Det moderne bankran NOKAS metoden har blitt gammeldags Christian Meyer Seniorrådgiver Norsk senter for informasjonssikring Bevisstgjør om trusler Opplyser om tiltak Påvirker til gode holdninger «Dataverdens Trygg Trafikk» Vår visjon er at informasjonssikkerhet skal bli en naturlig del av hverdagen 1
NOKAS NORDEA 57 millioner 89 millioner 2
Nordea svindelen Hvordan var det mulig? Offentlighetsloven På godt og vondt Hvem er rikest i landet her? Ansettelsesrutiner Innleide ressurser Innsideproblematikk Enkel pengeoverføring Dokumentasjon/kontroll Autentisering Tilgangskontroll 3
Truslene Truslene Virus har vi lært å beskytte oss mot - omsider Antivirus Antispam Brannmur Trojanere skreddersys nå for formålet (e.g. SpyEye) Sesjonsbaserte angrep Drive by malware INFORMASJONEN ER VERDIEN DIN! 4
Informasjonsinnbrudd Trenden Spionene kommer ikke på besøk lenger Byttet ut med malware Dokumentmapper er byttet ut med minnepinner Enkle svindelmetoder kombinert med sosial manipulering Muldyr og stråmenn benyttes i stor grad Bakmennene blir ikke tatt Opererer ofte utenfor åstedets jurisdiksjon 5
Selger nye produkter på nett 1. Legger ut annonser for nye varer på nett til en lavere pris Har ofte ikke produktet selv på dette tidspunktet 2. Kontakter kjøper, tilbyr å først sende produktet uten betaling. Kan da sjekke at produktet er i orden før de gjennomfører betalingen. 3. Selger bestiller produktet de nettopp har solgt til full pris med de stjålne kredittkortopplysningene, og sender dette som en gavesending direkte fra nettbutikk til kjøperen. Selger mottar pakken, og er kjempefornøyd. 4. Gjennomfører ofte betalingen gjennom Western Union eller tilsvarende 5. Alle spor leder nå tilbake til den som har mottatt pakken. Social engineering!?! cause there s no patch for human stupidity 6
Prisene i gråmarkedet ~ NOK 35.000 7
ID-tyveri Prosjektets mål Definere tiltak og virkemidler som forebygger og reagerer på identitetstyverier og svindel som følge av slike tyverier. 8
Interessenter Økokrim Kripos POD Definisjoner Identitetstyveri Systematisk identitetsforedling gjennom tilegnelse, besittelse, overføring, reproduksjon eller annen manipulering av en annens personlige informasjon med det formål å begå gjentatt identitetssvindel for selv å oppnå fordeler eller å utsette andre for ulemper vil være å regne som identitetstyveri.¹ Innhøstingsfasen Identitetssvindel Ervervelse av penger, varer, tjenester og andre fordeler eller unngåelse av forpliktelser gjennom bruk av falsk identitet Svindelfasen Svindelfasen Svindelfasen 9
Mer enn skimming Kilde: Sproule 2007, CIPPIC, CA Statistikk ID-tyveri 10
2009 439 saker Økning med 95,98% ift. 2008 Uttak med falsk ID i BIB og PIB: øker 67,53% Per 3. kvartal 2010 284 saker Angrepssum: 11,9 MNOK Bruttotap: 4,5MNOK Kort borte i posten Økte 30,28% i 2009 Øker 5,11 % i 1. kvartal 2010. Går ned 11,8 % i 2. kvartal 2010 Likt i 3.kvartal 2010 som 2009 Ant. abbonementer med falsk ID: 2008: 1 361 2009: 1 395 2010: 1 073 Tap pr. år: 8 MNOK 11
Omfanget i Norge totalt Intervjuene har blitt gjennomført via TNS-Gallups Catiavdeling. (telefonintervju) Spørsmålene har blitt stilt til et representativt utvalg på 2000 respondenter. Definisjonen som ble brukt er denne: Identitetskrenkelse er uberettiget bruk av både stjålet og fiktiv identitet, med forsett om å oppnå en økonomisk vinning for seg eller andre, eller å påføre tap eller ulempe for andre. Har du I LØPET AV DE SISTE 2 ÅRENE blitt utsatt for at noen andre har brukt din identitet til å begå slike straffbare handlinger? Andel JA: 3,1 % Vi dekket undersøkelsen Sikkerhetskultur 03.03.2011 12
Opplæring og kommunikasjon Endre atferd Kunnskap = atferdsendring Ikke bare!!! Mennesket er historiens svakeste ledd i samspillet med teknologien 13
Over 75 000 fullførte besvarelser 14
Hvem samhandler vi med? 15
ID-verifisering Er ID-dokumentet gyldig i bruk? Felles sperretjeneste ID-svindel = etterspørre kreditt i offerets navn. Sperre mot kreditt - effektivt middel I dag må du som ID-tyverioffer kontakte hvert eneste selskap Mål: Benytte eksisterende infrastruktur til autentisering og lagre oversikten over sperringer i én felles database 16
Selvtest for næringslivet Mål: Bevisstgjøre næringslivet om personopplysninger og utfordringer/tiltak knyttet til ID-tyveri Målgruppe Alle virksomheter som håndterer personopplysninger, sekundært bransjeforeninger. Selvtest for næringslivet 2 Deles opp i faser: ID-dokumenters liv i en virksomhet. Autentisering Datafangst Systematisering/supplering Forvaltning/klassifisering Beredskap/risikovurdering Samhandling Avhending Hver fase vil være 3-delt 1. Hvilke trusler finnes? 2. Hva skjer hvis en ikke beskytter seg godt nok? 3. Hvordan kan næringslivet beskytte seg? 17
Informasjonen er verdien din Ta godt vare på den! Christian Meyer Tlf. 92 44 16 95 christian.meyer@norsis.no 15. -16. mars, Lillehammer 18