Av Erik Stol Øyan
Cyberangrep er blitt en fast del av nyhetsbildet, men hva er det egentlig som motiverer cyberkriminelle hackere til å angripe virksomheter? I denne artikkelen går jeg nærmere inn på de fire hovedområdene som driver dem: penger, ideologi, kompromittering, og ego. Ved å forstå disse motivasjonsfaktorene får vi både en bedre innsikt i hvorfor angrepene skjer, men også like viktig: hvordan vi kan forebygge dem.
MICE-modellen
MICE er en modell som forklarer de fire primære motivasjonene som driver individer til å begå cyberkriminalitet. Forkortelsen står for:
Money (penger)
Ideology (ideologi)
Coercion (tvang)
Ego
Disse kategoriene representerer ulike psykologiske og sosiale drivkrefter bak cyberangrep. Money handler om økonomisk vinning, Ideology refererer til politiske eller religiøse overbevisninger, Coercion innebærer at noen tvinges til å handle mot sin vilje, og Ego omfatter behovet for personlig anerkjennelse eller bekreftelse. MICE gir et rammeverk for å forstå de komplekse motivasjonene bak digitale angrep.
Eksempler på cyberangrep som faller inn under hver kategori i MICE-modellen er ransomware-angrep (penger/finansielt motivert), hacktivisme (ideologi), utpressing og innsidetrussel (tvang), og skryteangrep (ego). La oss se nærmere på noen eksempler fra virkeligheten.
Money: ransomware-angrepet mot Norsk Hydro
Et kjent norsk eksempel på et ransomware-angrep er angrepet mot Norsk Hydro i mars 2019. Selskapet ble rammet av et omfattende ransomware-angrep utført med skadevaren LockerGoga, som lammet store deler av selskapets IT-systemer på tvers av flere land. Angrepet førte til at produksjonen i flere av Hydros anlegg måtte stanses, og selskapet gikk midlertidig over til manuelle rutiner.
Hydro valgte å ikke betale løsepenger til angriperne og jobbet i stedet med å gjenopprette systemene på egen hånd. Angrepet påførte Hydro store kostnader, med estimater på rundt 800 millioner norske kroner i tap. Til tross for de økonomiske og operasjonelle utfordringene valgte selskapet å være svært åpen om hendelsen og satte et eksempel for andre ved å ikke la seg presse av angriperne. For andre virksomheter er ikke dette nødvendigvis et alternativ, og en nylig rapport fra sikkerhetsfirmaet ZScaler identifiserte en rekordstor utbetaling på 75 millioner dollar (denne hendelsen er nevnt i Semaphore sitt månedlige nyhetsbrev som du kan lese her: Nyhetsbrev cybersikkerhet august 2024 | LinkedIn).
Ideology: cyberangrepene mot Estland
I 2007 besluttet den estiske regjeringen å flytte et sovjetisk krigsminnesmerke fra sentrum av Tallinn. Resultatet av denne avgjørelsen var en bølge av cyberangrep som varte i ukesvis, og blant annet rammet betalings-, kommunikasjons-, og medietjenester over hele landet.
Angrepene mot Estland blir ofte omtalt som det første kjente eksempelet på cyberkrigføring rettet mot en nasjon, der digitale angrep ble brukt som et verktøy for politisk press og destabilisering. De førte til betydelige forstyrrelser i Estland og satte cyberforsvar høyt på agendaen i NATO og EU, noe som senere inspirerte etableringen av NATO Cooperative Cyber Defence Centre of Excellence i Tallinn.
Coercion: Sony Pictures
i 2014 hadde Sony Pictures planlagt å slippe filmen The Interview der handlingen portretterer et attentat på Nord-Koreas leder Kim Jong-Un. På bakgrunn av dette bestemte den cyberkriminelle gruppen Guardians of Peace (GoP) å gjennomføre et cyberangrep mot Sony, der de tilslutt fikk tak i store mengder sensitiv informasjon som konfidensielle e-poster, uferdige filmmanuskripter, lønnsinformasjon, og andre sensitive bedriftsdata. De truet deretter med å lekke disse dataene, samt utføre fysiske angrep dersom filmen ikke ble trukket tilbake fra kinoene.
Disse truslene skapte frykt, og flere store amerikanske kinokjeder bestemte seg for ikke å vise The Interview. På grunn av dette trakk Sony først filmen fra bred kinodistribusjon, noe som skapte kontroverser og førte til diskusjoner om ytringsfrihet og press fra utenlandske aktører.
Til slutt, etter kritikk for å ha gitt etter for truslene, besluttet Sony å distribuere filmen i et begrenset antall uavhengige kinoer og gjennom digitale plattformer som Google Play, YouTube Movies og Xbox Video.
Hendelsen viser allikevel hvordan cyberangrep kan brukes for å tvinge virksomheter til å handle på spesifikke måter.
Ego: datainnbrudd mot Bergen kommune
I 2019 skapte en norsk tenåring overskrifter etter å ha gjennomført gjentatte datainnbrudd mot Bergen kommune. 18-åringen klarte å bryte seg inn i kommunens IT-systemer flere ganger ved å utnytte sårbarheter, og han fikk tilgang til store mengder sensitiv informasjon, inkludert personopplysninger om både ansatte og innbyggere.
Angrepene førte til at Bergen kommune måtte stenge flere av sine IT-systemer, noe som påvirket kommunens drift betydelig og tvang kommunen til å gjennomgå sine cybersikkerhetsrutiner.
Dette er et typisk eksempel på et ego-motivert angrep, der hackeren ikke var ute etter økonomisk vinning eller politiske mål, men var drevet av et ønske om å utfordre seg selv og oppnå anerkjennelse for sine tekniske ferdigheter.
Hva bør du gjøre?
Det er flere sikkerhetstiltak som kan og bør iverksettes for å motvirke denne typen angrep, men på overordnet nivå anbefaler jeg alltid å tenke helhetlig: personer, prosesser og teknologi. Alle tre må hensyntas om du skal klare å bygge tilstrekkelig motstandsdyktighet i din virksomhet.
Når det gjelder "personer"-delen er det snakk om sikkerhetstrening og bygging av god sikkerhetskultur i virksomheten din. Dette innebærer å gjøre ansatte bevisste på trusler som phishing, sosial manipulering og hvordan de kan bidra til å beskytte virksomheten gjennom sikker atferd og rapportering av mistenkelige hendelser. En robust sikkerhetskultur hjelper med å gjøre alle til aktive deltakere i sikkerheten.
På prosessdelen er det snakk om å etablere prosesser som binder sammen mennesker og teknologi, slik som prosesser for identitets- og tilgangsstyring, hendelseshåndtering, sårbarhetshåndtering, sikkerhetskopiering, og så videre. Disse prosessene må være godt definerte og regelmessig revideres for å sikre at de er effektive. De sørger for at teknologien fungerer sømløst i samarbeid med menneskelige ressurser, og at sikkerhetsprosedyrer følges systematisk for å redusere risikoen for angrep og tap av data.
Til slutt har vi teknologi, slik som programvare for brannmurer, inntrengingsdeteksjonssystemer (IDS/IPS), multifaktorautentisering, kryptering, og sikkerhetsinformasjon og hendelseshåndtering (SIEM). Disse teknologiene fungerer som den tekniske ryggraden i en sikkerhetsstrategi, og bidrar til å forhindre, oppdage og reagere på angrep. De bør regelmessig oppdateres og testes for å sikre at de er oppdatert med de nyeste truslene og sårbarhetene.
Ved å kombinere en personsentrert tilnærming som vektlegger opplæring og sikkerhetskultur, sterke prosesser som standardiserer respons og risikohåndtering, og avansert teknologi som forhindrer og overvåker angrep, kan virksomheter styrke sin motstandsdyktighet mot cybertrusler. Dette helhetlige rammeverket reduserer sannsynligheten for vellykkede angrep og øker organisasjonens evne til å håndtere sikkerhetshendelser når de oppstår.
Comments