– Hackerne kan bli sterkere enn internett

– Hackerne kan bli sterkere enn internett

Aldri før har hackerangrepene mot privatpersoner, næringslivet og myndighetene vært kraftigere. Med 5G-nett, nye «mini-datamaskiner» og en hackermanual på avveie kan hackerangrepene snart bli sterkere enn evnen til å stanse dem.

USA, 21.oktober 2016: Serverne til det amerikanske domenenavnsystemselskapet Dyn utsettes for et datatrafikkangrep så massivt at selskapets tjenester blir satt ut av spill. Angrepet på tjenesten kalt «internetts ryggrad» varer i flere timer og medfører at flere store nettsider går i svart. Blant tjenestene som kneler denne dagen er betalingstjenesten PayPal, mikrobloggen Twitter, strømmetjenesten Netflix og nyhetstjenestene til The Guardian, CNN og Reddit.

Angrepene kom i bølger og holdt i praksis selve internett som et slags gissel. Hva hadde egentlig skjedd? Det er stadig ikke fastslått hvem som stod bak, men det er fastslått at angrepet mot Dyn var det kraftigste angrepet av sin type hittil. Typen kalles DDoS-angrep, og effekten av dem er at hjemmesider og tjenester kneler når en helt massiv mengde datatrafikk rettes mot dem samtidig.

– Hvert år skjer over ti millioner slike angrep, men nå blir de sterkere og flere, forklarer og utdyper Paul Lee, forskningsleder på telekommunikasjon i revisjons- og konsulentselskapet Deloitte. Lee jobber til daglig på hovedkontoret i London. I mars var han i Oslo for å presentere Deloittes årlige rapport om trendene som vil prege det kommende digitale året. På toppen av denne listen finner han dessverre et økende antall DDoS-angrep.

– Angrepene kan sammenlignes med å få en butikk oversvømt av falske kunder på samme tid. Da kommer ikke de ekte kundene inn, sier Lee til Kapital.

Slike angrep måles i mengden «junkdata» sendt per sekund, forteller Lee. Siden 2014 har vi sett noen veldig store angrep, men i fjor så vi et angrep som var dobbelt så stort som det største til da. Han sikter til hendelsen 21. oktober.

Laserstråler

Det som skjer før et slikt angrep finner sted, er at hackerprogramvare på forhånd bryter seg inn i tusenvis eller titusenvis av datamaskiner, servere eller rutere og henter «ammunisjonen» til angrepet i form av datatrafikk. Innbruddet kan skje uten at eierne en gang vet det. Så sender programvaren såkalt junkdata-trafikk ut av maskinen, selv om maskinen er skrudd av. Trafikken sendes til et annet sted og spares opp som en slags «laserstråle» som kan siktes inn mot ett mål, for eksempel en hjemmeside.

– De fleste vanlige bedrifter vil ikke kunne håndtere et seriøst angrep av denne typen, selv ikke når kraften er på snittstørrelse, advarer Lee.

Tingenes internett

En av hovedgrunnene til at angrepene i år kan bli hyppigere og større enn før , er at sårbarheten øker når stadig flere gjenstander skal «snakke sammen» i det såkalte tingenes internett (Internet of Things, eller IoT). IoT sammenkobler gjenstander som et kamera og en telefon, et fly og et styringsverktøy, eller en fjernkontroll og en drone. Research- og konsulentselskapet Gartner anslo at tingenes internett i 2016 ville telle 6,5 milliarder enheter på verdensbasis. Med en økning på 5,5 millioner enheter pr i dag anslår selskapet at antallet vil nå svimlende 20, 8 milliarder i 2020.

Tingenes internett kan bestå av alt fra jernbaneskinner som «snakker» med operasjonssentralen om når de trenger vedlikehold, til kjøleskap som «snakker» til mobilen din eller dagligvareforretningen om når det er tomt for melk eller lyspærer. Med økende antall dingser i disse kjedene blir det flere ledd med lav sikkerhet sammenlignet med det PC-er og smarttelefoner kan skilte med. Flere svake ledd betyr flere steder å bryte seg inn i for hackere.

– De færreste har passord for lyspærene sine, påpeker Lee.

Utviklingen kommer samtidig som båndbredden blir stadig større.

-Mens smarttelefoner og datamaskiner har klart å leke katt og mus og holde tritt med hackerangrepene, kan økningen i datakapasitet og fart sammen med introduksjonen av nye lavt sikrede enheter som kommer inn på tingenes internett, ødelegge balansen og gi angriperne et overtak, frykter Lee.

Konklusjonen er at satsingen på sikkerhet må trappes opp betraktelig fremover.

Finansinstitusjoner er utsatt

Deloitte-rapporten fra Lees avdeling ser for seg at finansinstitusjoner og skattevesen er aller mest utsatt for hackerangrep i 2017, etterfulgt av detaljhandelen generelt og online videospillforhandlere spesielt. Også offentlige tjenester er i faresonen.

– Det er i hovedsak tre grupper som står back hackingen: fiendtlig innstilte utenlandske makter med ulike motiver for å ta ned enkelte tjenester, organiserte kriminelle grupper og amatørhackere, oppsummerer Lee.

Organiserte kriminelle opererer gjerne på den måte at de stjeler data fra en virksomhet eller går inn og avskjærer tilgang til en server eller disk, og driver utpressing for å gi tilbake den tilgangen. De kan også kreve «beskyttelsespenger» for å la være å fortsette et angrep.

– Amatørhackere er en form for «nysgjerrighetshackere». Det kan være folk, ofte unge, ofte videospillere, som oppdager en metode, som Mirai-koden, og bare blir nysgjerrige på å se hvor langt de kan gå og hva som skjer, svarer Lee.

Digital utpressing kan i teorien foregå mot hvem som helst fra hvor som helst og er derfor lettvinte penger for dem som driver med det, mener Lee.

Det er ikke spesielt kostnadskrevende å operere med dette samtidig som det ofte er krevende for politi å etterforske.

Mirai-koden spredd

Et tilleggsproblem fremover er at angrepstaktikker og hackermetoder har blitt gjort tilgjengelige for hvermannsen.

– I fjor ble for eksempel Mirai-koden, et hackerverktøy, spredd på nettet, antagelig i et forsøk på å skjule sporene til dem som utviklet den og bruker den mest målrettet, sier Lee.

I sitt foredrag for en fullsatt sal på Deloittehuset i Oslo viste Paul Lee frem litt av «hacker-oppskriftsboken» med Mirai-kode. I den er for eksempel hundrevis av standardpassord til ulike apparater lagt ut.

– Det betyr at vi trenger helt nye verktøy for å stanse angrep, sier Lee, og legger til at Deloitte selv, for å sikre seg nok, har så mange passord at det på hovedkontoret i London utgjør en fulltidsstilling å håndtere og dele ut nye, sikre passord.

Selv har han tro på fingeravtrykk som en del av løsningen. Fingeravtrykk kommer til å brukes i minibanker i stedet for pin-kode og i store pengetransaksjoner mellom selskaper, tror Lee.

Etter hvert mener han også at de vil erstatte koder og kort i autoriserte betalingssystemer.

5G-fart i 2020

Men det er ikke bare hindre fremover. Det superraske 5G-nettet er snart en realitet, og selv om det er en av sikkerhetsutfordringene Lee nevner , utgjør det også en av de store mulighetene han ser for se. I fjor la Lees rapport vekt på kognitiv læring og mobilspill, i år er det datasikkerhet og 5G. 5G kan avløse dagens 4G og regnes som innen rekkevidde i mange markeder.  I USA prøves det allerede ut kommersielt, og i Norge annonserte Samferdselsdepartementet nylig at 5G blir tilgjengelig i 2020. Det skjer i samarbeid med alle nordiske og baltiske land. I mellomtiden oppgraderes dagens 4G-nett til LTE-advanced og LTE- advanced Pro. Disse, spår Deloitte, kommer på markedet mot slutten av 2017, og allerede er rundt halvparten av iPhonemodellene i omløp klare for disse nettene.

– Men hva skal vi med den økte farten? Det er spørsmålet til gründere og investorer i årene som kommer, mener Lee.

– Noe av det mest datakravende vi vet om er strømming av video, og selv det trenger ikke mer enn brøkdel av toppfarten til dagens beste telefoner. Så når vi snart kommer til å få 5G-fart, blir det store spørsmålet hva i all verden vi skal bruke den til, sier Lee.

Han ser for seg at det vil oppdages muligheter vi ikke engang ante fantes før de var der, ikke minst siden kjøpevilligheten til mobile tjenester synes umettelig. Et superraskt 5G-nett kan for eksempel sørge for raskere og mer strømming av lyd og bilder – både TV på mobilen og internettradio i bilen, men også gjøre det lettere å snakke sammen over video på telefon.

– Privatmarkedet blir driveren i utviklingen, men det er næringslivet selv som raskest profitterer på et 5G-nett, mener Lee, blant annet fordi store gjenstander kan snakke sammen raskere og smidigere.

– For eksempel kan fjernstyrte ubåter under vann muligens styres fra Oslo, i stedet for fra Stavanger, fordi raskere nett gir mer presisjon og mindre tidsforskyvning for signalene, sier han.

– Vi kjenner heller ikke den fulle rekkevidden av mulighetene som åpner seg for industriproduksjon og andre prosesser som er avhengig av raskt, kraftig internett.

Lee nevner selvkjørende bilder som ved hjelp av sensorer og 5G kan snakke sammen.

– Man kan for eksempel tenke seg at bilen som kjører foran må bremse, og da kan den sende et signal til bilene bak om at de også umiddelbart må bremse.

Bredbåndsrevolusjon

Dyrt blir det imidlertid. Etableringen av 5G i EU er i følge Deloitte-rapporten anslått å koste 57 milliarder euro, tilsvarende cirka 530 milliarder norske kroner. Investeringen vil riktignok i stor grad oppveies – og tjenes inn – av økt produktivitetsvekst. Den potensielle konsekvensen for internett- og teleoperatører er naturligvis stor.

– Teleoperatører som før bare drev med bredbånd, ser nok nå på mobil på samme måte som de som drev mobil, også ser på bredbånd. Se bare på Telenor og Telia. TV smelter også sammen med mobil og internett. Det er ikke lenge til vi ser tv-er med simkort i, sier Lee.

– For næringslivet betyr 5G garantert lettere ombygging. Nå trenger ikke et kontor kables om når det skal omorganisere, eller man flytter inn eller ut av et kontor. Dessuten betyr det ikke bare at internett blir billigere eller raskere. Det betyr at internettpakkene kan skreddersys hvert enkelt sted. Noen steder trenger man bare plass, så eposten kan gå fort, andre steder trenger man fart, på grunn av videostrømming. 5G gjør at internett går fra å være tilgjengelig i standardpakker til å bli skreddersydd til forbrukerne eller bedriftenes bruk.

Igjen minner Lee om sikkerheten.

– Bedrifter bør tenke på økt båndbredde, 5G og den økende sammenkoblingen av pad-er, telefoner og andre enheter som en utvidelse av en butikk. Med flere varer og større lokale skaffer du også flere alarmer, flere overvåkningskameraer eller flere sikkerhetsvakter, sier Lee.

Maskinlæring på mobil

En tredje tech-trend som Lee og hans rapport trekker frem utover 5G og cyberangrep, er såkalt maskinlæring – kunstig intelligens og «tenkende roboter» som skjer på mobil.

– Maskinlæring inne i den enkelte mobiltelefonene kan få store konsekvenser i en verden med over tre hundre millioner smarttelefoner. For eksempel vil vi se en teknisk utvikling der telefonene blir bedre og bedre på å kjenne igjen sin egen eiers stemme, selv i et møtelokale fullt av andre lyder, sier Lee.

En konkret effekt av slik læring er avstandsmåling tilpasset deg personlig, såkalt innendørsnavigasjon.

– La oss si at du er to meter høy. Da går du raskere til døren, eller til neste kontorbygg, enn om du er halvannen meter høy. Mobilen din lærer av tiden du pleier å bruke på en gitt avstand og tilpasser anslag av andre avstander etter dette.

Fra eie til leie

Alle disse trendene er interessante og innebærer endringer hver for seg, men hvis vi skal trekke trådene og løfte blikket, sier Lee til Kapital, vil dette smelte sammen til en langt større og ganske omformende endring. Selve forretningsmodellen i mange bedrifter og mange bransjer vil måtte gå fra eie til leie og fra å selge produkter til å selge drift og tjenester.

– Ta for eksempel noe så konkret som en heis. I dagens verden er modellen i bunn og grunn at et selskap kjøper en heis, og fra tid til annen leier inn service på heisen. Men det er jo ikke heisen du ønsker deg hvis du er eieren av et kontorbygg med 15 etasjer. Det du ønsker er forflyttingen fra én etasje til en annen. Med sensorer, stordata og rask datatrafikk og styring fra andre steder kan man tenke seg at fremtidens heisselskapets oppgave blir å ha nok sensorer, roboter og data til å forutse når og hvor en heis får problemer, og unngå en stans før den skjer.

– Det samme prinsippet kan anvendes på alt. Flyplasser eller stater kan for eksempel leie en flytog-tjeneste – i stedet for å kjøpe inn toget. Kort sagt, hele forretningsmodellen kan bli snudd på hodet, sier Lee.

– Det er den digitale fremtiden.

Denne artikkelen ble opprinnelig publisert i Kapital, 23.03.17.

Skrevet av Deloitte Se alle poster fra denne forfatteren →

Deloitte AS er DTTLs medlemsfirma i Norge. Deloitte er verdens største leverandør av profesjonelle tjenester innen revisjon, rådgivning og advokattjenester.