I stillingskrig mot digitale bankranere

I stillingskrig mot digitale bankranere

Ett år er gått siden det digitale ranet av Sparebank 1. It-sjefen forteller åpent om den intense jakten på bakmennene og etterspillet i bedriften.

Det er en mandag ettermiddag i desember 2006. It-konserndirektør Eivind Gjemdal i Sparebank 1 får en telefon som gir ham en guffen følelse i magen. Banken er blitt offer for hacking.

Over ett år er gått siden dataangrepet som ble en vekker for Sparebank 1. Bankens sikkerhetsopplegg ble satt på prøve, og organisasjonen er blitt påvirket av det digitale ranet. Flere millioner kroner er blitt brukt på opprydding.

- Det var en vond følelse. Det er smertefullt å erkjenne at man er angrepet, selv om man er forberedt på at noe slikt kan skje, sier Gjemdal.

Han har sett seg lei på hemmelighold rundt dataangrep og sikkerhetstiltak, og ønsker å dele sine erfaringer med Computerworlds lesere.

Norske agenter

Over en periode hadde kriminelle fra Øst-Europa rekruttert norske personer som agenter, eller mules (muldyr), som er den engelske betegnelsen som brukes i sikkerhetsbransjen. Disse agentene ble bedt om å stille sine bankkonti til disposisjon, og overføre penger som ble satt inn på deres konto inn på nye konti.

- Agentene blir bedt om å gjøre en rekke oppgaver innen for eksempel markedsanalyse, som de tjener på. Til slutt blir de bedt om å gjennomføre transaksjoner, og dermed fungere som bindeledd mellom ofrene og de kriminelle, forteller Gjemdal.

Angrepet skjedde gjennom bankkunders ubeskyttede pc-er. Egne trojanere ble skreddersydd for nettopp Sparebank 1 og brukt til å ta kontroll over sesjonene når kundene gikk inn på nettbanken. Da ble penger overført til de norske agentene.

- Da vi skjønte hva som skjedde reagerte vi øyeblikkelig, og begynte med å analysere logger og finne ut av hva som var ”falske transaksjoner”, sier Gjemdal.

Stillingskrig

I timene og døgnene som fulgte var det en kamp mellom hackerne og banken. Sparebank 1 satte øyeblikkelig i gang sitt Security Response Team, som hadde vide fullmakter til å overstyre bankens systemer og stanse prosesser om nødvendig. Det var et tett samarbeid med politiet og andre banker for å forsøke å spore opp bakmennene. Banken laget egne systemoppdateringer for å møte hackernes spesiallagde trojanere, men det gikk ikke upåaktet hen.

- Det blir en stillingskrig, og spørsmålet er hvor langt man ligger foran motstanderen. De kriminelle overvåket oss. De fulgte hele tiden med på hva vi gjorde og laget nye trojanere, som vi igjen innførte tiltak mot, sier Bent Kristiansen, som er ansvarlig for it-drift i Sparebank 1.

Banken valgte å ikke stenge systemene under angrepet. De ville heller spane på de kriminelle i håp om å spore dem opp.

- Det var et bevisst valg fra vår side. Vi ønsket heller å overvåke hackerne, så vi kunne se hvordan de reagerte, sier Kristiansen, som presiserer at dette ikke utsatte kundene for noen risiko.

Ressurskrevende

Da dataangrepet var over hadde hackerne forsøkt å gjennomføre syv transaksjoner. Fire av dem klarte Sparebank 1 å stanse, nummer fem ble stanset ved at den norske agenten ante ugler i mosen og ringte politiet. To ulovlige transaksjoner gikk gjennom og banken ble ranet for 40.000 kroner. Oppryddingsarbeidet har kostet millioner.

OVERVÅKET: It-konserndirektør Eivind Gjemdal og hans team fulgte hackernes aktivitet tett, akkurat som hackerne overvåket banken. (Foto: Mats Lillesund)

- Det var ikke mye hackerne fikk med seg, mens utgiftene har vært enorme. Var det verdt det?

- Det er en svindelsak og det er vanskelig å vite omfanget av angrepet i begynnelsen, sier Gjemdal.

De første døgnene kjempet bankens ansatte dag og natt mot hackerne, og hadde en høy beredskap i vel to måneder etter angrepet. Politiet, EDB og andre banker var koblet inn i saken, og oppryddingen holdt på i tre til fire måneder.

- Jeg vil rose våre teknikere som stod på. I tillegg hadde vi et meget godt samarbeid med Økokrim og andre banker, sier Gjemdal.

Styrket sikkerheten

Sparebank 1 var forberedt på at et dataangrep kunne skje, men konserndirektør Eivind Gjemdal legger ikke skjul på at det var noe eget å oppleve det.

- Vi er blitt mye mer bevisste. Selv om vi visste mye om risikoen før angrepet, gjorde det noe med organisasjonen å bli utsatt for det. Det var en nyttig erfaring, sier Gjemdal.

Katastrofeplanen ser i dag rimelig lik ut som den gjorde før angrepet, men banken har gjort andre endringer. It-sikkerhetsavdelingen har doblet sin kapasitet fra to til fire personer, og banken har økt satsingen på å informere kundene om nettsikkerhet.

- Det er på kundens pc den største utfordringen ligger. Derfor tilbyr vi gratis antivirus- og brannmurprogramvare til våre kunder. I tillegg sitter det folk med sterk it-kompetanse på førstelinje support, slik at vi kan fange opp tilbakemeldinger fra kunder og oppdage eventuelle angrep tidlig, forteller Kristiansen.

Gjemdal ønsker ikke å gå inn på detaljer i forhold til hva banken gjør for å møte hacking, men understreker at sikkerhetsarbeidet er en kontinuerlig prosess.

- Det er viktig å ha en verktøykasse med riktige verktøy når noe som dette skjer. I tillegg må man jobbe strukturert med sikkerheten hele tiden. Så er det alltid en vanskelig balansegang mellom sikkerhet og brukervennlighet, sier Gjemdal.

LES OGSÅ: Slik ble Sparebank 1 hacket | Advarer nettbankbrukere mot angrep

Les om:

Sikkerhet