Storebrand åpne om angrep i egne systemer: – Noen hadde tatt over koden som andre hadde laget

Onsdag denne uken arrangerte Storebrand et sikkerhetsmøte i samarbeid med Microsoft Security User Group og Security Champions Norway. Med over 120 påmeldte skulle Storebrand dele av sin erfaring i arbeidet med sikkerhet, med ekte hendelser fra finanskonsernet.

– Sikkerhet er ikke noe vi konkurrerer med bransjen om. Å lære opp andre gir oss også noe tilbake. Jeg tenker at det gir oss en styrke, at vi gir litt, og får veldig mye mer tilbake. I forhold til dette arrangementet lærte vi for eksempel av Nav, som har gjort sin dokumentasjon offentlig, så det er et samspill som fungerer på tvers av næringslivet, sier leder for operasjonell sikkerhet Øyvind Bergerud i Storebrand til BankShift.

Han påpeker at man med slike arrangementer er med på å bygge en sikkerhetskultur. En kultur som også kan vise at man er nødt til å tenke litt annerledes innad i sikkerhetsgruppene i store konsern, og at man av og til må tenke mer som hackerne, for å finne og løse feilene.

– Vi lærer jo også like mye av utviklerne som de lærer av oss. Utviklerne har også ofte bedre kunnskap om forretningsstrategi og logikk enn hva vi i sikkerhetsteamet har, så vi jobber godt sammen, sier Bergerud.

Angrep på forsyningskjeden

Under arrangementet var også to av Storebrands sikkerhetsarkitekter på scenen. Nora Tomas, som nylig var med på listen over Norges topp 50 kvinner innen tech, og Stian Kvålshagen, skulle dele erfaringer fra konkrete tilfeller hos Storebrand med de fremmøtte.

– Jeg skal snakke om angrep på forsyningskjeden. Programmerere henter ofte inn kode som andre har laget, en helt vanlig utviklingsflyt. Men det vi så i september i fjor var mange angrep hvor noen hadde tatt over koden som andre hadde laget og lastet opp skadevare i stedet.

– Denne skadevaren stjal blant annet passord fra maskinene, og den var også selvspredende og kom seg inn i flere og flere pakker, og antallet påvirkede kodepakker bare vokste. Jeg deler derfor hvordan vi håndterte dette i Storebrand, hvordan vi så om vi hadde blitt påvirket av dette eller ikke, hva vi gjør om vi finner en slik pakke hos oss, og hvordan man responderer på slike type angrep, sier Tomas.

Hun mener dette er viktig å dele fordi utviklere i alle konsern bruker disse pakkene, og at dette er en problemstilling utviklere er borti nesten hver eneste dag.

– Det angriperne har sett er at det noen ganger er lettere å gå via utviklerne og få dem til å laste ned skadevare, istedenfor å gå etter produksjonssystemer, som ofte er veldig sikre. Så det er blitt en innfallsvinkel man ser oftere, sier Tomas.

Hun kan også dele at Storebrand klarte å isolere pakken som kom inn i systemene, slik at det ikke var noe kritisk som skjedde da Storebrand fant angrepet i sine systemer.

Betaler for å bli hacket

Kvålshagen pratet på sin side om det de kaller for “bug bounty-program”. Det er altså et program der Storebrand betaler etiske hackere for å finne feil i systemene deres.

– Vi har mer enn 300-pluss etiske hackere som angriper oss regelmessig. Hvis de klarer å finne feil eller sårbarheter vi ikke kjenner til, rapporterer de det inn og får en pengegevinst. Jeg skal vise frem noen eksempler fordi vi har lyst til å dele erfaring med hva vi har sett og opplevd i Storebrand, og snakke litt om hvordan prosessen vår er med dette programmet, sier Kvålshagen.

Bug bounty-programmet er et privat program der Storebrand, sammen med en tredjepart, håndplukker hvilke etiske hackere de vil ha i sitt program. Kvålshagen forteller at det ofte er sikkerhetsforskere som er spesialiserte i finanssikkerhet, og ofte spesialister innen hver sine nisjer, noe som gjør at de ofte finner en del saker som kan utbedres.

I tillegg avsluttet Storebrand dagen med å holde en bug bounty-konkurranse, der de påmeldte fikk prøve seg som etiske hackere mot Storebrand.

Bedre på tvers av konsernet

Kvålshagen forteller også at over de siste årene har Storebrand blitt mye bedre på å avdekke og jobbe med sårbarheter og angrep i sine systemer. Og alle tre er enige om at det er en årsak til nettopp det.

– Mange sliter med at det er mye siloer mellom sikkerhet og utvikleravdelingene. Nå har vi vært på en liten turné der vi har reist mellom avdelingene i Storebrand, og da har vi laget oppgaver basert på virkelige sårbarheter vi har sett i bedriften. Vi lærer utviklerne våre å kunne utnytte dem, sånn at de kan identifisere og stoppe dem så tidlig som mulig. Det er litt derfor vi også gjør dette nå, når vi har bygd opp et robust treningssystem tenkte vi at vi kunne prøve det ut i en bug bounty-konkurranse.

– Har dere gjort endringer i Storebrand, etter at dere var rundt om og samarbeidet med de diverse avdelingene?

– Ja. Jeg husker bare noen år tilbake, så var det veldig få i sikkerhetsavdelingen som egentlig forsto hvordan alt fungerte. Men jo mer vi rakk hånden ut, jo mer merket vi at alle var veldig åpne for å snakke om sikkerhet. I starten var vi sikkerhetsfolk kanskje litt skumle å snakke med, men de trengte bare å forstå hva vi jobbet med og at vi jobbet sammen, så begynte det å skje ting, sier Kvålshagen.

Tomas trekker også frem fordelen ved å gjøre opplæringen mer konkret og i praksis, for alle som jobber med sikkerhet.

– Jeg tenker at sikkerhet noen ganger kan bli veldig teoretisk for utviklere. Da kan man ende opp med å ikke skjønne hvor dette faktisk går galt. Derfor tror jeg det er lurt å vise konkrete hendelser og være åpen, sier Tomas.

Frivillighet og samarbeid

Sikkerhet innen finans har nå blitt så sikkert, at Bergerud forteller at angrep nå skjer via forsyningskjeden, som Tomas pratet om. Noe han også ser for seg kan skje i enda større grad når man blir mer avhengig av kunstig intelligens.

– Derfor prøver vi å koble sammen sikkerhetsmiljøet og utviklingsmiljøet. I Norge har vi også et veldig godt samarbeid i bunn, gjennom blant annet Nordic Financial CERT og vi deler egentlig veldig mye. Dette arrangementet er jo også et frivillig initiativ. Vi gjør dette på fritiden, så står Storebrand for maten. Det er imponerende at nesten 130 mennesker vil bruke fritiden sammen med oss, avslutter Bergerud.