Passordknekkere, løsepengevirus og annen skadevare er ikke lenger forbeholdt teknisk kompetente hackere. Man kan nå kjøpe skadevare på en rekke stadig mer brukervennlige nettsteder. Aftenpostens søk både på det åpne og det mørke nettet viser at prisene er lave.
Det siste året har det i snitt vært 750 tjenestenektangrep (DDoS, se faktaboks) i måneden mot Telenors nett og kunder i Norge, Sverige og Danmark. For bare noen tiere kan man kjøpe slik skadevare, viser Aftenpostens undersøkelser.
Les også: Kriminelle skal ha stått bak tusenvis av dataangrep i Sverige
Et dataangrep kan også kjøpes uten at man laster ned et eneste program.
– Du trenger ikke lenger være ekspert for å utføre et dataangrep. Du kan rett og slett betale noen for å utføre angrepet, sier seksjonsleder Lone Charlotte Pettersen ved Kripos.
Politiet: – Lett tilgjengelig
Spredningen av skadevare og verktøy for datakriminalitet vurderes som et økende problem for politiet i den ferske IKT-trusselvurderingen fra politidirektoratet.
– En av de største utfordringene knyttet til datakriminalitet er hvor lett tilgjengelig det er, forteller Pettersen, som jobber som leder for Seksjon for internettrelatert etterforskningsstøtte ved Kripos.
– Du kan når som helst kjøpe en oppdatert versjon av en eller annen skadevare på nettet, forklarer hun.
Terskelen er senket
Nasjonal sikkerhetsmyndighet (NSM) har ansvar for å varsle alvorlige dataangrep og andre IKT-sikkerhetshendelser i Norge. De ser en tydelig utvikling:
I fjor registrerte NSM en økning på 10 prosent i antall dataangrep. I år ser de en tilsvarende utvikling.
Rundt 11 prosent av datamaskinene i Norge var infisert av skadevare i fjerde kvartal 2015, sammenlignet med 7 prosent året før.
Hans Christian Pretorius, avdelingsdirektør for avdeling for IKT-sikkerhet hos NSM, sier terskelen for å gå til innkjøp av skadevare eller dataangrep er lavere enn tidligere.
Les også: Nektet å betale digitale løsepenger til hackere
– Vi ser ofte personer som kjøper skadevare på det mørke nettet. Det er ikke vanskelig å finne. For noen dollar kan man bestille et dataangrep rettet mot spesifikke personer.
Et «våpenkappløp»
Når myndighetene eller et selskap oppdager et hull i sikkerheten, forsøker man så raskt som mulig å tette hullet. Men kriminelle aktører finner raskt nye hull. Dette er i praksis et «våpenkappløp».
– Så lenge det er pengene som rår, så vil de kriminelle alltid ha mer ressurser. Det sitter folk på fulltid og utvikler programvare som kan gjøre skade og selges, fortere enn vi klarer å tette hullene, sier Pettersen hos Kripos.
Pretorius hos NSM påpeker at tidsvinduet fra en leverandør finner en sårbarhet til målrettet skadevare kommer, blir stadig kortere.
Les også: – Hackere brukte amerikanske etterretningsverktøy til globalt dataangrep
Han er også bekymret over at de stadig ser at statlige aktører klarer å miste skadevare, som igjen dukker opp på markedsplasser på det mørke nettet.
– Det er snakk om skadevare av meget høy kvalitet, understreker han.
Fra topp til bunn
Politiets trusselvurdering av IKT-kriminalitet påpeker at folks evne til å «være kritiske og vurdere ekthet kan være relativt dårlig» når informasjonen kommer gjennom internett.
– Dette er et samfunnsproblem helt ned på borgernivå. Enkelte er ikke fult så kritiske til å trykke på lenker eller svare på e-poster, forklarer Pettersen til Aftenposten.
Les også: - Enkelt for hackere å påvirke stortingsvalget
– Det er i hvert fall et stort forebyggingspotensial innenfor dette feltet. Politiet har mye igjen for å få folk til å forstå hvordan man håndterer denne typen kriminalitet, legger hun til.