Sikkerhed. Folks person oplysninger ender ofte på det sorte marked, fordi hackere har haft succes med at stjæle dem fra ringe beskyttede netbutikker. Arkivfoto: Ditte Valente

Sikkerhed. Folks person oplysninger ender ofte på det sorte marked, fordi hackere har haft succes med at stjæle dem fra ringe beskyttede netbutikker. Arkivfoto: Ditte Valente

Netbutikker beskytter ikke dine personoplysninger

Netbutikker leverer ufrivilligt friske identitetsoplysninger til ulovlige markedspladser. De små erhvervsdrivende er lavthængende frugter for hackere, siger it-ekspert.

Forbrugersikkerhed

Internettets sorte markedspladser flyder med stjålne identitetsoplysninger, og som noget helt nyt kan kriminelle specifikt bestille danske identiteter hos de utallige identitetshælere.

Oplysningerne indeholder alt fra offerets adresse og telefonnummer til kreditkortnumre og ip-adresse. Oftest får de kriminelle fingrene i oplysningerne ved at stjæle dem fra ringe beskyttede netbutikker. Som Politiken i går kunne fortælle, reklamerer flere sælgere på den sorte markedsplads AlphaBay således med »friskhackede« data fra uvidende netbutikker.

På trods af at der er kommet større opmærksomhed på de store hackersager, dukker der alligevel flere og flere personoplysninger op på de sorte markeder. Og det skyldes ifølge it-sikkerhedsekspert fra CSIS, Peter Kruse, at de små butikker i stigende grad bliver uvidende leverandører af personoplysninger til de sorte markeder.

»De store hacks fylder i mediebilledet, men der er også de utallige mindre angreb mod små netbutikker. Det er dem, der overhovedet ikke har styr på sikkerheden, og det er netop også dem, der boomer mest på undergrundsmarkedet. Det er et sammensurium af små dråber, der på et tidspunkt kommer til at udgøre et hav«, siger han.

»Det er ikke kun politiet, vi skal rette vores blik mod – vi skal også være opmærksomme på at prioritere systemer, der er sikre. Og der har overliggeren simpelthen været så lav, at man har stormet af sted med digitaliseringen, uden at sikkerheden følger med«, mener Peter Kruse.

En undersøgelse, som Dansk Industri (DI) gennemførte blandt sine medlemmer i januar sidste år, viser, at 83,5 procent af virksomhederne slet ikke har systemer, der kan opdage, om der har været hackere på besøg. Og selv om undersøgelsen ikke er repræsentativ for hele e-handelsbranchen, giver den en indikation på, hvor lidt sikkerheden har været prioriteret hos de små erhvervsdrivende.

Annonce

I Foreningen for Dansk Internethandel (FDIH) anerkender kommunikationschef Henrik Theil, at de små netbutikker har haft for ringe fokus på datasikkerheden:

»Jeg tror, at mange netbutikker ikke er godt nok beskyttet, fordi man aldrig har set det her som en trussel før. Den erkendelse er ved at brede sig nu, for nu er truslen ved at blive synlig. Vi befinder os i en øv-situation i øjeblikket, som vi absolut skal gøre noget ved«, siger han.

Stjal 200 mio. menneskers data

Det sker også, at der bliver stjålet enorme mængder personoplysninger ad gangen. I 2013 lykkedes det hackere at stjæle 70 millioner kunders persondata, herunder 40 millioner kreditkortnumre, fra detailkæden Target i USA. Ifølge den amerikanske it-efterforsker og journalist Brian Krebs blev mellem 1 og 3 millioner datasæt efterfølgende sat til salg på internettets sorte markedspladser, og profitten for hackerne og mellemhandlerne løber efter alt at dømme op i et trecifret millionbeløb.

Det er lykkedes myndighederne at opklare ganske få af de store sager. I sommer blev den 25-årige vietnameser Hieu Minh Ngo idømt 13 års fængsel i USA efter at have hacket over 200 millioner personoplysninger fra store virksomheder, herunder Experian, der administrerer det danske RKI-register. Oplysningerne solgte han på det sorte marked. Det samlede økonomiske tab fra misbrug af oplysningerne kendes ikke, men myndighederne har indtil videre sammenkoblet de stjålne data med svindel for 447 millioner kroner mod det amerikanske skattevæsen.

»Kriminelle køber og sælger stjålne personoplysninger, fordi de kan se, at det kan gøres med lav risiko og højt afkast. Ved at identificere og retsforfølge cyberkriminelle som Ngo kan vi bidrage til at ændre den cost-benefit-analyse«, sagde USA’s vicejustitsminister Leslie R. Caldwell i forbindelse med dommen.

Mens de store profilerede sager får stor opmærksomhed, ser det dog anderledes ud for de tusindvis af små angreb. I dag er der ikke nogen lovmæssige konsekvenser for de danske virksomheder, der ikke beskytter deres kundedata godt nok. Men en ny EU-lovgivning vil gøre det muligt at give bøder på op til 20 millioner euro eller 4 procent af en årsomsætning til de firmaer, der sløser med sikkerheden. Det vil dog tage endnu et par år, før loven er implementeret.

Redaktionen anbefaler:

Læs mere:

Annonce

For abonnenter

Annonce

Mest læste

Annonce

Forsiden