Ekspert efter afpresning af 3: De it-kriminelle er blevet dygtigere

Der bliver fundet sårbarheder i virksomhedernes systemer hver dag, siger ekspert i it-sikkerhed.

Det er blandt andet CPR-numre, der er blevet stjålet fra 3. (Foto: Pawel Kopczynski © Scanpix)

Virksomhedernes kamp for at beskytte kundernes personoplysninger er blevet hårdere, i takt med at der er kommet flere og dygtigere it-kriminelle.

Det siger teknisk direktør Jan Kaastrup fra it-sikkerhedsfirmaet CSIS - der rådgiver blandt andet banker om it-kriminalitet - efter teleselskabet 3 har fået stjålet oplysninger om 3.600 kunder.

Gerningsmændene har forsøgt at afpresse selskabet for et uoplyst millionbeløb.

- Gennem de senere år har det vist sig, at uanset om man er en lille eller stor virksomhed, der passer godt på data, så er det i rigtig mange tilfælde lykkedes it-kriminelle at komme igennem sikkerheden, siger Jan Kaastrup, der også er rådgivende medlem af Europols Europæiske Cybercrimecenter.

Han har ikke et dybere indblik i indbruddet hos 3, men han fortæller, at den slags typisk foregår ved, at kriminelle finder sikkerhedshuller i firmaernes systemer og tiltvinger sig adgang til informationer i bagvedliggende databaser.

- I dette tilfælde var der tale om brugerdata, som hører til i den følsomme kategori af oplysninger, som man ikke vil have frem, siger Jan Kaastrup.

Han forklarer, at gerningsmændene i princippet kan få adgang til alt i de databaser, de trænger ind i, hvis de har de rigtige rettigheder.

I den konkrete sag har gerningsmændene dog kun fået adgang til oplysninger om 3.600 af teleselskabets omtrent 1,2 millioner kunder.

Det kan der ifølge it-sikkerhedseksperten være flere årsager til.

- Det kan have været en særlig kundegruppe, der har ligget i et isoleret miljø, som de har fået adgang til. Det kan også være, at 3 har indrettet sine systemer på en måde, hvor forskellige enheder er isoleret, så et indbrud ikke bliver for slemt.

Det er svært at give et bud på, hvem der står bag. Alt fra teenagere til dygtige it-kriminelle kan nemlig udføre den slags indbrud, siger Jan Kaastrup.

Han fortæller, at der ligger værktøjer på internettet, som man kan få til at lede efter sårbarheder på hjemmesider.

- Disse værktøjer kan stort set hjælpe dig hele vejen igennem, uden at du selv behøver have en masse færdigheder som it-kriminel. Det er desværre en af de ting, vi har set en stigende tendens til. Det kan dog også have være et mere sofistikeret angreb, siger han.

På baggrund af de oplysninger, der er offentliggjort om indbruddet, kan Jan Kaastrup ikke vurdere, om 3 har passet godt nok på sine kunder.

- Der findes og bliver fundet sårbarheder hver evig eneste dag i virksomheders systemer, siger han.

Med den nye persondataforordning, der er vedtaget politisk og træder i kraft næste år, bliver der strammet op på kravene til alle dem, der har med danskernes personoplysninger at gøre, påpeger Jan Kaastrup.

- Det vil blive en fordel for alle os, der er nervøse for, hvad der sker med vores data derude.

Vicepolitiinspektør Jens Møller Jensen bekræfter, at Københavns Politi efterforsker sagen. Netop af hensyn til efterforskningen ønsker politiet imidlertid ikke at komme med yderligere oplysninger.

FacebookTwitter