Advarer industrien mot spioner
Mange selskaper velger å holde spionasje skjult av frykt for å tape omdømme, sier sikkerhetsekspert.
Klassiske spionmetoder blir fortsatt tatt i bruk. Telefonsamtaler blir avlyttet og kontorer og hotellrom overvåket, i følgesikkerhetsekspert Kjetil Daatland.
– Møterom kan eksempelvis rammes av laser som skytes på vindu for å ta opp vibrasjoner. Disse kan omsettes til lyd med god kvalitet.
Daatland er rådgiver og seniorkonsulent i det internasjonale selskapet BDO, som har over 74.000 ansatte. De har kontorer verden over, også i Bergen.
– Trusselbildet mot bedrifter på Vestlandet er noe helt annet idag. Informasjons tyverier mye vanligere enn det de fleste er klar over, sier han.
Daatland forteller at trusselaktørene kan være profesjonelle organisasjoner på oppdrag fra myndighetene, men også amatører som jobber alene.
Motivene er mange og metodene oppfinnsomme. Digital spionasje er den vanligste formen for spionasje i dag.
– Det er som regel en mer effektiv form for spionasje enn de klassiske metodene, sier han.
Nylig ble det norske selska- pet Visma angrepet av hackere, trolig fra Kina.
– Vi ser bare toppen av isfjellet. Svært få angrep blir offentlig kjent. Mange selskaper velger å holde slike hendelser skjult av frykt for å tape omdømme, sier Daatland.
Næringslivets Sikkerhetsråd har kartlagt sikkerhetssituasjonen ho sover 1500 virksomheter i privat og offentlig sektor:
I 2018 vardevanligste sikkerhetshendelsene virus og malw are infeksjoner (21 prosent ), phishing, der aktører jakter på brukernavn, passord eller kredittkortopplysninger (1 8 prosent) og forsøk på datainnbrudd og hacking (13 prosent).
Og det finnes flere eksempler fra Vestlandet:
Skipstegninger ble stjålet fra dataserveren i en ukjent norsk bedrift. Innbruddet ble oppdaget fordi filer som var fjernet, dukket opp igjen gjentatte ganger. Kjetil Daatland mener det er grunn til å tro at det dreier seg om en bedrift på Vestlandet.
Ullstein Group ble utsatt for dataangrep av ukjente, avanserte inntrengere i 2014. De hadde vært inne i selskapets datasystemer i flere dager før angrepet ble oppdaget. Daatland mener dette trolig var et eksempel på statlig spionasje.
I fjor etterforsket PST et hackerangrep mot fylkesmennene i Norge. Lars Sponheim ville ikke kommentere saken i mediene.
– Det finnes svært mange bedrifter som forvalter store verdier på Vestlandet, og vi er nok litt naive. Naivitet er en indikator på at vi har det bra og stoler på hverandre. Men vi skal inn i røffere farvann, og mange har ikke gjort skuten sjøklar, sier han.
Bedriftene kan gå på potensielt store tap dersom de ikke forbereder seg, mener Daatland.
– De fleste som driver med digitale angrep jakter på falske utbetalinger. De som driver med industrispionasje er ute etter forretningshemmeligheter og intellektuell eiendom som strategier, prisinformasjon, ny teknologi og løsningsdesign. Dersom disse lekkes ut kan bedriftene tape i konkurransen med andre. I ytterste konsekvens gå konkurs.
Daatlands tips til bedriftene
Kartlegg sikkerheten
– Selskapene må kjenne sine egne informasjons verdier og skreddersy sikkerhetstiltak deretter, sier Daatland.
Han mener det er viktig at noen får overordnet ansvar for sikkerheten i ledelsen og at sikkerheten forankres.
– Det digitale og det fysiske sikkerhetsarbeidet må sees i sammenheng.
Vær varsom på reiser
–Vestlandsbedrifter innen fisk, offshore og petroleum, reiser gjerne mye til høyrisikoområder for spionasje og andre trusler. Når ansatte bruker PC-en og telefonen her, er avstanden ofte kort fra teleoperatørene til fremmede makters sikkerhetstjenester.
Daatland forteller at å somle bort informasjon kan føre til at bedriftene blir et mål, selv om aktørene i utgangspunktet ikke hadde tenkt å ramme dem.
– Sensitiv informasjon på avveie har en tendens til å finne sin vei til en trusselaktør. Slik informasjon kan være en ettertraktet salgsvare, sier han.
Vær varsom på seminar Men man trenger ikke reise langt for å utgjøre en sikkerhetsrisiko, ifølge Daatland. Lekkasjer kan også skje på seminar i Norge.
– Trusselaktørene kartlegger gjerne hvem som er til stede. De kan også forsøke å sosialisere seg inn. Du må gjerne mingle og være en god ambassadør for bedriften. Men vær forsiktig med å hva du sier til hvem. Nordmenn liker å skryte. Det er fort gjort å bli en ufrivillig «insider».
Pass på underleverandørene I stedet for å angripe det store moderselskapet direkte, er stadig flere angrep rettet mot underleverandører. Dere r gjerne bevissthet om sårbarheten lavere, ifølge Daatland.
–Industrispionasjehard ermed blitt aktuelt, også for bedrifters om tror de ikke er interessante for utenlandske industrispioner. Derfor er det viktig å ha kontroll på hele leverandørkjeden.
De som driver med industrispionasje er ute etter forretningshemmeligheter og intellektuell eiendom som strategier, prisinformasjon, ny teknologi og løsningsdesign.