Løsepengevirus har kostet norske virksomheter nærmere én milliard kroner. Samtidig øker antallet angrep kraftig. Bare i 2021 ble minst 22 virksomheter rammet.
En rekke store norske selskaper ble i desember offer for digitale utpressere som stengte ned deres IT-systemer. Mediekonsernet Amedia måtte stoppe trykkingen av papiraviser, Nortura kunne ikke ta imot dyr til slakting, og ansatte i Nordic Choice var nødt til å låse gjestene inn og ut av hotellrommet.
NRK har identifisert minst 29 hendelser der kriminelle har forsøkt å stenge ned en norsk virksomhets IT-systemer i løpet av de tre siste årene.
Disse virksomhetene beskriver samlede tap på nærmere én milliard kroner. Men det er sannsynligvis snakk om langt høyere summer, ettersom det er vanskelig å beregne de totale kostnadene ved et dataangrep.
Mange dataangrep blir heller aldri kjent for offentligheten.
– Vi tror det betales løsepenger i langt større grad enn det vi liker å tro.
Det sier Odin Johannessen som leder Næringslivets sikkerhetsråd og tidligere var øverste sjef for Hæren.
Betaler en virksomhet løsepengekravet unngår de typisk å bli omtalt på den kriminelle grupperingens informasjonsside. Det reduserer sannsynligheten for at angrepet blir kjent.
Eksplosiv økning
Av de 29 hendelsene NRK har identifisert de tre siste årene, skjedde hele 22 forsøk i 2021.
Det er likevel dataangrepet mot Hydro i 2019 som til nå har kostet mest. Selskapet regner selv å ha tapt omtrent 800 millioner kroner som følge av hendelsen.
Hydro ble samme år tildelt en pris for sin åpne kommunikasjon om hva som hadde skjedd og hvilke konsekvenser det fikk for selskapet.
Andre selskaper oppgir at de har hatt 157 millioner kroner i utgifter som følge av et digital utpressingsforsøk.
AKVA Group, som leverer utstyr til fiskeoppdrett, har estimert sine kostnader til rundt 50 millioner kroner. Østre Toten kommune anslår i dag sine direkte utgifter etter dataangrepet i fjor til 33,2 millioner. De reelle kostnadene er langt høyere. I tillegg har Datatilsynet varslet at de vil gi kommunen fire millioner i bot.
I desember ble tre store norske selskaper rammet av slike angrep som påvirket driften. Hva disse har kostet er det for tidlig å si noe om, forteller Nortura og Amedia til NRK.
Dataangrepet mot Nordic Choice har kostet minst 10 millioner kroner, ifølge et tidlig anslag delt med NRK. Dette til tross for at de ikke måtte stenge noen hoteller og svært raskt kom seg tilbake til et akseptabelt driftsnivå, ifølge Eirik Bogsnes som leder Choice-selskapet Hotel Services.
Det Molde-baserte selskapet Glamox oppgir at de ble utsatt for et dataangrep, men at det ble avverget.
– Kostnadene ved angrepet er derfor begrenset, sier administrerende direktør Rune Marthinussen.
Norske ofre for digitale utpressere
| Selskap | Tidspunkt |
|---|---|
| Hydro | mars 2019 |
| Addtech | november 2019 |
| Vard Group | juni 2020 |
| P7 Kristen Riksradio | juli 2020 |
| Sopra Steria | oktober 2020 |
| Synsam | oktober 2020 |
| Hurtigruten | desember 2020 |
| Østre Toten kommune | januar 2021 |
| Akva Group | januar 2021 |
| Tietoevry | februar 2021 |
| Nordlo Group AB | april 2021 |
| Habi | april 2021 |
| Volue | mai 2021 |
| Sullestad | mai 2021 |
| Mellomstor bedrift AS | mai 2021 |
| Liten bedrift AS | mai 2021 |
| Axiell Norge AS | juni 2021 |
| Techotel Norge AS | juni 2021 |
| Inocean | juli 2021 |
| GK | juli 2021 |
| Radio Nordkapp | september 2021 |
| Norsvin | november 2021 |
| Glamox | november 2021 |
| Nortura | desember 2021 |
| Amedia | desember 2021 |
| Nordic Choice | desember 2021 |
| CompuGroupMedical | desember 2021 |
| Eikås Sagbruk | desember 2021 |
| Leirvik | desember 2021 |
Oversikten er basert på søk i mediedatabasen Retriever, målrettede søk på Google, Norwegian Data Breach Tracker og kilder i IT-sikkerhetsmiljøet.
NRK har unnlatt å navngi to virksomheter som tidligere ikke har blitt omtalt i media. Virksomhetene er små og mener det kan få store negative konsekvenser for dem om det blir kjent at de ble ofre for digitale utpressere. NRK har heller ikke inkludert hendelser som kan være forsøk på digital utpressing, men som ikke har blitt bekreftet av virksomheten selv eller blitt publisert på en av de kriminelle grupperingenes nettsider.
Kjenner du til flere hendelser? Tips oss på martin.gundersen@nrk.no eller +47 47756515 (også Signal).
Vanskelig å regne på kostnader
Flere av virksomhetene NRK har kontaktet understreker at de kun oppgir direkte kostnader ettersom det er svært vanskelig å regne på de totale kostnadene av et slikt angrep.
Direkte kostnader er gjerne innleie av ekspertise, fornyelse av IT-systemer og tiden egne ansatte har måttet bruke på håndtering av angrepene.
– Jeg unner ingen å bli utsatt for dette, sier Reidar Berthelsen i Inocean til NRK. Selskapet ble rammet av et løsepengevirus i juli. Han anslår at de i hvert fall har hatt direkte utgifter på 2,5 millioner kroner.
Et lignende angrep på samme tid kostet entreprenørselskapet GK nærmere 10 millioner, til tross for at det i liten grad påvirket den forretningsmessige virksomheten deres og at ingen av kundene ble skadelidende.
– Kostnadene er knyttet til konsulenter, ekstra interntid for vår IT-avdeling og andre nøkkelressurser som måtte håndtere angrepet, gjenopprette data og igangsette systemer, sier Guro Steine i GK til NRK.
Store mørketall
– Løsepengevirus har eksplodert i omfang, sier Vidar Sandland i Norsk senter for informasjonssikring (Norsis).
Han forteller at det også finnes virksomheter som ikke forteller offentlig om at de har blitt utsatt for et løsepengevirus.
– Jeg vet det er mørketall fordi jeg selv har håndtert saker som ikke har vært omtalt i media, fortsetter Sandland.
Mørketallene bekymrer Næringslivets sikkerhetsråd (NSR), som hvert år kartlegger den digitale sikkerhetstilstanden i Norge.
De mener man vet for lite om hvordan løsepengevirus rammer norske bedrifter, men understreker at alle kan rammes uavhengig av størrelse og omfanget av sikkerhetsarbeid. I år utvider derfor NSR sin undersøkelse betraktelig. Digital utpressing vies langt mer oppmerksomhet enn tidligere.
Odin Johannessen, som leder NSR, mener at de ikke finnes gode norske estimater på hva løsepengevirus koster. Han henviser til at EUs cybersikkerhetsbyrå har anslått at over 10 milliarder euro ville bli betalt i løsepenger i 2019 alene.
En undersøkelse blant 5000 IT-ansatte i 30 land, gjennomført av det britiske selskapet Sophos, viser en økning i andelen som betaler utpresserne mellom 2020 og 2021.
NSR ønsker å øke forståelsen for løsepengevirus og at å betale krav fra utpressere bidrar til kriminelle nettverks fortsatte eksistens.
– Hvis man blir uthengt, vil mange kanskje fort foretrekke løsepenger fordi da trenger ingen å få vite noe, forteller Johannessen.
Han ønsker derfor et oppgjør med en «name and shame»-kultur hvor ofre for IT-angrep blir uthengt i etterkant.
– For å få til det er vi avhengig av at virksomhetene er trygge når de åpner seg for andre virksomheter i forhold til både gode, mindre gode og dårlige ting de har gjort, og som har ledet til den aktuelle hendelsen.
Han mener bedrifter må lære av hverandre for å bli bedre og er spesielt kritisk til medieoppslag om hva selskapene burde gjort annerledes og hvorfor akkurat de ble rammet.
– En «name and shame»-kultur dreper effektivt enhver lyst til å stå frem og dele erfaringer, sier Johannessen.