Hot mot företag Cyberattacker orsakar företag massiva förluster

700 miljoner dollar i böter
Det är priset som det amerikanska kreditupplysningsföretaget Equifax ska betala efter dataintrånget där adresser, personnummer, körkortsuppgifter och kreditkortsnummer till 147 miljoner människor läckte ut. Enligt stämningsansökan mot företaget var användarnamn och lösenord till administratörskontot på portalen där kunderna kunde hantera dispyter kring kreditpoäng admin/ admin och dessutom var inte webbservern uppdaterad och patchad.

Stora konsekvenser
Notpetya är namnet på den skadliga kod som USA menar kom från en rysk cyberattack mot Ukrainas bankväsende och statsförvaltning i mitten av 2017. Attacken fick stora konsekvenser för många företag runtom i världen och det danska rederiet Maersk tvingades ominstallera 45 000 datorer och 4 000 servrar till följd av Notpetya. Händelsen beräknas ha kostat företaget 300 miljoner kronor och 10 procent av bolagets marknadsandelar. – Avancerade cyberattacker är en del av vardagen och de riktar sig inte bara mot myndigheter eller försvarsmakter, utan även mot enskilda företag, säger Richard Oehme. Han menar att även små organisationer måste fundera på var riskerna finns. Mycket handlar om enkla åtgärder för att höja lägstanivån, till exempel att se till så mjukvara uppdateras kontinuerligt.

Avancerade cyberattacker är en del av vardagen och de riktar sig inte bara mot myndigheter eller försvarsmakter, utan även mot enskilda företag

Richard Oehme, senior rådgivare på Knowit

Tusentals smittade datorer
Enligt CERT-SE, som är Sveriges nationella Computer Emergency Response Team och lyder under MSB, är tusentals datorer infekterade i Sverige och många tillhör organisationer och företag. – Problemet är att smittade datorer är ett hot mot dig och din organisation men också mot resten av världen eftersom de kan utgöra grunden i det som kallas botnet, säger Richard Oehme. 93 procent av alla rapporterade cyberattacker under 2017 skulle kunna ha undvikits genom enkla åtgärder som att uppdatera av programvara. Symantec uppskattar att det skedde mer än en halv miljon ransomware-attacker under 2018 och ökningen av attacker mot företag var 12 procent. Syftet bakom attackerna kan variera, allt från att kräva pengar till företagsspionage.

Problemet är att smittade datorer är ett hot mot dig och din organisation men också mot resten av världen eftersom de kan utgöra grunden i det som kallas botnet.

Richard Oehme, senior rådgivare på Knowit

Brott genom företag
Stefan Lundberg, chefsåklagare och strategisk samordnare av brottsförebyggande arbete på Ekobrottsmyndigheten, ser en trend att kriminella som sysslar med organiserad brottslighet i viss utsträckning övergår till ekobrott. – Det är lite lägre upptäcktsrisk, man kan få lägre straff än exempelvis rån eller narkotika och det finns stora brottsvinster att göra. Tidigare användes kofot som brottsverktyg primärt, i dag är det istället kriminella företag som används som brottsverktyg i kombination med att man har ett mycket omfattande identitetsmissbruk, säger han. Stefan Lundberg nämner assitansbedrägerier, bedrägerier med lönebidrag från Arbetsförmedlingen eller lönegaranti efter en konkurs som exempel på brott som kan begås ”av företag”. – Man använder företagets identitet för att till exempel öppna bankkonto och syftet är att dölja sig bakom identiteten, att distansera sig från brottet från gärningsmannens sida, säger han.

Bristande lagstiftning
Stefan Lundberg menar att kriminella plockar in målvakter i bolagsstyrelser och att de ofta visar upp en påfallande god kunskap om företagande och är väldigt duktiga på att hitta luckor och kryphål i lagstiftningen som de kan utnyttja för att begå brott. – Parallellt med den här utvecklingen har Sverige under lång tid och under olika regeringar bedrivit ett förenklingsarbete: det ska vara enkelt att vara företagare. Det är inget som vi på Ekobrottsmyndigheten är emot, men man har glömt att ha effektiva kontrollmekanismer och därför har man bjudit in brottsligheten på ett iögonenfallande sätt tycker jag. Bolagskapning är enligt honom ett förstadium till ett annat brott som exempelvis bedrägeri, bolagsplundring, eller kreditbedrägerier. – Ofta sker en kapning i tre led. Steg ett kan vara att kapa företrädarens identitet, steg två själva bolaget och steg tre att begå brott.

Man använder företagets identitet för att till exempel öppna bankkonto och syftet är att dölja sig bakom identiteten

Stefan Lundberg, chefsåklagare och strategisk samordnare Ekobrottsmyndigheten

Fejkade webbsidor
Vissa kriminella bolag kan erbjuda sig att köpa ett bolag, eller hjälpa till att avveckla ett bolag. Det händer att seriösa personer säljer sitt bolag och tror att han eller hon kliver ur styrelsen men sedan blir det aldrig registrerat. Personen kan då få stora problem utan att vara medveten om att bolaget har blivit kapat. – Vi ser en trend att kriminella ofta jobbar med fejkade hemsidor och olika konton på sociala medier för att genomföra brotten. Den effektivaste brottsförebyggande åtgärden är att ha en effektiv lagstiftning på plats men det har vi inte i dag. Det finns något som heter olovlig identitetsanvändning men det skyddar bara när en fysisk persons identitet kapas, regeringen glömde ett andra stycke om att kapa en juridisk person, avslutar Stefan Lundberg.

Här kan du läsa vårt nya nummer av Tryggare samhälle!