Hackere som jobber på vegne av kinesisk etterretning, skal ha utført et datainnbrudd mot det norske programvareselskapet Visma.
Ifølge sikkerhetssjef Espen Johansen i Visma ble dataangrepet oppdaget etter kort tid. Angrepet skjedde i fjor høst, men først nå er det blitt kjent hvem som sto bak. Han er sikker på at hackerne ikke har fått tilgang til noen av kundenes nettverk.
– Men hvis jeg tar på meg «paranoiahatten», kunne dette ha vært katastrofalt. En stor etterretningsorganisasjon et sted i verden som vil samle så mye informasjon som mulig, vil selvsagt gå etter et samlingspunkt. Det sier seg selv, opplyser Johansen til nyhetsbyrået Reuters, som først omtalte saken.
Johansen sier til NTB at angrepet ikke har fått noen alvorlige konsekvenser for selskapet, men at de valgte å gå ut med saken for å skape bevissthet.
– Det som skjedde, var at en trusselaktør brøt seg inn gjennom en citrix-server vi hadde. Det var en avansert aktør, som vi så beveget seg fort og fint. Det var åpenbart ikke en 12-åring på gutterommet, det var flinke folk, sier sikkerhetssjefen.
Etter at angriperne var «vasket ut» av systemet, ble selskapet Recorded Future hyret inn for å undersøke saken.
– Vi ønsket å avdekke hvem i all verden dette var. Bevisene de fant, peker i retning av Kina, sier Johansen.
Selskapet har i dag publisert en detaljert rapport om angrepet.
– Vi har delt alle data og ønsker å være helt transparente. Jeg håper at folk vil lese rapporten, sier Johansen.
Han oppfordrer folk på IT-avdelinger rundt om i Norge å sjekke opplysningene i rapporten mot egne systemer.
– Sjekk den mot interne logger, sjekk om den rakkeren har vært på besøk hos dere også, sier han.
Angrepet skal ha vært en del av det vestlige land har beskrevet som et stort dataangrep fra Kinas sikkerhetsdepartement i desember, med mål om å stjele forretningshemmeligheter.
Kinesiske myndigheter har ikke besvart Reuters’ henvendelser om saken, men har gjentatte ganger avvist enhver deltakelse i dataspionasje.
Ifølge en rapport fra sikkerhetsselskapet Rapid7 fikk hackerne tilgang til Vismas nettverk ved å bruke stjålet påloggingsinformasjon. Hackerne skal ha utført datainnbruddet på oppdrag av en gruppe kjent som APT 10, som vestlige myndigheter mener står bak det såkalte Cloudhopper-angrepet.
Johansen opplyser til NTB at hackerne fikk tilgang til krypterte brukernavn og passord til de interne systemene, men at de ikke fikk tilgang til kundesystemet.
Visma har hovedkontor i Oslo og over 8.000 ansatte på verdensbasis.
Politiets sikkerhetstjeneste (PST) er ikke involvert i etterforskning av saken.
– Vi har hatt dialog med Visma og er kjent med saken, men dette er ikke noe vi etterforsker. Det er bra at Visma har åpenhet om nettverksoperasjoner som dette, sier seniorrådgiver Martin Bernsen i PST.
Nasjonal sikkerhetsmyndighet (NSM) kjenner godt til angrepet mot Visma og har bistått selskapet.
– Vi har bistått i håndteringen. Vi vil berømme selskapet for å ha håndtert hendelsen godt teknisk og for å ha vist åpenhet, sier kommunikasjonsdirektør Mona Strøm Arnøy i NSM.
Hun sier det er viktig at selskaper er åpne om hendelser som dette.
NSM er nasjonal varslings- og koordineringsinstans for alvorlige dataangrep og andre IKT-sikkerhetshendelser.