Cyberhoten ökar i finansvärlden
Falska Swifttransaktioner, överbelastningsangrepp och bedrägerimejl. Cybersäkerhet blir allt viktigare för finansföretagen. Näthoten ökar och blir allt mer sofistikerade.
Det senaste året har it-säkerhet inom det internationella finanssystemet klättrat allt högre upp på agendan. Det hela började i februari. Då avslöjades att kriminella hade lyckats stjäla 81 miljoner dollar från Bangladeshs centralbank genom att infiltrera bankens koppling till Swift, det globala telekommunikationsnätverket för finansiella transaktioner. Hackarna – eller hackaren – tog sig innanför bankens it-säkerhetssystem och skickade falska penningtransaktioner till konton på Sri Lanka och Filippinerna. Illasinnad programvara, så kallad malware, installerades inom bankens nätverk för att dölja den spektakulära kuppen. Det hade däremot kunnat vara långt värre.
Enligt rapporter i efterhand visade det sig att falska transaktioner om totalt 850 miljoner dollar blockerades. Detta är bara ett exempel på flera attacker som har kommit fram i ljuset de senaste tolv månaderna. I maj offentliggjorde banken Tien Phong i Vietnam att de i december 2015 hade lyckats stoppa manipulerade transaktioner på en miljon dollar. Samma månad kom rapporter om att Banco del Austro i Ecuador hade blivit bestulen på runt tolv miljoner dollar redan i januari 2015. Hackarna ska ha använt en liknande metodik som i Bangladeshattacken och frambringat falska transaktioner, varigenom pengarna skickades till konton i bland annat Hongkong. Ytterligare ett uppmärksammat Swiftfall inträffade i juni när en ukrainsk bank bestals på 10 miljoner dollar. I november hackades och förflyttades en okänd summa pengar från 20 000 konton på brittiska retailbanken Tesco (däremot oklart om attacken involverade Swiftsystemet).
– Det är ett vattendelande moment i Swifts historia, sade organisationens ordförande Gottfried Leibbrandt i ett uttalande apropå Bangladeshkuppen.
Swift har genomgående hävdat att det internationella transaktionssystemet är säkert, även om dess säkerhet har ifrågasatts efter attackerna. Swift menar dock att det är bankernas – inte Swifts – bristfälliga säkerhetssystem som har gett angriparna tillgång till den interna kommandocentralen för finansiella transaktioner. Det är i dagsläget ännu oklart exakt hur ovanstående attacker har gått till – och framför allt vem eller vilka som ligger bakom dem. Det som emellertid står klart är att angreppen har satt fokus på finansbranschens cybersäkerhet, eller brist på detsamma. Också i Sverige har it-säkerhetsfrågor kommit att bli allt mer aktuella, inte minst sedan flera riktade överbelastningsattacker, så kallade DDoS-attacker, mot banker har uppmärksammats.
Kortfattat bygger en DDoS-attack på att en omfattande mängd anrop skickas samtidigt och kontinuerligt till en serverdator eller nättjänst på nätverket, varpå det valda målet blir överbelastat och inte längre är tillgängligt för kommunikation med andra datorer.
Jag tror att gemene man börjar bli mer varse om problemet med bluffmejl och agerar mer försiktigt på nätet.
En av de mer uppmärksammade DDoS-attackerna mot en svensk bank inträffade i början på november 2015 när Swedbanks webbplats attackerades vid flera tillfällen och låg nere, även om tjänster som internetbanken var tillgänglig via direktlänkar från exempelvis Google. I slutet av samma månad kom rapporter om att en ung man bosatt i småländska Växjö hade gripits som misstänkt för DDoS-attackerna. Sedan dess har det varit tyst.
Finansliv har varit i kontakt med polisens Nationella It-brottscenter inom NOA (Nationella operativa avdelningen) som berättade att förundersökningen ännu pågår, varför de inte kan lämna ut några uppgifter om ärendet.
Förutom DDoS-attacker hör spear phishing (nätfiske) till ett av de vanligare angreppssätten. Då används infekterade men trovärdigt utformade bluffmejl som till exempel kan ha ett särskilt företag eller en anställd på ett företag som falsk avsändare. När mottagaren klickar på länken eller den bifogade filen uppstår den illasinnade programvaran i nätverket. På det sättet kan angriparna komma över lösenord eller finansiell information (såväl hos bankanställda som hos kunder) genom så kallade banktrojaner, eller så kan programvaran låsa en specifik och viktig del av nätverket som företaget sedan endast får tillgång till genom att betala en lösensumma. Det senare kallas för ransomware och betalningen sker ofta i bitcoin, vars blockkedjeteknik gör transaktionerna väldigt svåra att spåra.
Senast i slutet på oktober i år rapporterades att det cirkulerade bluffmejl på nätet som såg ut att komma från Länsförsäkringar. I det till synes trovärdiga mejlet uppmanades mottagaren att klicka på en länk för att ladda ned ett (troligen virusskadat) bifogat formulär:
”Kära kund, Länsförsäkringar, tekniska serviceavdelning håller på att utföra en planerad uppgradering av mjukvaran för att förbättra servicekvaliteten åt bankens kunder. Vi ber dig att börja proceduren för att bekräfta dina bankkontodetaljer”, stod skrivet i mejlet. Länsförsäkringar gick snabbt ut offentligt och informerade om att bolaget aldrig frågar om inloggningsuppgifter och bankkontonummer per e-post. Tidigare hade bluffmejlen ofta stavfel och var slarvigt gjorda. Nu är bedragarna bättre på att härma företagens identitet och design. Det är därför inte alltid lätt att se skillnad på falska och riktiga mejl, berättar Cecilia Winter, pressansvarig på Länsförsäkringar.
– Men jag tror att gemene man börjar bli mer varse om problemet med bluffmejl och agerar mer försiktigt på nätet, säger hon.
Hur många cyberattacker eller incidenter som sker mot den finansiella sektorn i Sverige är svårt att få reda på. Det finns inte några offentligt sammanställda eller verifierade siffror. På Finansinspektionen (FI) har det inkommit anmälningar om tolv stycken så kallade ”väsentliga händelser” inom bank- och försäkringsbranschen mellan januari och november i år. Om man tittar på samtliga bolag som ligger under FI:s tillsyn ökar siffran till 44 stycken anmälningar. Värt att notera är att dessa siffror inbegriper samtliga incidenter av ”väsentlig betydelse” – och långt ifrån enbart cybersäkerhetshändelser. Anders Lindgren, riskexpert inom enheten för styrning och operativa risker på FI, berättar däremot att de ser en tilltagande trend av cyberattacker mot finanssektorn.
– Det är viktigt att bolagen gör tillräckliga investeringar, inte minst kring de mjuka aspekterna. Det handlar om att ha rätt kompetens på plats och att höja de anställdas medvetenhet kring riskerna som finns, säger han.
Det står alltså klart att cyberattackerna blir allt fler – och det gäller samtliga branscher. Rapporten Internet Security Threat Report (ISTR) från it-säkerhetsbolaget Symantec visar att nära hälften av företagen (46,7 procent) med 1000–1500 anställda drabbades av riktade attacker under 2015. Samtidigt utsattes tre av fem mindre och två av fem medelstora svenska företag av angrepp. Det betyder att Sverige ligger på plats fyra i Europa och på plats tolv globalt när det gäller länders utsatthet för riktade angrepp, enligt undersökningen. Lägg därtill att det ofta tar lång tid för företagen att ens upptäcka att deras nätverk eller system har infiltrerats av skadlig kod. I EMEA-området (Europa, Mellanöstern och Afrika) är genomsnittstiden för att upptäcka skadlig kod hela 469 dagar; globalt är det 169 dagar, enligt siffror från it-säkerhetsbolaget Fireeye.
– En trend tyder på att angripare inte längre bara fokuserar på de största företagen. Troligen beror det på att mindre företag är sämre skyddade än större bolag och att de samtidigt kan vara en väg in till jättarna. Det betyder att stora som små behöver se upp, säger Ola Rehnberg, it-säkerhetsexpert på Symantec.
Enligt Robert Malmgren, grundare av och it-säkerhetsexpert på Romab, står banker och andra finansiella företag inför åtminstone två utmaningar kring it-säkerhet. Den första handlar om att uppdatera befintlig och investera i ny it-infrastruktur i takt med att teknikutvecklingen går framåt och cyberattackerna blir mer avancerade och förfinade. Detta är ingen lätt uppgift när nätkriminaliteten blir mer organiserad och inte längre överensstämmer med schablonbilden av hackaren som oborstad tonåring iklädd huvtröja. Enligt de it-säkerhetsexperter som Finansliv har pratat med är dagens it-säkerhetsarbete likt en katt och råtta-lek. Angriparen ger sig på en lucka i företagets system, som företaget täpper igen, varpå angriparen hittar en annan lucka, och så vidare.
– Grupper av nätkriminella har nu samma skicklighet som nationalstatsangripare. De har omfattande resurser och en högkvalificerad teknisk personal som arbetar med en effektivitet som gör att de kan ha normala arbetstimmar och ändå ta ledigt på helger, säger Ola Rehnberg.
Den andra utmaningen handlar om en faktor som lätt förbises i de här sammanhangen – den mänskliga. Spear phishing-mejlen med skadlig kod är i dag så skickligt utformade att ”vem som helst” kan vilseledas av dem och företagen behöver därför kontinuerligt utbilda anställda i it-säkerhet. Enligt en undersökning från bolaget NTT Com Security, där 100 beslutsfattare på företag med över 250 anställda i olika branscher deltog, framkommer att det är konsulter/temporär personal samt de anställda som är de största it-säkerhetsriskerna. Att öppna en länk med en illasinnad programvara kanske låter som en relativt oskyldig handling, men den kan få långtgående konsekvenser. Enligt Robert Malmgrens bedömning tycks Swiftattackerna ha sin upprinnelse i ett ”vanligt” spear phishing-mejl, varigenom angriparna har flyttat sig i sidled i nätverket från en enskild användardator och vidare till Swiftnoden där de har kunnat manipulera de finansiella transaktionerna.
– I min värld ska man inte kunna förflytta sig från en enskild banktjänstemans laptop till ett så känsligt system som en transaktionsnod. Det måste finnas någon isolering däremellan som gör att man blir blockerad, säger Robert Malmgren.
Men det finns även en tredje utmaning som handlar om hur it-säkerheten vägs mot de affärsmässiga besluten. När Swedbank utsattes för DDoS-attacken förra året var det en så kallad slow post-attack, sade Jinny Ramsmark, it-säkerhetskonsult på Truesec, till tidningen Computer Sweden i november 2015. Det går förenklat ut på att skicka en stor mängd data i långsamma hastigheter till en server, varpå servern blockeras för andra användare. En bank kan undvika sådana attacker genom att hindra inkommande trafik som är för långsam, men följden blir då att kunder som surfar på väldigt långsamma hastigheter också kan utestängas, enligt artikeln i Computer Sweden. Detta initierar i sin tur en diskussion om balansen mellan bankernas it-säkerhetsarbete och kundernas krav på oinskränkt tillgänglighet. Robert Malmgren berättar om ett annat exempel. Teoretiskt sett skulle en bank kunna strypa bakåtkompabiliteten för internetbanken, det vill säga att en användare måste ha den senaste versionen av någon specifik webbläsare för att få tillgång till webbplatsen. Risken är då att man stänger ute (och kanske helt förlorar) kunder. I sådana situationer är det inte orimligt att it-säkerhetsavdelningarnas och beslutsfattarnas åsikter går isär. Men det finns fler tillfällen då balansen mellan kärnaffär och it-säkerhet ställs på sin spets. Det kan gälla alltifrån lansering av nya tjänster på obeprövade tekniska plattformar till att lägga ut driftuppdrag på tredje part. Robert Malmgren menar att affärsbeslut ibland fattas på alltför otillräckliga underlag, vilket i värsta fall kan resultera i fördröjningar, fördyrning eller varumärkesskador i ett senare skede.
– Det blir intressant när it-säkerhetsfrågorna ställs mot affärstänket på företagen. Här tror jag inte att alla spelare fattar rätt beslut i dag. De kanske är beredda att ta större affärsmässiga risker än vad it-säkerheten egentligen tillåter, säger han.
Robert Malmgren tror att det är viktigt för svenska finansföretag att våga vara självkritiska och granska och ifrågasätta sina säkerhetssystem.
– Vi ska nog inte vara högmodiga och tro att vi är mycket bättre än andra, särskilt mindre utvecklade länder. Det har skett många cyberattacker i USA, en nation som vi ofta anser ligga före oss i utvecklingskurvor för teknisk utveckling och högtekniska brott, säger han.
Hur arbetar då svenska banker och finansiella företag med cybersäkerhet? Det är svårt att få en heltäckande och konkret beskrivning av området, men i Riksbankens Finansiell stabilitetsrapport 2016:1 presenteras åtminstone en generell bild. Enligt två enkätundersökningar som Riksbanken har genomfört framkommer att banker och andra finansiella företag har vidtagit en rad åtgärder. Bland annat har de installerat brandväggar och utför regelbundna kontroller genom att analysera transaktioner för att förebygga, upptäcka och åtgärda hot. Rutiner har också införts för att kunna återstarta verksamheten efter angrepp. Men enkätundersökningen pekar också på en del förbättringspunkter. Deltagarna ser ett behov av att bättre förankra it-säkerhetsarbetet i samtliga delar av organisationen, från affärsverksamhet till ledning och styrelse. Värt att ha i åtanke är också att enkätundersökningarna gjordes på en övergripande nivå med syftet att kartlägga de finansiella aktörernas arbete med cyberhot. För att bedöma den faktiska förmågan att stå emot attacker måste det genomföras mer konkreta tester, berättar Erik Lenntorp, enhetschef för finansiell infrastruktur på Riksbanken.
– Vi lyfter upp cybersäkerhetsfrågan i vår rapport för att vi ser cyberhoten som en potentiellt allvarlig risk mot den finansiella stabiliteten. Hoten förändras över tid och därför är det viktigt att också motståndskraften utvecklas, säger han.
Majoriteten av deltagarna i undersökningen ser cyberattacker som en allt större utmaning och efterlyser mer samverkan och informationsutbyte. Det finns i dag ett antal samverkansforum där branschaktörer kan utbyta information och praktiska erfarenheter kring cyberhot. Ett samverkansforum för informationsutbyte riktat mot finanssektorn är Fidi Finans under ledning av Myndigheten för samhällsskydd och beredskap. Ett annat forum är FSPOS (Finansiella Sektorns Privat‐Offentliga Samverkan), där både myndigheter och privata aktörer deltar. Däremot finns i dag inget samverkansforum som inriktar sig specifikt på cybersäkerhetsfrågor.
– Vi ser att det behövs mer informationsutbyte på alla nivåer i organisationerna, från den tekniska till den strategiska nivån, säger Erik Lenntorp.
Mikael Brejcha, huvudarkitekt för säkerhetsområdet på Swedbank, berättar att banken ständigt ökar den personalstyrka som arbetar med informationssäkerhet, dels till följd av digitaliseringen i samhället, dels till följd av de ökande näthoten. De har också infört olika handlingsplaner för cybersäkerhet, bland annat när det gäller bluffmejl. Om en anställd eller en kund får ett spear phishing-mejl kan detta skickas vidare till en särskild e-postadress, varefter mejlet analyseras och avsändaradressen stängs ner.
– Hotbilden ökar hela tiden. Systemen som var tillräckligt bra för att skydda oss för fem år sedan är inte tillräckligt bra i dag, och det som är tillräckligt bra i dag kommer inte att vara det om fem år, säger Mikael Brejcha och tillägger:
– Om man till exempel tittar på Swiftbedrägerierna som har skett runt om i världen ser man dels en hög teknisk sofistikeringsgrad, dels en förmåga att tvätta stora summor pengar. Det handlar om en sammansmältning av teknisk och ”traditionell” kriminell kompetens.
För att möta det ökande hotet gällande exempelvis phishing har vi förutom olika tekniska lösningar utbildat våra anställda.
Susanne Öhrn, it-säkerhetschef på Skandia, berättar att också de har infört handlingsplaner för cybersäkerhet.
– För att möta det ökande hotet gällande exempelvis phishing har vi förutom olika tekniska lösningar utbildat våra anställda och använder olika kommunikationskanaler för att påminna och skicka ut varningar. I samband med deklarationen i våras hade vi till exempel ett phishingmejl som påstods komma från Skatteverket. Då var vi snabba med att lägga ut information om detta på intranätet för att underrätta personalen. Vi har även specifika mejllådor dit misstänkt e-post kan skickas. Vi försöker hela tiden ha en hög beredskap och vara vaksamma, säger hon.
Erik Blomberg, informationssäkerhetschef på Handelsbanken, berättar att de arbetar mycket med att höja medvetenheten hos de anställda rörande it-säkerhet.
– I takt med att hotbilden har blivit mer sofistikerad och intensifierad har det blivit viktigare att nå ut till våra anställda och till kunderna. Det räcker inte längre med att skriva en årsrekommendation, vi måste ständigt uppdatera och informera.