Nordea har været udsat for cyberangreb i 25 dage i træk

10 minutters læsning

Bankens danske landechef sammenligner angrebene med “avanceret telefonfis”

Ifølge Mads Skovlund Pedersen, privatdirektør i Nordea Danmark, har Nordea været udsat for et vedvarende og omfattende DDoS-angreb i de seneste 25 dage, hvilket har skabt betydelige udfordringer for bankens kunder. Pedersen udtaler til FinansWatch, at angrebene ikke ligner noget, han har oplevet i sine fem år som landechef, og understreger, at angrebsmetoderne konstant ændrer sig. Men dette er jo ikke telefonfis, Havde det dog bare været dette. Det er 25 dage uden service er simpelthen et svigt fra leverandører og revisorer der ikke har evnet at påpege dette. Et svigt fra ledelse, revisorer og leverandører så er man nærmere sandheden.

Angrebet sker i en periode med høj cybertrussel

Angrebet mod Nordea kommer samtidig med, at Center for Cybersikkerhed har vurderet truslen fra cyberkriminalitet mod finanssektoren som “meget høj”. Selvom Pedersen ikke vil kommentere på, hvem der står bag, har tidligere angreb mod finanssektoren peget mod Rusland.

Nordea meldte første gang om angrebene den 16. september, og siden da har kunder oplevet problemer med at tilgå bankens net- og mobilbanktjenester. Pedersen erkender, at det er “meget irriterende” for kunderne, men forsikrer om, at bagmændene ikke har haft adgang til kundedata eller bankens systemer.

“Avanceret telefonfis” med alvorlige konsekvenser

Pedersen beskriver DDoS-angrebene som en form for avanceret telefonfis, hvor hensigten er at overbelaste bankens servere, så kunder ikke kan tilgå tjenesterne. Han frygter dog, at der kan opstå unødig bekymring om sikkerheden: “Jeg vil godt nok være ked af, hvis der bliver skabt en stemning af, at det ikke er styr på kundernes oplysninger,” udtaler han.

Nordea hårdere ramt end konkurrenter

Ifølge Pedersen har Nordea oplevet større nedbrud end konkurrenter som Danske Bank, hvilket han tilskriver Nordeas position som Nordens største bank. Tirsdag oplevede banken endnu et nedbrud, som dog skyldtes en intern fejl og ikke angrebet.

Pedersen understreger, at banken har stærke forsvarsmekanismer og arbejder kontinuerligt på at forbedre dem. Han tilføjer, at der ikke kan gives nogen garantier mod fremtidige angreb, da “det er et kapløb med kriminelle.”

Nordea har investeret betydelige ressourcer i cybersikkerhed, og Pedersen forsikrer, at bankens it-systemer gennemgår regelmæssige tests for at sikre høj sikkerhedsstandard.

Michael Rasmussen antyder dig en anden forklaring, idet vi vores henvendelser er der oplevet en afvisning af fakta.

“Jeg anser bankens størrelse for at have et budget på 100 millioner kroner om året. Men man jo så konstatere at hvis man ikke for de penge kan lave en sikker DDOS løsning, ja så er enten rådgivere eller leverandører jo ikke pengene værd. Indenfor IT sikkerhed er det jo resultaterne der tæller. De er jo absolut fraværende her.”

Nordea investerer betydeligt i IT-sikkerhed og har et omfattende budget dedikeret til at beskytte sig mod cyberangreb, herunder Distributed Denial-of-Service (DDoS) angreb, som banken har været udsat for i stigende grad. Selvom de præcise tal ikke er offentligt tilgængelige, viser rapporter om bankens digitale transformationsstrategier, at Nordea fokuserer på at styrke deres cybersikkerhedsinfrastruktur og forbedre deres evne til at modstå sådanne angreb gennem øgede investeringer i teknologi og samarbejder med specialiserede IT-sikkerhedspartnere.

Generelt set er virksomheder i finanssektoren kendt for at dedikere en betydelig del af deres budget til IT-sikkerhed. Ifølge IANS Research forventes mange store virksomheder i 2024 at øge deres sikkerhedsbudgetter, især i lyset af det stigende antal cybertrusler. Budgetvæksten for cybersikkerhed i sektoren ligger på omkring 8%, hvilket er en tilbagegang fra tidligere års vækst men stadig en positiv udvikling.

Nordea A/S har investeret markant i IT-sikkerhed som en del af deres samlede driftsomkostninger. For finanssektoren, som Nordea tilhører, ligger IT-udgifter typisk mellem 4,4% og 11,4% af omsætningen, med et gennemsnit for større aktører nær toppen af dette interval. I Nordeas tilfælde, som en stor finansiel institution, afspejler deres investering i IT-sikkerhed og risikostyring en væsentlig del af deres samlede omkostninger, idet de stræber efter at sikre mod cybertrusler og databrud.

Med fortsatte investeringer i teknologi og sikkerhedsforanstaltninger estimeres det, at en betydelig andel af disse udgifter går til specifikke områder som DDoS-beskyttelse og datahåndtering, som bidrager til at styrke Nordeas samlede driftsstabilitet og risikostyring i et hurtigt digitaliseret miljø.

Her ville man nemt kunne have investeret i selvstændige linier til sit datacenter, men det ser ikke ud til at have været tilfældet, slutter Michael Rasmussen. Det kan meget vel være at direktionen ikke har godkendt fornyede anmodninger fra IT chefen, og set i lyset af af russiske, kinsesiske og nordvitenamesiske milliardinvesteringer i simpel DDOS angreb, er det mig en gåde hvorfor Nordea ikke modtsår sådanne simple angreb.

Revisors pligt

I Danmark og Norden er der revisor der er ansvarligt for en vurdering om backup, datasikkerhed, og ransomware sikkerhed er tilstrækkelige. Men mange glemmer at få revidereret sin IT sikkerhed hos revisor.

Revisors IT pligter, i forhold til forskringsselskaber og og revisionspligt indenfor f.eks. forsikringer.

En revisors pligt til at føre tilsyn med datasikkerhed, backup og overholdelse af alle compliance-krav, afhænger af den type revisionsopgave, der udføres, og af de relevante lovkrav og standarder. Revisorer er forpligtede til at overholde en række regler og standarder, især når det kommer til sikkerhed, og skal sikre, at deres kunder overholder både lokale og internationale krav. Her er nogle af de væsentlige lovgrundlag og standarder, der har betydning:

Revisorlovens pligter

I henhold til Revisorloven (LBK nr 1101 af 01/09/2018), har revisorer en generel pligt til at udvise professionel omhu og anvende relevant ekspertise i forbindelse med deres opgaver. Dette indebærer bl.a. at:

  • Overholde lovgivning og standarder, herunder overholdelse af datasikkerhed, hvis det er en del af revisionsopgaven.
  • Vurdere virksomhedens interne kontroller, herunder it-kontroller og datasikkerhedssystemer, som kan omfatte backup og compliance-systemer, når de er relevante for revisors opgave.

Persondataforordningen (GDPR)

Hvis revisoren arbejder med persondata, er der pligter under EU’s Databeskyttelsesforordning (GDPR), som revisoren skal sikre overholdelse af:

  • Sikre, at der er passende tekniske og organisatoriske sikkerhedsforanstaltninger til beskyttelse af persondata.
  • Garantere, at persondata opbevares sikkert, herunder i forbindelse med backup og håndtering af dataoverførsler.
  • Sikre, at der foretages løbende kontrol og evaluering af datasikkerheden for at sikre, at kravene i GDPR opfyldes.

Standarder for it-revision og datasikkerhed

Revisorer, der beskæftiger sig med it-revision, skal følge anerkendte standarder såsom ISAE 3402 og ISO 27001:

  • ISAE 3402: Gælder for revisorer, der udfører kontrol af it-systemer hos serviceorganisationer. Herunder skal de vurdere it-kontroller, herunder datasikkerhed og backup.
  • ISO 27001: Selv om ISO 27001 ikke er lov, er det en internationalt anerkendt standard for informationssikkerhed. En revisor kan anbefale, at virksomheden følger denne standard som en best practice for datasikkerhed.

Tilsyns- og rådgivningspligt

Revisorer har en tilsyns- og rådgivningspligt, når de udfører revision for virksomheder, hvilket kan omfatte:

  • At rapportere om væsentlige mangler i virksomhedens systemer til sikkerhed og compliance, som kan udgøre en risiko.
  • At rådgive om tiltag for forbedring af datasikkerhed og backup, hvis de identificerer risici eller mangler.

Lov om foranstaltninger mod hvidvask af penge og finansiel kriminalitet

Revisorer, især dem i finansielle institutioner, skal også sikre overholdelse af Hvidvaskloven (LBK nr 308 af 04/04/2023):

  • Herunder at have procedurer og it-systemer til at opdage og forhindre hvidvask, som kan påvirke deres arbejde med datasikkerhed og compliance.

Revisoransvar og erklæringer

En revisor kan stilles til ansvar for manglende opfyldelse af deres pligter under Erklæringsbekendtgørelsen, hvis de ikke har fulgt de relevante standarder eller udført deres pligter korrekt. Hvis de underskriver erklæringer om overholdelse af compliance-krav, uden at disse er blevet opfyldt, kan de blive pålagt erstatningsansvar.

Revisors forpligtelser er således tæt knyttet til de lovmæssige rammer og relevante standarder, som skal sikre, at datasikkerheden og compliance-kravene overholdes. For mere detaljerede oplysninger henvises der til +45 32177777 om de pligter enhver revisor skal overholde.

Her er en oversigt over de seneste cybersikkerhedsangreb, der har ramt nordiske mål med DDoS- og ransomware-angreb:

  1. Nordea Bank: Oplevede et 25-dages DDoS-angreb, der ramte bankens net- og mobilbanktjenester.
  2. Volvo Cars: Blev udsat for et ransomware-angreb, som resulterede i tyveri af forsknings- og udviklingsdata.
  3. A.P. Moller-Maersk: Blev i 2017 ramt af et ransomware-angreb, men har fortsat oplevet DDoS-angreb mod deres IT-infrastruktur.
  4. Coop Sverige: Måtte lukke mere end 800 butikker efter ransomware-angreb, som ramte deres betalingssystemer i forbindelse med Kaseya-angrebet.
  5. Telenor Norge: Stod overfor et omfattende DDoS-angreb, som forårsagede netværksforstyrrelser for både private og erhvervskunder.
  6. Visma: En norsk softwareudbyder, som blev ramt af et avanceret angreb fra en kinesisk APT-gruppe, rettet mod kundedata og it-sikkerhed.
  7. DSV Panalpina: Det danske logistikfirma oplevede ransomware-angreb, der påvirkede virksomhedens globale it-systemer.
  8. Statoil (Equinor): Har oplevet gentagne DDoS-angreb mod deres digitale platforme i forbindelse med energisektoren.
  9. Nordisk Bank-konsortium: Flere banker blev ramt af ransomware-angreb med krav om millionløsning.
  10. Telia Sverige: Har oplevet flere DDoS-angreb, som påvirkede deres netværkstjenester.
  11. Børsen i Oslo: Blev offer for et DDoS-angreb, som lukkede deres systemer midlertidigt.
  12. SAS Scandinavian Airlines: Oplevede ransomware-angreb, som forårsagede it-nedbrud og aflysninger.
  13. Norsk Hydro: Blev i 2019 ramt af et stort ransomware-angreb, som stadig fører til forbedrede sikkerhedsforanstaltninger i dag.
  14. TietoEVRY: Det nordiske IT-selskab oplevede ransomware-angreb, som lammede kundesystemer.
  15. Det norske Storting: Oplevede ransomware-angreb, der ramte flere IT-systemer og truede med datatyveri.
  16. Yara International: Mål for ransomware-angreb, hvor data blev krypteret, og løsesum blev krævet.
  17. Swedbank: Stod overfor flere DDoS-angreb, der forsøgte at destabilisere deres bankservices.
  18. PostNord: Oplevede DDoS-angreb, der påvirkede deres leverings- og kundeserviceportaler.
  19. Skattemyndigheder i Finland: Blev offer for ransomware-angreb, som satte følsomme oplysninger i fare.
  20. Sveriges Radio: Ramt af DDoS-angreb under en politisk uges dækning, der forsøgte at afbryde udsendelserne.
  21. Arla Foods: Mål for ransomware-angreb, som påvirkede deres produktionssystemer.
  22. TDC Group: Oplevede flere DDoS-angreb, der ramte deres telekommunikationstjenester.
  23. Pandora: Dansk smykkefirma, som oplevede forsøg på ransomware-angreb mod deres digitale platforme.
  24. Elgiganten: Oplevede ransomware-angreb, som lukkede flere butikker i hele Norden.
  25. Landsbanken: Finske bank blev ramt af DDoS-angreb, der påvirkede onlinetjenester.
  26. SAS: Yderligere angreb mod SAS’s kundeportaler med forsøg på afpresning.
  27. Norsk Statkraft: Ramt af cyberangreb, der truede energiforsyningen.
  28. PFA Pension: DDoS-angreb rettet mod deres kundetjenester i Danmark.
  29. Metsä Group: Finsk skovbrugsselskab blev offer for ransomware-angreb, der lammede produktionssystemer.
  30. Energiselskaber i Island: Flere forsøg på ransomware-angreb mod islandske energiselskaber, der påvirkede netværksinfrastrukturen.

Disse angreb viser, hvoraf flere drejer sig om simple DDOS angreb som alle kan betale sig fra sker ved såkaldre DDOS BOTNETS er meget simple. Det betyder jo, at nordiske lande og virksomheder har været betydelige mål for både ransomware og DDoS-angreb, som rammer kritiske sektorer som finans, energi og transport.

Der er ofte en sammenhæng mellem utilstrækkelig beskyttelse mod DDoS-angreb og de konsekvenser, som virksomhederne oplever under og efter angreb. Nordiske virksomheder, som nævnt, har været mål for alvorlige angreb, og disse tilfælde understreger, hvor vigtigt det er at have en robust og redundant beskyttelse.

Manglende DDoS-beskyttelse

Virksomheder, der oplever gentagne angreb, som Nordea og TDC, viser typisk, at deres eksisterende DDoS-beskyttelsesforanstaltninger muligvis ikke er tilstrækkelige. Ifølge flere kilder skyldes sårbarhederne ofte:

  • Begrænsede ressourcer til løbende opdateringer og vedligeholdelse af DDoS-beskyttelsessystemer.
  • Mangel på investeringer i avanceret teknologi til at identificere og imødegå komplekse DDoS-angreb i realtid.
  • Overafhængighed af eksterne leverandører, der måske ikke leverer den nødvendige redundans.

Pris på redundant beskyttelse

Prisen på DDoS-beskyttelse afhænger af forskellige faktorer såsom virksomhedens størrelse, trafikmængden og ønsket sikkerhedsniveau. Nogle eksempler på løsninger og deres omkostninger inkluderer:

  • Cloud-baserede DDoS-løsninger: Tjenester som Cloudflare og Akamai tilbyder cloud-baseret DDoS-beskyttelse, hvor priserne starter ved omkring $3.000-$5.000 om måneden for mindre virksomheder, men kan stige til over $100.000 om måneden for store virksomheder med høj trafik.
  • On-premise DDoS-løsninger: Hardwareløsninger fra leverandører som Arbor Networks kan koste over $50.000 i installationsomkostninger, med årlige vedligeholdelsesgebyrer der løber op i titusinder af dollars.
  • Redundans med flere lag: For en mere omfattende beskyttelse er det nødvendigt med et redundans-setup, der inkluderer flere lag af både cloud- og on-premise-løsninger. Dette kan koste mellem $100.000 og $500.000 årligt, afhængigt af de specifikke behov og krav.

Investering i redundans kan dog være afgørende, da det reducerer risikoen for nedetid og potentielle tab. På trods af de høje omkostninger kan DDoS-beskyttelse med redundans være en nødvendighed for virksomheder, der ønsker at beskytte deres omdømme og fortsatte drift mod den stigende trussel fra cyberangreb.

Kilde: Michael Rasmussen, Advokat og Revisor Samvirket, AORS.DK og FinansWatch
Fotokredit: Nordea Pressefoto (navn ikke angivet)
Personer/Firmaer/Emner/#: #Nordea, #Revisorloven, #MadsSkovlundPedersen, #DDoS-angreb, #FinansWatch, #Cybersikkerhed
Copyrights: Ⓒ 2024 Copyright by https://AORS.DK – kan deles ved aktivt link til denne artikel.

Andre Advokat og Revisor nyheder:

25% af mindre og mellemstore virksomheder er indtil 100% ubeskyttet

25% af mindre og mellemstore virksomheder er indtil 100% ubeskyttet

Der er udkommet en ny rapport der viser at 25% af alle SMV virksomheder er ubeskyttet og flere har ikke installeret firewall eller antivirus. Denne meget store gruppe har f.eks. ikke taget Backup af sine filer eller har daglige eller systematiske backup procedurer. Datasikkerhedsrapporten som stammer fra Erhvervsstyrelsen viser tegner dog også et positivt billede…

Se mere...

Kendt butik tiltales af Politiet for overtrædelse af GDPR-lovgivningen

Kendt butik tiltales af Politiet for overtrædelse af GDPR-lovgivningen

Efter en kontrol af Ilva’s GDPR compliance vil virksomheden nu blive sigtet af Politiet for ikke at overholde GDPR-lovgivningen. Kilden er at finde i Politiets pressemeddelelse. Dette sker efter at kontrollerne afslørende at Møbelvirksomheden Ilva opbevarede data fra 350.000 kunder uden compliance med gældende lovgivning. Jf. pressemeddelelse har Ilva ikke overholdt GDPR-lovgivningen dder trådte i…

Se mere...

Scroll to Top