Banker sårbare for IT-amatører innenfra

En amerikansk undersøkelse viser at teknologi ikke er svaret på innsider datakrim innen bank og finans.

I fem år manipulerte den tilsynelatende stjernemekleren med datasporene i den internasjonalt kjente finansinstitusjonens servere, og innkasserte tusener av dollar i bonuser. Da han ble avslørt, viste det seg at han i praksis hadde tapt 691 millioner dollar.

Denne er den mest omfattende av 23 saker med IT-basert svindel mot amerikanske banker og finansinstitusjoner mellom 1996 og 2002, som er analysert i en rapport utgitt av USAs Secret Service, i samarbeid med forskere ved Carnegie Mellon University: Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector.

Rapporten er den første i en ny serie som skal avdekke sårbarheter i IT-systemer som er kritiske for USAs økonomi, skriver Wall Street Journal.

Den avdekker en grunnleggende skjevhet i sikkerhetstiltakene rundt finansinstitusjonenes IT-systemer: Det er lagt for mye vekt på sikring mot omverden, og for lite på sikring mot innsidere.

Et forhold som går igjen i mange av sakene, er at de ansattes bakgrunn ikke ble sjekket, at interne kontrolltiltak var mangelfulle, og at kollegaer gjerne gikk rundt med en følelse av at noe ikke stemte, uten at de sa fra.

Dette er hovedpunktene fra rapporten, ifølge Wall Street Journal:

  • De fleste angrepene innenfra krevde ikke spesielt avanserte IT-kunnskaper, og ble gjennomført gjennom enkle og typiske kommandoer
  • De fleste angrepene krevde nitid planlegging og innhenting av kunnskap, for eksempel passord og brukernavn, fra kollegaer
  • De aller fleste gjennomførte angrepene helt på egen hånd
  • Det typiske motivet var penger
  • De som var ansvarlig for sikkerheten på arbeidsplassen avslørte bare halvparten av sakene
  • Hvert tredje angrep med fjerntilgang til datasystemene hjemmefra
  • Mer enn hver fjerde utøver var såkalt «kjent av politiet», og hver femte ble betraktet som «misfornøyd» av sine kollegaer
  • Sju av ti angrep skjedde innen vanlig arbeidstid
  • I 85 prosent av tilfellene hadde minst én person utenom utøveren kjennskap til at «noe» skjedde, uten å rapportere det

Rapporten anbefaler at meklere opererer i lag heller enn på egen hånd. Den anbefaler også at systemrevisjon ikke foregår etter et lett gjenkjennelig mønster, men heller med uregelmessige og uforutsigbare mellomrom.

    Les også:

Til toppen