helt sikre

Det finnes hverken programvare eller nettverk som er helt feilfrie. Et annen utfordring er internett i seg selv.

– Internett er jo ganske gammel teknologi nå, og ikke bygget for å være robust og sikkert. Hadde man skulle laget et nytt internett i dag ville det sett veldig annerledes ut, sier Nystrøm.

Både CCIS og NSM oppfordrer nordmenn og norske bedrifter til å sette seg bedre inn i de reelle sikkerhetstruslene på internett.

– Mange forstår ikke utfordringen, vet ikke hvordan situasjoner skal håndteres og stoler for mye på it-leverandørene. Man bør sørge for å velge leverandører som vet hva de gjør, sier Nystrøm.

En annen vanlig utfordring er tid og penger. 

– It-prosjekter leveres ofte med tid og kostnad som de viktigste faktorene. Det er sjelden man hører at et prosjekt bli utsatt fordi sikkerheten og kvaliteten ikke er god nok. Mange sikkerhetstiltak – som kryptering av databaser – senker dessuten ytelsen som det igjen koster penger å kompensere for, sier Nystrøm.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.