Foto: Harland Quarrington, Wikimedia Commons
Bank

"Intressant när it-säkerheten ställs mot affärstänket"

Falska Swifttransaktioner, överbelastningsangrepp och bedrägerimejl till anställda. Cybersäkerhet har de senaste åren blivit ett allt viktigare arbete för banker och andra finansiella företag. Realtid berättar om de tilltagande näthoten.

Uppdaterad 2020-04-05
Publicerad 2016-09-01

Det senaste året har it-säkerhet inom det internationella finanssystemet klättrat allt högre upp på agendan. Det hela började i februari. Då avslöjades att kriminella hade lyckats stjäla 81 miljoner dollar från Bangladeshs centralbank genom att infiltrera bankens koppling till Swift, det globala telekommunikationsnätverket för finansiella transaktioner. Hackarna – eller hackaren – tog sig innanför bankens it-säkerhetssystem och skickade falska penningtransaktioner till konton på Sri Lanka och Filippinerna. Illasinnad programvara, så kallad malware, installerades inom bankens nätverk för att dölja den spektakulära kuppen. Det hade däremot kunnat vara långt värre. Enligt rapporter i efterhand visade sig att falska transaktioner om totalt 850 miljoner dollar blockerades.

Detta är bara ett exempel på flera attacker som har kommit fram i ljuset den senaste tiden. I våras offentliggjorde banken Tien Phong i Vietnam att de i december förra året hade stoppat falska transaktioner på en miljon dollar. Nästa offer som kom att avslöjas var Banco del Austro i Ecuador. I maj kom rapporter om att banken hade blivit bestulen på runt nio miljoner dollar redan i januari 2015. Hackarna ska ha använt en liknande metodik som i Bangladeshattacken och skapat falska transaktioner, varigenom pengarna skickats till konton i bland annat Hongkong. Det senast uppmärksammade fallet inträffade i juni när en (hittills okänd) ukrainsk bank stals på 10 miljoner dollar.

– Det är ett vattendelande moment i Swifts historia, sade organisationens ordförande Gottfried Leibbrandt i ett uttalande apropå Bangladeshkuppen.

Hög hotbild på hemmaplan

Swift har genomgående hävdat att det internationella transaktionssystemet är säkert, även om dess säkerhet har ifrågasatts efter attackerna. Swift menar dock att det är bankernas – inte Swifts – bristfälliga säkerhetssystem som har gett angriparna tillgång till den interna kommandocentralen för finansiella transaktioner. Det är i dagsläget ännu oklart exakt hur ovanstående attacker har gått till – och framför allt vem eller vilka som ligger bakom dem.

Det som emellertid står klart är att angreppen har satt fokus på finansbranschens cybersäkerhet, eller brist på detsamma. Också i Sverige har it-säkerhetsfrågor kommit att bli allt mer aktuella, inte minst sedan flera riktade överbelastningsattacker, så kallade ddos-attacker, mot banker har uppmärksammats.

Kortfattat bygger en ddos-attack på att en omfattande mängd anrop skickas samtidigt och kontinuerligt till en serverdator eller nättjänst på nätverket, varpå det valda målet blir överbelastat och inte längre är tillgänglig för kommunikation med andra datorer. Den mest kända ddos-attacken mot en svensk bank hittills inträffade i november förra året när Swedbanks webbplats attackerades vid flera tillfällen och låg nere under en hel dag, även om tjänster som internetbanken var tillgänglig via direktlänkar.

Men Swedbank är knappast ensamt om att ha blivit utsatt för angrepp. Undersökningen Internet Security Threat Report (ISTR) från it-säkerhetsbolaget Symantec visar att nära hälften av företagen (46,7%) med 1001-1500 anställda drabbades av riktade attacker under 2015. Samtidigt utsattes tre av fem mindre och två av fem medelstora svenska företag av angrepp ifjol. Det betyder att Sverige ligger på plats fyra i Europa och plats tolv globalt när det gäller länders utsatthet för riktade angrepp, visar undersökningen.

Lägg därtill att det ofta tar lång tid för företagen att ens upptäcka att deras nätverk eller system har infiltrerats av skadlig kod. I EMEA-området är genomsnittstiden 469 dagar; globalt ligger den på 169 dagar, enligt siffror från it-säkerhetsbolaget FireEye.

– En trend tyder på att angripare inte längre bara fokuserar på de största företagen. Troligen beror det på att mindre företag är sämre skyddade än större bolag och att de samtidigt kan vara en väg in till jättarna. Det betyder att stora som små behöver se upp, säger Ola Rehnberg, it-säkerhetsexpert på Symantec.

Mer organiserad nätkriminalitet

Ola Rehnberg

Förutom ddos-attacker hör spear phishing till ett av de vanligare angreppssätten. Detta är infekterade, men trovärdigt utformade, mejl – de kan till exempel ha kollegan på företaget som avsändare. När mottagaren klickar på länken eller den bifogade filen uppstår den illasinnade programvaran i nätverket. På det sättet kan angriparna komma över lösenord eller finansiell information (såväl hos bankanställda som hos kunder) genom så kallade banktrojaner, eller så kan programvaran låsa en specifik och viktig del av nätverket som företaget sedan endast får tillgång till genom lösensumma. Det senare kallas ransomware. Betalningen sker ofta i bitcoins, vars anarkistiskt utformade blockchainteknologi gör transaktionerna väldigt svåra att spåra. När det gäller spear phishing är finanssektorn den näst mest utsatta branschen, visar ISTR-rapporten.

Enligt Robert Malmgren, grundare av och it-säkerhetsexpert på bolaget Romab, står banker och andra finansiella företag inför åtminstone två utmaningar kring it-säkerhet. Den första handlar om att uppdatera befintlig och investera i ny it-infrastruktur i takt med att teknikutvecklingen går framåt och cyberattackerna blir mer avancerade och förfinade. Detta är ingen lätt uppgift när nätkriminaliteten blir mer organiserad och inte längre överensstämmer med schablonbilden om hackaren som oborstad tonåring iklädd huvtröja.

Enligt de it-säkerhetsexperter som Realtid har pratat med är dagens it-säkerhetsarbetet som en katt och råtta-lek. Angriparen ger sig på en lucka i företagets system, som företaget täpper igen, varpå angriparen hittar en annan lucka, och så vidare.

– Grupper av nätkriminella har nu samma skicklighet som nationalstatsangripare. De har omfattande resurser och en högkvalificerad teknisk personal som arbetar med en effektivitet som gör att de kan ha normala arbetstimmar och ändå ta ledigt på helger, säger Ola Rehnberg.

Anställdas beteende en säkerhetsrisk

Den andra utmaningen handlar om en faktor som lätt förbises i de här sammanhangen – den mänskliga. Spear phishing-mejlen är i dag så skickligt utformade att ”vem som helst” kan vilseledas av dem och företagen behöver därför kontinuerligt utbilda anställda i it-säkerhet.

Enligt en undersökning från bolaget NTT Com Security, där 100 beslutsfattare på företag med över 250 anställda i olika branscher deltog, framkommer att det är konsulter/temporär personal samt de anställda som är de största it-säkerhetsriskerna. Att öppna en länk med en illasinnad programvara kanske låter som en relativt oskyldighandling, men den kan få långtgående konsekvenser.

Enligt Robert Malmgrens bedömning tycks Swiftattackerna ha sin upprinnelse i ett ”vanligt” spear phishing-mejl, varigenom angriparna har flyttat sig i sidled i nätverket från en enskild användardator och vidare till Swiftnoden där de har kunnat manipulera de finansiella transaktionerna.

Robert Malmgren

– I min värld ska man inte kunna förflytta sig från en enskild banktjänstemans laptop till ett så känsligt system som en transaktionsnod. Det måste finnas någon isolering däremellan som gör att man blir blockerad, säger Robert Malmgren.

”Större affärsmässiga risker än säkerheten tillåter”

Men det finns även en tredje utmaning som handlar om hur it-säkerheten vägs mot de affärsmässiga besluten. När Swedbank utsattes för en ddos-attack förra året var det en så kallad slow post-attack, sade Jinny Ramsmark, it-säkerhetskonsult på TrueSec, till tidningen Computer Sweden i november 2015.

Det går förenklat ut på att skicka en stor mängd data i långsamma hastigheter till en server, varpå servern blockeras för andra användare. En bank kan undvika sådana attacker genom att hindra inkommande trafik som är för långsam, men följden blir då att kunder som surfar på väldigt långa hastigheter också kan utestängas, enligt artikeln i Computer Sweden. Detta initierar i sin tur en diskussion om balansen mellan bankernas it-säkerhetsarbete och kundernas krav på oinskränkt tillgänglighet.

Robert Malmgren berättar om ett annat exempel. Teoretiskt sett skulle en bank kunna strypa bakåtkompabiliteten för internetbanken, det vill säga att en användare måste ha den senaste versionen av någon specifik webbläsare för att få tillgång till webbplatsen. Risken är då att man stänger ute (och kanske helt förlorar) kunder. I sådana situationer är det inte orimligt att it-säkerhetsavdelningarnas och beslutsfattarnas åsikter går isär.

Men det finns fler tillfällen då balansen mellan kärnaffär och it-säkerhet ställs på sin spets. Det kan gälla alltifrån lansering av nya tjänster på obeprövade tekniska plattformar eller att lägga ut driftuppdrag på tredje part. Robert Malmgren menar att affärsbeslut ibland fattas på alltför otillräckliga underlag, vilket i värsta fall kan resultera i fördröjningar, fördyrning eller varumärkesskador i ett senare skede.

– Det blir intressant när it-säkerhetsfrågorna ställs mot affärstänket på företagen. Här tror jag inte att alla spelare fattar rätt beslut i dag. De kanske är beredda att ta större affärsmässiga risker än vad it-säkerheten egentligen tillåter, säger han.

Robert Malmgren tror att det är viktigt för svenska finansföretag att våga vara självkritiska och granska och ifrågasätta sina säkerhetssystem.

- Vi ska nog inte vara högmodiga och tro att vi är mycket bättre än andra, särskilt  mindre utvecklade länder. Det har skett många cyberattacker i USA, en nation som vi ofta anser ligga före oss i utvecklingskurvor för teknisk utveckling och högteknologiska brott, säger han.

Banker rustar upp

Hur arbetar då svenska banker och finansiella företag med cybersäkerhet? Det är svårt att få en heltäckande bild av området, men i Riksbankens Finansiell stabilitetsrapport 2016:1 ges en fingervisning av läget. Enligt två enkätundersökningar som Riksbanken har genomfört det senaste året framkommer att banker och andra finansiella företag har installerat brandväggar och utför kontroller genom att exempelvis analysera transaktioner för att förebygga, upptäcka och åtgärda hot. Rutiner har också införts för att kunna återstarta verksamheten efter angrepp.

Men enkätundersökningen pekar också på en del förbättringspunkter. Deltagarna i undersökningen behöver i större utsträckning förankra it-säkerhetsarbetet i alla delar av organisationen, såväl inom affärsverksamhet som inom högsta ledning. Dessutom är det flera av respondenterna som ser cyberattacker som en allt större utmaning och efterlyser mer samverkan och informationsutbyte.

Det finns i dag ett antal samverkansforum där branschaktörer kan utbyta information och praktiska erfarenheter av cyberhot. Ett sådant forum arrangeras av Bankföreningen.

Ett annat samverkansforum för informationsutbyte kring it-säkerhet riktat mot finanssektorn är FIDIFinans under ledning av Myndigheten för samhällsskydd och beredskap, där storbankerna ingår.

Thomas Keisu, informationssäkerhetschef på Swedbank, säger att säkerhetsarbetet har trappats upp kraftigt de senaste åren. Bland annat är de dubbelt så många som jobbar med informationssäkerhet på banken i dag jämfört med för fem år sedan. Enbart inom hans grupp är de 20 personer. Han säger även att banken har kontinuitets- och handlingsplaner som är relaterade till it-systemen.

Susanna Öhrn, Skandia
Susanne Öhrn

– De handlar till exempel om vem som ska informeras om vad och om riktlinjer för vilka system som är viktiga och bör prioriteras för återstart vid en attack.

Susanne Öhrn, it-säkerhetschef på Skandia, berättar att också de har infört handlingsplaner för cybersäkerhet.

– För att möta det ökande hotet gällande exempelvis phishing har vi förutom olika tekniska lösningar utbildat våra anställda och använder olika kommunikationskanaler för att påminna och skicka ut varningar. I samband med deklarationen i våras hade vi till exempel ett phishingmejl som påstods komma från Skatteverket. Då var vi snabba med att lägga ut information om detta på intranätet för att underrätta personalen. Vi har även specifika mejllådor dit misstänkt e-post kan skickas. Vi försöker hela tiden ha en hög beredskap och vara vaksamma, säger hon.

Erik Blomberg, informationssäkerhetschef på Handelsbanken, berättar att de arbetar mycket med att höja medvetenheten hos de anställda rörande it-säkerhet.

– I takt med att hotbilden har blivit mer sofistikerad och intensifierad har det blivit viktigare att nå ut till våra anställda och till kunderna. Det räcker inte längre med att skriva en årsrekommendation, vi måste ständigt uppdatera och informera.

Tomas Nilsson, frilansjournalist.

Fakta: Utspritt ansvar

I dag är ansvaret för frågor om cyber-och informationssäkerhet uppdelat på flera myndigheter: Försvarets radioanstalt, Myndigheten för samhällsskydd och beredskap, Post och telestyrelsen (PTS), Försvarets materielverk, Försvarsmakten, Polismyndigheten och Säkerhetspolisen.

Finansinspektionen ansvarar till exempel för att utfärda föreskrifter och riktlinjer samt bedriva tillsyn kring bankers riskhantering, som även innefattar cyberhot.

Riksbanken är ägare och operatör av RIX-systemet och ansvarar för att det är skyddat mot cyberhot.

Källa: Riksbankens Finansiell stabilitetsrapport 2016:1

Platsannonser