– Det er ikke uvanlig med DDoS-angrep, men det som har vært uvanlig i høst er mengden, kraften og varigheten på angrepene. Volumet i angrepene har vært 14 ganger kraftigere enn det vi vanligvis opplever. Normalt varer DDoS-angrep en dag eller to, mens det denne gangen var kontinuerlige angrep i over 25 dager, sier Nordeas pressesjef Cathrine Graff til Finansfokus.

Kraften og varigheten av angrepene tilsier at dette har vært svært profesjonelle aktører

Cathrine Graff, nordea

– Vi har gode systemer som håndterer dette uten problemer, og det meste av tiden i disse ukene fungerte våre tjenester som de skulle. Vi hadde noen dager med planlagt teknisk vedlikehold som sammenfalt med at bølgen med kraftige angrep startet, og det var spesielt i denne perioden at kundene opplevde treghet i tjenestene.

Nordea valgte å gå ut med informasjon om nettangrepene til offentligheten der mange tier. Det har resultert i massiv medieoppmerksomhet. Og DDoS-angrepene mot Nordea har skapt problemer for kundene i hele Norden. Mange har slitt med å logge inn i nettbank og mobilbank. Nordea Sverige har gått så langt som å tilby kompensasjon til kunder som har lidd økonomisk skade som følge av DDoS-angrepene. Dette har ikke vært aktuelt for den norske divisjonen.

– Kundeklager behandles ulikt på tvers av landene, og vi har ikke en egen kompensasjonsordning for DDoS-angrep. Slike angrep ligger utenfor vår kontroll, og har først og fremst ført til treghet i våre tjenester under kortere perioder, sier Graff og legger til:

– Angrepene førte dessverre til treghet i mobil- og nettbanken enkelte dager, der kundene så kom inn når de prøvde igjen etter noen minutter. Vi forstår veldig godt at det var svært irriterende for kundene da dette pågikk.

Banken har ved flere anledninger presisert at kundedata og lignende ikke er på avveie.

OM ÉN FALLER, ER ALL TILLIT BRUTT

Finansnæringen leverer kritiske tjenester vi som samfunn ikke fungerer uten. Forsvar mot  cyberangrep er dermed topp prioritet.

Om en bit av den finansielle infrastrukturen faller, rammer det tilliten til hele den finansielle infrastrukturen

tom staavi, finans norge

– Hvis onde krefter skulle klare å ta ned en bit av den finansielle infrastrukturen, rammer det tilliten til hele den finansielle infrastrukturen, sier informasjonsdirektør Tom Staavi i Finans Norge.

Nordea-angrepet har fått mye oppmerksomhet i mediene. Sikkerhetsekspert Morten Tandle sier han har inntrykk av at det er flere enn Nordea som har blitt rammet. Tandle er adm. direktør i Nordic Financial CERT (NFCERT), et samarbeidsprosjekt mellom de ulike bransjeaktørene som opprinnelig startet i Norge og nå også inkluderer en rekke nordiske aktører. Organisasjonen er bransjens “radar” for cybertrusler. De følger med på hva som skjer, og inviterer finansnæringen til informasjonsdeling.

– Bankene blir angrepet jevnt og trutt, men oftest fungerer forsvaret veldig bra. Da merkes det ikke så mye til det. Denne gangen har det kommet et angrep som merkes og faktisk fikk konsekvenser. Jeg tror ikke vi må forberede oss på at sånne avbrudd blir en del av bankhverdagen vår. Forsvaret og robustheten i næringen er høy, og det er høy evne og vilje til å investere i sikkerhet. Jeg tror bransjen er godt rustet til å stå i mot dagens trusler. Men vi må være forberedt på å se enkelte konsekvenser fra tid til annen, men jeg tror ikke vi skal tenke at “nå rakner alt, og nå kommer vi til å gå inn i en tid med dårligere tilgjengelighet og mange flere angrep og hendelser”, sier Tandle.

Han forklarer at DDoS-angrep er vanlige. Store banker har gjerne angrep ukentlig. Normalt legger verken banken eller kundene merke til at de er under angrep, og vanligvis blir ikke slike hendelser håndtert utover en intern månedsrapport.

– NSM sier at «tjenestenektangrep over tid har vært en del av normalbildet»; noe vi kjenner oss igjen i, sier Tandle.

KOMPETENTE AKTØRER

– Vi verken kan eller ønsker å spekulere i hvem som står bak angrepene. Kraften og varigheten av angrepene tilsier likevel at dette har vært svært profesjonelle aktører, forklarer Graff.

NFCERTs Cybertrusselrapport for 2024 slår fast at en rekke hacktivist-grupper har benyttet DDoS-angrep etter Russlands invasjon av Ukraina i februar 2022. Denne type angrep kommer gjerne fra noen som har en ideologi, det være seg kulturell, politisk eller religiøs. Hendelser som Koran-brenning og krig øker denne typen cyberkriminalitet. Men heller ikke Tandle vil spekulere i nøyaktig hvem som står bak DDoS-angrepene mot Nordea. Men han kan si litt:

– Det er kompetente aktører. Angrepene krever kompetanse, for eksempel er det mange mennesker som jobber med DDoS-forsvar rundt omkring som har kompetansen til å drive slike angrep om de skulle bytte side.

Det ene angrepet mot varte i 25 dager. Det er ganske massivt?

– På en måte er det massivt, samtidig er det ikke så uvanlig at DDoS-angrep kan vare i uker og til dels måneder. Det er ikke vanlig at de gjør det, og at det er så utfordrende å forsvare seg som det har vært i dette tilfellet, sier Tandle.

ANGREPENE LYKKES IKKE

Cybertrusselrapporten til NFCERT slår fast at angrepene mot finansbransjen har feilet i å oppnå ønsket effekt. Men utenfor finansnæringen har det har vært DDoS-angrep som har forårsaket lengre nedetid.

– I forbindelse med tjenestenektangrep, er det egentlig noe bedriften må være forberedt på. De må vite at dette kan komme, og lage en verktøykasse for å kunne forsvare seg. Det er jo ikke sånn at du kan ringe politiet eller Forsvaret eller noe sånt, og få dem til å komme inn og bruke midler og hjelpe deg. Dette er jo drift av IT-tjenester, og det er de som drifter IT-tjenestene som faktisk må klare å forsvare seg mot disse angrepene og sørge for at tjenesten virker, sier Tandle.

Hans opplevelse er at finanssektoren er godt rustet til å møte de digitale truslene fra aktører med onde hensikter.

Tjenestenektangrep er egentlig noe bedriften må være forberedt på

Morten Tandle, NFCERT

– Bankene utvikler hele tiden forsvaret sitt mot cyberangrep. Med det nye Dora-regelverket endres også fokus til robusthet mot cyberangrep, det vil si at de skal tåle å bli rammet uten at viktige tjenester slutter å fungere, sier han.

Han mener bransjen lykkes fordi sikkerhet tas på alvor, evner å prioritere dette høyt, og jobber systematisk og strukturert.

– Samtidig får jo også finansnæringen drahjelp her. Den er strengt regulert, og det stilles høye krav fra myndighetene, så det er faktisk ikke frivillig. Riktignok er det tradisjon for dette i finansbransjen, men det er jo faktisk også slik at styrene i en bank for eksempel holdes ansvarlig for å ha kontroll på risiko, inkludert cyberrisiko.

FAKTA: DDoS-ANGREP

Et DDoS-angrep er en type cyberangrep, også kjent som et tjenestenektangrep. Under et DDoS-angrep forsøker angriper å overbelaste en nettside. Angrepet gjennomføres ved å sende massive mengder trafikk mot målet gjennom et botnett.

Målet med et DDoS-angrep er å forstyrre eller hindre normal drift. Tjenesten som er angrepet blir utilgjengelig ved å overbelaste serverne eller nettverket.

I 2023 ble det registrert 19.557 DDoS-angrep. 2.378 av disse var rettet mot nordiske land, og 411 angrep var rettet mot finansnæringen i Norden. 23 grupper var aktive inn mot Norden.

Kilde: Telenor og NFCERT