De digitale truslene mot DNB vedvarer

Hver dag forsøker trusselaktører å trenge inn i DNBs digitale infrastruktur i den hensikt å få tak i informasjon, sabotere eller å oppnå økonomisk vinning. I 2021 håndterte DNB 27 slike saker som hadde et alvorlig skadepotensial for konsernet. Dette representerer en liten nedgang fra året før. Trusselbildet er i stadig endring og har i økende grad blitt et samfunnsproblem. Cyberangrep kan medføre stor skade med konsekvenser for både renommé, tapte inntekter, forpliktelser mot kunder og tilgjengelighet til finansielle tjenester. Som følge av dette er sikkerhet et samfunnsansvar som DNB tar på alvor og et tema som angår alle ansatte på alle nivåer i organisasjonen. Årlig trusselvurdering understøtter dette og har til hensikt å forbedre sikkerhetsmessige vurderinger i organisasjonen. 

Endret sikkerhetssituasjon i Europa

Krigen i Ukraina har skapt en ny sikkerhetssituasjon i Europa. Selv om det ikke er rapportert om cyberangrep mot vestlige finansinstitusjoner gjør situasjonen at cyber-domenet har blitt enda mer uoversiktlig. Blant partene i krigen er det Russland som besitter kapabiliteter som i ytterste konsekvens kan bli brukt slik at de kan skade DNBs drift. I forbindelse med krigen har det blitt observert at både hacktivist-miljø, og cyberkriminelle har utført cyberangrep til støtte for det disse miljøene oppfatter som enten Russlands eller Ukrainas interesser. I cyberdomenet har vi ikke den samme typen grenser som vi har geografisk – en trusselaktør kan sitte hvor som helst i verden og utføre sine operasjoner. Et scenario som kan utspille seg, er at skadevare eller angrep ment for krigen sprer seg og får utilsiktede konsekvenser andre steder. Dette skjedde i 2017 ved spredning av «NotPetya» skadevare i Ukraina, og igjen ved krigens utbrudd 24 februar 2022.  

Mest sannsynlig russisk etterretning

Samme dag som invasjonen startet rapporterte det amerikanske kommunikasjonsselskapet Viasat at en «cyberhendelse» hadde medført operasjonelle utfordringer for en satellitt som leverer bredbåndstjenester i Ukraina og omliggende land i Europa. Angrepet medførte nedetid i leveranser av bredbåndstjenester i Ukraina, men også tjenester i andre land fikk problemer. For eksempel mistet noen kunder i Frankrike internett, og man mistet kommunikasjonsmulighet med 5800 vindturbiner i Tyskland da de benyttet samme satellitt. For både NotPetya-angrepet og angrepet mot satellitten KA-SAT har flere pekt på at det mest sannsynlig er russisk etterretning som står bak cyberangrepene. Det er vanskelig å vurdere hvordan situasjonen og cybertrusselen kan utvikle seg, og informasjonsutveksling for å forstå trusselbildet fremstår som enda viktigere enn tidligere. 

Organiserte kriminelle utgjør den største trusselen

Det er først og fremst økonomisk motiverte kriminelle trusselaktører som har som mål å utføre cyberangrep mot DNB. Disse gruppene har cyberkriminalitet som profesjon og fungerer i økende grad som profesjonelle bedrifter – med stillingsannonser, arbeidstider og ansattgoder. Lønnsomheten og formaliseringen til disse gruppene gjør at virksomheten deres blir mer sofistikerte, og de investerer i utvikling og forskning. Dette fører til at trusselen blir mer kompleks – og virksomheter som beskytter seg mot disse må stadig heve sikkerheten sin for å operere på samme risikonivå som tidligere. Slike kriminelle organisasjoner har ofte tilholdssted i Øst-Europa og Afrika.

E-post og sårbarheter i Internett-eksponert infrastruktur som angrepsvektor

E-post er fortsatt mye brukt av cyberkriminelle som et ledd i angrepskjeden. Da forsøker aktøren å lure den ansatte til å trykke på lenker eller åpne skadelige vedlegg som kan plassere ut skadevare eller bakdører på datamaskinen dette åpnes fra. I andre tilfeller forsøker de å få den ansatte til å oppgi sin innloggingsinformasjon for å få tilgang til datamaskinene på egen hånd. I DNB ser vi mange kampanjer hvor aktører sender ut et stort antall e-poster med generisk tematikk, som for eksempel falske lønnsslipper, hentemeldinger eller deling av filer. Disse aktørene er opportunistiske, og håper å nå ut til så mange som mulig med visshet om at ikke så mange av de som mottar e-posten kommer til å la seg lure. Andre aktører jobber mer målrettet og har utpekt DNB som et mål. Disse bruker som regel mer tid på å tilegne seg kunnskap om DNB og konsernets ansatte før de sender e-post. På den måten kan de skreddersy tematikken tilpasset målet.

I 2021 så vi flere kampanjer hvor porteføljeforvaltere fikk denne typen e-post med svært målrettet tematikk. For eksempel fikk forvaltere med geografiske ansvarsområder e-post fra fiktive avsendere i nettopp denne regionen. DNB bruker tid på å kartlegge aktørene som går målrettet mot oss i hensikt å kunne forstå hvordan de opererer, for så å kunne detektere og stanse inntrengingsforsøk. 

Det er sannsynlig at trusselaktøren som sto bak e-postene til porteføljeforvalterne våre søkte tilgang til DNBs datasystemer for å installere en bakdør som kunne benyttes for innlogging. En annen vanlig metode som trusselaktørene benytter seg av for å få fotfeste i en organisasjons datasystemer, er å utnytte sårbarheter i digital infrastruktur som er eksponert på internett. All digital infrastruktur kan inneholde iboende sårbarheter, og når disse oppdages må man raskt gjøre tiltak eller installere sikkerhetsoppdateringer for å fjerne sårbarhetene.

Det vil si at virksomheter har mindre tid til rådighet for å iverksette tiltak og installere sikkerhetsoppdateringene enn man har hatt tidligere. Hvis ikke kan konsekvensen bli at uvedkommende får tilgang til nettverket.

Statlige aktører

Selv om cyberangrep for økonomisk vinning er effektive og vurderes som den største trusselen mot DNB, er det på ingen måte forbeholdt cyberkriminelle å gjennomføre slike angrep. Statsaktører fortsetter å utvikle kapabiliteter for å støtte opp under landets ambisjoner og informasjonsbehov. Kampanjene deres er ofte svært sofistikerte, vanskelige å oppdage, de har lang utholdenhet og retter seg kontinuerlig mot både kommersielle og statlige interesser. Selv om det finnes unntak, skiller statsaktører seg normalt ut ved å ha fokus på å få tilgang til informasjon eller understøtte sine lands politiske agenda fremfor økonomisk vinning. Det kan være økonomisk informasjon, informasjon om personer eller om IT-infrastruktur. En fellesnevner for disse trusselaktørene er at de er godt finansiert, tålmodige og vil strekke seg langt for å nå målet sitt selv om det innebærer å påvirke eller utnytte andre virksomheter for å nå sitt sluttmål. Også DNB har opplevd at statsaktører har forsøkt å få tilgang til bankens datasystemer, men dette forekommer langt mer sjelden enn forsøk fra kriminelle aktører.

Destruktive angrep og digital utpressing

Angrep med krypteringsvirus er fortsatt den største digitale trusselen mot DNB. Formålet med krypteringsvirus er å få tilgang til offerets datamaskiner og kryptere filene slik at de blir utilgjengelig for brukeren. For at offeret skal få tilgang til filene sine igjen, krever angriperen løsepenger. Disse ønskes ofte betalt i kryptovaluta, og beløpet som ofrene må betale har økt jevnlig. I nyhetene ser vi store selskaper tape hundrevis av millioner dollar i kostnader og tapte inntekter som følge av krypteringsvirus.

Dersom man ikke betaler løsepenger for å få tilbake de krypterte filene, krever det ofte at den rammede virksomheten har sikkerhetskopi (backup) av dataene sine. Mange virksomheter har også opplevd at sikkerhetskopien blir rammet av krypteringsvirus hvis den ikke er helt atskilt fra datasystemene. Hvis virksomheten har sikkerhetskopi av sine data, er det å tilbakestille denne som regel en krevende og svært omfattende jobb. Å få installert krypteringsvirus i sitt nettverk får derfor sannsynligvis alvorlig påvirkning på normal drift.

I 2021 har vi sett en markant trend hvor trusselaktørene ikke nøyer seg med å kryptere filene alene. I tillegg til at dataene gjøres utilgjengelige, truer aktørene med å publisere informasjonen offentlig dersom virksomheten ikke betaler. Noen trusselaktører går enda lenger: De kontakter partnere og kunder og truer med å ramme dem også hvis de ikke betaler, eller kombinerer krypteringsvirus med tjenestenektangrep. Krypteringsvirus har de siste årene i økende grad blitt en profesjonalisert industri. Cyberkriminelle selger tjenesten på markedsplasser på «Darknet». Aktører som mangler de tekniske ferdighetene for å utføre denne typen angrep selv kan bestille dem.

Når cyberangrep kommersialiseres som tjenester reduseres terskelen for gjennomføring. Dette fører til at flere virksomheter blir utsatt for angrep. Aktørene går målrettet til verks i sine operasjoner, og bruker tid på å kartlegge målene sine. I november 2021 utstedte FBI en advarsel om at aktørene «bruker betydelige økonomiske hendelser, som fusjoner og oppkjøp, for å målrettet utnytte offerselskaper for krypteringsvirus». 

Myndighetene skjerper innsatsen

Å bedrive cyberkriminalitet har i lang tid vært tilnærmet risikofritt og trusselaktørene har kunnet operere uten å risikere straffeforfølgelse. De siste årene har man sett flere eksempler på internasjonalt samarbeid i kampen mot cyberkriminalitet. Flere land har innført sanksjoner mot kriminelle cyberaktører.

Sanksjonene innebærer at bankkontoer har blitt fryst, og det blitt innført innreiseforbud og forbud mot handel med personene og grupperingene. Virksomheter som betaler løsepenger til sanksjonerte grupperinger risikerer store konsekvenser i form av bøter, utestengelse fra valutahandel eller fengsel hvis dette forbudet brytes.

I 2021 førte internasjonal innsats tilrettelagt av Europol til arrestasjonen av sju individer tilknyttet en organisert kriminell cyberaktør, og to andre grupper ble fratatt utstyr benyttet i cyberangrep. Dette er viktige tiltak som bidrar til at risikoen øker for de kriminelle grupperingene, og de kan i mindre grad operere uten at det kan få konsekvenser for dem. Dette vil forhåpentligvis virke avskrekkende på de eksisterende grupperingene, og hindre at volumet av cyberkriminelle øker. 

Tjenestenektangrep

Tjenestenektangrep, populært referert til som DDoS (Distributed Denial of Service), er en form for destruktivt angrep hvor en angriper sender så mye datatrafikk mot en nettside eller infrastruktur at denne blir overbelastet og utilgjengelig. Dersom en angriper utfører tjenestenektangrep mot nettbanken vår, betyr det at denne kan bli utilgjengelig for kundene våre. Vi opplever fortsatt at tjenestenektangrep utføres mot DNB ved jevne mellomrom, og har i den forbindelse opplevd å få utpressing via e-post der trusselaktøren krever at DNB skal betale penger for at de skal slutte å sende trafikk mot oss. DNB har ikke betalt løsepenger for å stanse tjenestenektangrep, men blokkerer trafikken i samarbeid med tjenesteleverandører. Vi forventer at tjenestenektangrep fortsetter på samme nivå fremover.

Informasjonstyveri

DNB besitter store menger kundeinformasjon, markedsinformasjon og teknisk informasjon som er av interesse for enkelte aktører. Kortdetaljer, pengeoverføringer, informasjon om hvor innkjøp gjøres og oppkjøp av selskaper er eksempler på informasjon som kan si mye om personer eller selskaper. Det finnes eksempler på finansinstitusjoner som har vært kompromittert over svært lang tid, i noen tilfeller flere måneder, hvor trusselaktøren i praksis har hatt tilgang til slik informasjon. Likevel ser vi at de aller fleste forsøkene på å trenge inn i DNBs IT-systemer ikke handler om spionasje, men er motivert av kriminell økonomisk vinning.

Digitale bankran

De siste årene har vi sett en nedgang i forsøk på digitale bankran hvor trusselaktørene forsøker å få illegitim tilgang til bankens datasystemer og overføre penger ut av banken. Å gjennomføre digitale bankran er teknisk krevende, og har blitt enda vanskeligere de siste årene. Samtidig ser vi at det har vært en økning innenfor krypteringsvirus og digital svindel. Vår vurdering er at det er en sammenheng mellom nedgangen i digitale bankran og at aktørene har tatt i bruk andre metoder for å oppnå økonomisk vinning.

Leveransekjedeangrep

I leveransekjedeangrep infiltrerer trusselaktøren et datasystem eller nettverk via en partner eller leverandør som har rettmessig tilgang. Da kompromitterer trusselaktøren tredjeparten først, og så utnyttes den allerede etablerte tilliten mellom tredjeparten og sluttmålet. Det kan være flere grunner til at trusselaktøren velger denne løsningen. En kan være at tredjepartsleverandøren har dårlige sikkerhet enn sluttmålet. En annen kan være at tredjeparten, gjerne en tjenesteleverandør, kan ha tilgang til mange virksomheter, og på den måten får trusselaktøren tilgang til disse virksomhetene gjennom tredjepartsleverandøren. Da kan trusselaktøren fokusere på å kompromittere én virksomhet, og gjennom den få tilgang til mange. Det finnes flere metoder trusselaktøren kan velge for å tilnærme seg sluttmålet sitt gjennom en tredjepart: 

• Det har blitt observert flere tilfeller der sikkerhetsoppdateringer inneholder en bakdør. Når virksomheter oppdaterer sine systemer, får de også installert bakdøren i systemene sine.
• En annen metode er å ta over en e-postkorrespondanse og sende ondsinnede vedlegg som mottakeren forventer, og sånn sett ikke vekke mistanke.
• En tredje metode er hvis tredjeparten har direkte tilgang inn i nettverket til sluttmålet – da kan denne tilgangen utnyttes direkte.

Mange virksomheter er avhengige av å kjøpe tjenester og programvare fra underleverandører. Dette gjelder også DNB. Vi vurderer denne trenden å være økende og trolig blir den mer utbredt i kommende år. I lys av dette blir håndtering av tredjepartsrisiko viktigere enn før, og sikkerhetsmessige vurderinger ved integrasjon av tredjeparter må gjøres i større grad som et forebyggende tiltak. Vi må forvente angrep via tredjeparter, og derfor være i stand til å forsvare oss mot det når det skjer. 

Dette er et utdrag fra DNB årlig trusselvurdering 2022