WannaCry-angrepet har så langt rammet virksomheter og enkeltpersoner i rundt 100 land. Ifølge Nasjonal sikkerhetsmyndighet (NSM) er minst fire norske virksomheter så langt berørt av angrepet, som er det største verden har sett til nå.

– Det blir spennende å se hvordan dette utvikler seg på mandag, når mange bedrifter og offentlige etater som ikke er aktive i helgene skal starte opp igjen, sier Sofie Nystrøm til Aftenposten.

Hun er direktør i Center for Cyber and Information Security (CCIS), et nasjonalt senter for forskning, utdanning og kompetansebygging i cyber- og informasjonssikkerhet.

– Jeg frykter at mandag kan bli en svært krevende dag for mange IT-avdelinger rundt om kring, sier Nystrøm.

Fakta: WannaCry-angrepet Fredag gjennomførte ukjente datakriminelle et av verdens hittil største dataangrep mot private og offentlige datamaskiner i nær 100 land. Det er registrert over 57.000 angrep, med Russland, Ukraina og Taiwan som hovedmål. Ofrene er blitt lokket til å åpne tilsynelatende normale eposter, som i virkeligheten har til hensikt å gi avsenderen tilgang til maskinen. Når brukeren klikker på en vedlagt fil, som for eksempel ser ut til å være en faktura, blokkeres datamaskinen. Formålet med angrepet er utpressing. Ofrene får krav om å betale fra 300 dollar og oppover for å få tilgang til datamaskinen igjen. Løsepengene skal angivelig betales i den digitale valutaen bitcoin. «Våpenet» er kalt WannaCry. Ifølge eksperter er det basert på verktøy som er stjålet fra den amerikanske etterretningstjenesten NSA. Det er i stand til å utnytte en svakhet i programvaren Windows fra Microsoft. Denne typen program omtales som ransomware, som Nasjonal sikkerhetsmyndighet oversetter til utpressingsskadevare, fordi det holder maskinen eller filer som «gissel» og krever løsepenger for at eieren skal få tilbake tilgangen. Viruset kan unngås hvis man ikke åpner vedlegg eller trykker på lenker i epostene. Men når én maskin på et nettverk er infisert, kan viruset spre seg til andre datamaskiner på samme nettverk. For å hindre å bli rammet av WannaCry-angrepet er det viktig å oppdatere med siste sikkerhetsoppdatering fra Microsoft. Minst fire norske virksomheter er berørt av angrepet, en av dem er hotellkjeden Choice. Kilder: NSM, New York Times, The Guardian, Avast

Kan ha kommet gjennom brannmur

Avdelingsdirektør for IKT-sikkerhet hos NSM, Hans Christian Pretorius, opplyser at de jobber med å kartlegge hvordan skadevaren, et såkalt ransomware eller løsepengevirus, kommer inn i datasystemet.

Foreløpig har skadevaren kommet inn via e-post, men NSM mistenker at en sårbarhet i brannmuren også kan ha blitt brukt i spredningen.

– Denne typen utpressing for at ofrene skal betale for å få tilgang til filene, er ikke noe nytt. Men hvis skadevaren har kommet inn gjennom brannmuren, som vi tror, er det noe vi ikke har sett tidligere, sier Pretorius.

Hvis skadevaren kan komme inn i et system gjennom en sårbarhet i brannmuren, trenger den ikke menneskelig kontakt, forklarer han. Foreløpig er det bare registrert en håndfull tilfeller i Norge, og ingen av de rammede virksomhetene er definert som kritisk infrastruktur.

NSM håndterer alvorlige dataangrep mot samfunnsviktige virksomheter og informasjon, og er Norges ekspertorgan for informasjons- og objektsikkerhet. I tillegg har det ansvar for å varsle om alvorlige dataangrep og andre IKT-sikkerhetshendelser.

– Et historisk angrep

– Dette er et globalt cyberangrep med veldig stor spredning, den største spredningen vi har sett. Sånn sett er det et historisk angrep. Det har rammet institusjoner og virksomheter i en rekke land, men også enkeltpersoner, sier Sofie Nystrøm i CCIS.

Også hun understreker at løsepengevirus ikke er et nytt fenomen, men legger til at omfanget av angrepet og hvor raskt sårbarheten er blitt utnyttet, er nytt.

– Denne sårbarheten i Windows’ operativsystem ligger i en protokoll som heter SMB. Microsoft ga ut en oppdatering for tre dager siden som skulle tette hullet, så de bedriftene og enkeltpersonene som har rukket å oppdatere operativsystemet har trolig klart å unngå viruset. Men sårbarheten går helt tilbake til Windows XP og gamle operativsystemer, forklarer Nystrøm.

Flere norske fotballklubber er rammet av dataangrepet. Lørdag lå bilettsalget nede på nettsidene til både Stabæk og Odd.

Mener eieren må sørge for oppdatering

Hans Christian Pretorius i NSM mener at det til syvende og sist er eieren av systemet som må sørge for ikke å bli rammet av angrepet.

– Det er klart at denne typen angrep stoppes gjennom god IKT-sikkerhet. NSM kan komme med råd og tiltak, men til slutt er det opp til eieren å sørge for at datasystemet er oppdatert, sier han.

Sofie Nystrøm mener at angrep som WannaCry er et internasjonalt kriminalitetsproblem som krever at myndigheter i ulike land samarbeider.

– Løsepengevirus har vært på radaren til Interpol og Europol over tid. De har prioritert denne type kriminalitet, men utviklingen går så fort at selv de sliter fordi de blir løpende etter, sier Nystrøm.

– Store mørketall

Hun forklarer at gjerningsmennene styrer angrepet via ulike servere i forskjellige land, for på den måten å kunne skjule sin identitet.

– Den eneste måten å få bukt med denne kriminaliteten på, er å gjøre den ulønnsom. Kripos etterforsker i snitt to til fire cyberkriminalitetssaker hvert år. Det tallet er ikke i nærheten av det reelle omfanget, det er store mørketall, sier CCIS-direktøren.