Hackerens beste tips til norske banker

– Ifølge FBI-rapporter tilbringer hackere i gjennomsnitt 200 dager inne i en organisasjon før de blir oppdaget, er den oppsiktsvekkende nyheten fra en scene i Oslo.

Sitatet tilhører Paula Januszkiewicz, som under Tietoevrys Financial Crime Prevention Summit på skremmende vis demonstrerte vis hvordan de kriminelle jobber i kulissene, ved å – live fra scenen – hacke seg inn i flere nettsteder og låste brukere. Med enkle angrep, som  såkalt "kerberoasting", kunne hun knekke passord og hente ut "billetter" som ga henne administrasjonsstatus på ulike plattformer.

Januszkiewicz er en etisk hacker og anerkjent cybersikkerhetsekspert. Hun er CEO for sikkerhetsselskapet CQURE, hvis spesialfelt er penetrasjonstesting, sikkerhetsbevissthet og avanserte cybersikkerhetsløsninger. Hun er i tillegg regiondirektør for Microsoft og en av selskapets 'most valuable professionals'.

Rådet fra Januskiewicz var tydelig: 

– Selskaper må øke sine ferdigheter for å stanse trusler, slår hun fast.

Er digitalisering trygt? 

– Tillit er farlig i cybersikkerhet, sa Januszkiewicz fra scenen, og mente at organisasjoner bør operere ut fra en filosofi om "assumed breach" – det vil si å anta at systemet allerede er kompromittert og handle deretter.

I tillegg viste hun live fra scenen hvor skremmende lett det er å gjøre såkalt spoofing av telefonsamtaler, og hvordan en angriper enkelt kan imitere en persons stemme for å lure ofre, ved hjelp av såkalte "deepfakes".

– I den norske bank- og finansverdenen er vi veldig stolte av å ligge langt fremme digitalt – vi har en av de mest digitaliserte bankstrukturene i verden. Er det en fordel eller en ulempe når det gjelder svindel og hacking?

– Digitalisering kan så klart innebære visse risikoer, men generelt sett er det en fordel, først og fremst på grunn av vekst. Hvis vi implementerer teknologien på en riktig måte – tester applikasjoner, løsninger og infrastruktur regelmessig og grundig – hvorfor ikke?, svarer Januszkiewicz til BankShift.

Hun presiserer at det selvfølgelig er viktig for bankene å henge med på den teknologiske utviklingen, men at dette må gjøres samtidig som at bankene sørger for at cybersikkerheten ivaretas på en god måte.

Norge langt fremme

Januszkiewicz bekrefter at hun har jobbet med norske norske banker eller finansinstitusjoner, selv om hun ikke kan si hvilke.

– Hvor flinke er de norske bankene til å beskytte seg?

– Generelt sett er bankene flinke. Når det er penger involvert er det mye som står på spill. Og det handler ikke bare om kundenes verdier, men det er en enorm risiko for omdømmetap. Cybersikkerhet påvirker motstandsdyktigheten til forretninger, og det er en sterk nok motivasjon i seg selv.

Hun sier at hennes erfaring er at Norge alltid har ligget langt fremme teknologisk. 

– For eksempel, da Windows 11 ble lansert, så vi at mange norske selskaper allerede planla implementeringen fra dag én og rullet det ut raskt for å være "med". Jeg setter pris på den bevisstheten rundt den digitale utviklingen, sier hun.

Tre råd til norske banker

Januszkiewicz forteller at hun har tre råd til norske banker.

– Først og fremst må banker balansere cybersikkerhet med brukervennlighet. Dette er den største utfordringen, sier Januszkiewicz. 

– For det andre må bankene finne de rette talentene som kan teste løsningene deres på en ordentlig måte. Det er én ting å krysse av boksene og si "OK, da er vi compliant", men sikkerhetsløsningene må virkelig teses, og testprosessen må være gjennomtenkt og grundig, forteller hun.

Det tredje punktet gjelder opplæring av ansatte i svindelforsøk. 

… Bankansatte er ofte målrettede ofre for mer sofistikerte angrep, og de må være forberedt på hvordan de håndterer dem. Kontinuerlig bevisstgjøring er nødvendig. Og her snakker jeg ikke bare om "soft skills", men også om riktig IT-personell.