av Roar Thon

I 1999 ble det begått 73 ran mot postfilialer, banker og verditransporter. I 2008 var tallet 4. I 2016 begås det fortsatt ran i Norge, men nå er det gullsmedbutikker, urmakere, bensinstasjoner, kiosker og enkeltpersoner som ranes. Selv disse ranskategoriene viser en gradvis nedgang år for år

Det er mange årsaker til dette. Finanssektoren har over mange år arbeidet målrettet mot ranstiltak. Det ble innført tekniske sikringstiltak og ansatte ble gitt mer kunnskap, bare for å nevne noe. I tillegg til et målrettet arbeid fra politiet hvor sjansene for å bli tatt også økte, så gikk antallet ran ned. Det ble kort og godt mye vanskeligere å lykkes med denne type kriminalitet. Reaksjonen hos de som var villige til å begå slike handlinger, var å bruke sine ressurser på mykere mål. De gikk til gullsmedbutikker, urmakere, bensinstasjoner og kiosker m.m. Selv om utbytte av å rane bensinstasjoner kanskje var mindre, var risikoen større for å lykkes og komme unna med det. I dag er også det blitt vanskeligere. Mindre kontanter i omløp og bedre sikring av andre verdigjenstander er noen av årsakene til dette.

Men kjeltringene har ikke blitt borte. De er bare blitt annerledes. De er blitt flere, dyktigere og trenger ikke lenger å fysisk være tilstede i et forretningsbygg for å si til noen bak skranken; Dette er et ran!

Om vi skal kalle ransstatistikken i Norge for «hyggelig» lesning, er det som skjer digitalt, ikke hyggelig i det hele tatt. Det begås digital utpressing, ran, tyveri og underslag hver eneste dag i Norge. Statistikkene over hvor utbredt dette er, eksisterer etter min mening, foreløpig ikke i en troverdig form. En av årsakene er det som sannsynligvis er en betydelig underrapportering/taushet om hendelser og mange som ikke anmelder forholdet til politiet. Det kan også virke som om det er enklere å være åpen om uønskede digitale hendelser når man er en større norsk virksomhet som Telenor, DNB og Nammo for å nevne noen. Dette er organisasjoner som har betydelig fokus på sikkerhet. Det er kanskje verre å stå frem for virksomheter som er flaue over at dette ikke har vært tenkt på, før det skjedde?  Det kan selvsagt være andre årsaker til manglende åpenhet, men vi trenger mer åpenhet fra både private og offentlige virksomheter.

Til tross for vår evne og vilje til å digitalisere samfunnet, har vi kanskje litt igjen før vi når digital modenhetsalder. Kanskje oppfatter vi fortsatt mye av det som skjer digitalt som noe abstrakt. Noe vi ikke fullt ut forstår, før det er for sent!

Men ute i den store verden, er det noen tegn til at det også digitalt er i ferd med å skje en utvikling ala post- og bankran.

I begynnelsen av juni meldte Loyds Banking Group i Storbritannia at de så en nedgang på mellom 80-90% i digitale angrepsforsøk på å stjele bankenes verdier. De sier selv at de har brukt store ressurser på å beskytte seg og sine verdier og at denne satsningen nå kan se ut til å bære frukter.  Loyds er overbevist om at de kriminelle nå har flyttet seg til andre sektorer og bransjer.

Denne utviklingen er kanskje logisk og den kan muligens være positivt for noen, men i enda større grad en negativ utfordring for andre. Det kan se ut som om digitale kriminelle beveger seg nedover i næringskjeden.  Selskaper som ikke nødvendigvis har råd til eller prioritert å ha dedikerte sikkerhetsressurser som for eksempel en CSO (Chief Security Office) er nå noen av de enklere målene påstår William Stewart – EVP hos Booz Allen Hamilton i en artikkel i Fortune

I Norge merker vi nok ikke dette med full kraft enda. Men finansbransjen arbeider hardt med sine sikkerhetstiltak og gjør det gradvis vanskeligere å lykkes for de kriminelle og hva gjør de kriminelle da?

Det er viktig å forstå at de som bedriver digital kriminalitet, om man kaller de for hackere eller annet, beveger seg etter helt vanlige forretningsmessige prinsipper hvor utgifter, inntekter og akseptabel risiko er nøkkelord. Hvorfor skal man bruke mye ressurser på å forsøke seg mot en større virksomhet hvor man ikke er garantert i å lykkes, mens man kan spaserer inn til en rekke andre uten store kostnader, risiko og med stor sjanse for å lykkes.

Hackernes uønskede aktiviteter må motarbeides på en rekke områder på samme måte som ble gjort når det gjaldt fysiske ran, men samtidig er det viktig å forstå at enkelte faktorer ikke er de samme.

Hackernes påvirkes ikke av at bedrifter ikke lenger oppbevarer kontanter. Verdiene de går etter er digitale. De bedriver kriminell aktivitet som ikke er et lokalt eller nasjonalt problem. Hackeren sitter som oftest bak en kontorstol et helt annet sted i verden. Skjult bak teknologiske, juridiske og sågar politiske hindre er det heller ikke lett å straffeforfølge dem. Hvordan dette bør forbedres er et blogginnlegg i seg selv.

Det å rane et annet menneske med våpen i hånd krever noe av den som gjør det. Kall det hensynsløshet eller noe annet som etisk og moralsk begrenser antall mennesker som var/er i stand til å begå væpnede ran. Å begå et digitalt ran gjøres fra distanse og krever sannsynligvis ikke den samme hensynsløsheten fra hackeren som begår ranet. For en hacker kan handlingene som begås digitalt bli en teknologisk abstrakt handling. Man forstår ikke, ser eller opplever at man rammer andre mennesker.

Kompetansen til å begå slike handlinger må også være tilstede, men foreløpig kan det se ut som det er den «onde siden» som utviser mest kreativitet og kunnskap om hvordan utnytte situasjonen til sitt formål.

Norske små og mellomstore virksomheter med begrensede ressurser og kompetanse til å sikre seg selv, må være forberedt på at de kanskje i enda større grad vil bli utsatt for uønskede digitale handlinger. Teknologiske, prosessuelle og menneskelige sikkerhetstiltak må kontinuerlig tilpasses risiko- og trusselbildet. Hvorvidt virksomhetene selv skal ha internt kompetanse til å løse slike utfordringer er ikke et enkelt spørsmål. Noen vil rett og slett ikke ha råd til å ha slikt internt. Da er det viktig å finne seg samarbeidspartnere og støttespillere som kan bidra. Organisasjoner som Næringslivets sikkerhetsråd (NSR) og Norsk senter for informasjonssikring (NorSIS) gir viktige råd og kan vise videre til de som kan hjelpe. NSMs initiativ til en godkjenningsordning for sikkerhetsleverandører vil forhåpentligvis bidra til at det blir enklere å skaffe seg god og riktig bistand. 

Flere norske bedrifter har uttalt at de ikke konkurrerer på sikkerhet i egen bransje og det er bra. Bransjesamarbeid rundt denne utfordringen er viktig. Hvis ikke blir det som med vitsen om hvordan man skal unngå å bli spist av en bjørn som angriper deg?

Det gjelder bare å løpe fortere enn personen du er sammen med!

Det samme gjelder i det digitale rom, bortsett fra det er flere tusen bjørner der ute.

Det holder ikke å være nest sist, da blir du spist!