Slik ble innside-sabotør avslørt i DNBs systemer: – Ting sluttet gradvis å fungere

Under årets sikkerhetskonferanse Digital Robusthet, i regi av Finans Norge og Tietoevry,  kunne DNB dele noen oppsiktsvekkende detaljer om et sabotasjeangrep utført av en innsider i storbanken i 2023.

Selv om DNB har gjort saken kjent tidligere, kunne Hallvard Svinvik, leder for fysisk- og personellsikkerhet i DNB, dele noen hittil aldri før avslørte detaljer om sabotasjen.

Han viste også et live skjermopptak av nøyaktig hva sabotøren gjorde i DNBs systemer.

Ting sluttet å fungere

I 2023 fikk Svinvik og teamet en forespørsel fra et IT-team som over lengre tid hadde jobbet med å rette opp feil i et system. De skjønte ikke hvorfor problemene vedvarte.

Som en del av feilsøkingen så de på hvem som hadde vært pålogget, og oppdaget at en ansatt konsulent som egentlig var i permisjon hadde hatt aktivitet på rare tidspunkter. DNB stanset umiddelbart tilgangen til konsulenten og begynte å gjøre undersøkelser.

– På våre mest kritiske systemer logger man inn via en administratorkonto, og alt logges. Dermed hadde vi også et videoklipp som viste hva konsulenten faktisk gjorde i systemet, forklarer Svinvik fra scenen, før han viser et skjermopptak av hva sabotøren gjorde i DNBs systemer: vedkommende gikk inn og slettet kildekode på tilsynelatende tilfeldige steder.

Endringene ble gjort utenfor arbeidstid. Når systemet ble restartet eller oppdatert, slo feilene inn.

– Det gjør at ting gradvis slutter å fungere, sier Svinvik. Etterhvert begynte angrepet å føre til «flere operasjonelle hendelser».

I tillegg slettet sabotøren også loggene over hva som var gjort. Dermed skjønte ikke de som kom på jobb hvorfor feilene oppsto, og de startet alltid feilsøkingen på nytt. Dette pågikk over en periode over to måneder, og ved ti ulike anledninger.

– Aktiviteten økte i omfang, og han ble stadig mer opptatt av å skjule sporene sine, forteller Svinvik.

Ressurskrevende

I tillegg til å presse på systemer, var sabotasjen også ressurskrevende for banken: teamet som jobbet med systemet brukte flere helger og overtid i ukedagene for å rette feil, uten at de fant årsaken.

– Da de varslet oss, hadde hele teamet jobbet to helger på rad med å få systemet opp igjen, sier Svinvik.

Etter at de fant ut hvem som stod bak, fant DNB aldri noen motivasjon hos sabotøren som de kunne sette to streker under.

– Jeg tror bare personen selv kan svare på hvorfor dette skjedde, sier Svinvik.

 Saken ble fulgt opp av konsulentselskapet. Denne gangen unngikk DNB store operative konsekvenser, men prisen var at ansatte måtte jobbe svært hardt for å holde systemet oppe.

– Hadde dette vært et enda viktigere system, eller en person støttet av aktører som virkelig vet hvordan man kan ødelegge, ville det vært krise for oss. Det er slike scenarier vi virkelig frykter i cyberangrep.

Må gå foran

Økokrim, ved Gunnar Holm Ringen, avdelingsdirektør for etterretning og forebygging, var på scenen like før Svinvik under konferansen.

– Det er ikke sånn at man slenger ut på LinkedIn eller i avisen at man har hatt innsidere. Det vurderes som omdømmemessig utfordrende, påpekte Holm Ringen i sitt innlegg. 

Likevel valgte DNB å dele sin historie under konferansen. Til BankShift sier Svinvik at DNB mener det er viktig å dele sin historie.

– Vi i DNB mener at åpenhet og samarbeid er veldig viktig. Hvis vi skal klare å stanse disse trusselaktørene, så må vi være åpne om hva vi ser, også når det er litt vanskelig, og dele det slik at vi alle sammen kan bli bedre, sier han.

Han tror det er viktig for DNB, som er en stor aktør, å gå foran som et godt eksempel. 

– Vi har kanskje riggen som gjør det lettere for oss enn for mindre bedrifter, og vi håper at flere henger seg på og deler hva de ser.

– Føler du at det har blitt mindre skambelagt å snakke om disse temaene i offentlighet?

– Jeg tror innsidetematikk alltid vil kunne oppleves som litt tabu, fordi det handler om at ansatte ikke bare er en ressurs, men også kan være en trussel. Derfor er det viktig å håndtere det på en god måte og ha tungen rett i munnen, sier Svinvik.

– Samtidig ser vi fra Økokrim, politiet og andre eksempelsaker, og hos oss selv, at dette dessverre foregår. Skal vi klare å stanse det, trenger vi kunnskap, og den får vi best gjennom åpenhet.

Alltid fokus

DNB har de siste 12 månedene gjennomgått to nedbemanninger med sluttpakker – én som ble fullført like før julen 2024, og en som pågår akkurat nå, høsten 2025. 

Tidligere omtalte Holm Ringen påpekte at bedrifter er særlig sårbare for innsideaktivitet under slike prosesser.

– Lojaliteten til eksisterende arbeidsgiver synker når du slutter, konstaterte han i sitt innlegg.

– Har dere i DNB ekstra fokus på personellsikkerhet i denne fasen når dere gjennomgår nok en nedbemanning?

– Vi har alltid fokus på personellsikkerhet, uavhengig av om det er nedbemanning eller ikke, sier Svinvik, og legger til:

– Det er alltid noe vi har med oss og vurderer i ulike situasjoner.

Strukturerte tiltak

DNB har tidligere snakket med BankShift om sin tilnærming til innsiderisikoen i storbanken, og banken har iverksatt flere tiltak for å redusere risikoen at ansatte ikke misbruker sin tilgang til sensitive systemer. 

Grunnleggende tiltak omfatter bakgrunnssjekk for alle, utvidet bakgrunnssjekk for høyrisikoroller, sikkerhetsopplæring og bevisstgjøringssamtaler gjennom hele ansattløpet. Om lag sju prosent av stillingene er definert som høyrisikoroller, forteller Svinvik.

Innsidegruppen er etablert som et internt samarbeidsorgan ledet av personellsikkerhet, med kvartalsvise møter eller oftere ved behov. Deltakere kommer fra sikkerhet og digital sikkerhet, trusseletterretning, HR inkludert arbeidslivsadvokater, internutredning, fagforening, hovedverneombud og utvalgte forretnings- og støtteområder.