I takt med att mer och mer av våra liv flyttar till internet, flyttar brottslingarna med. Men hur utbrett är egentligen databedrägeri och cyber-kriminalitet i Danmark och Sverige? Vi försöker ge klarhet i frågan här.

– Det går inte längre bara ut över oerfarna internetanvändare. Vi ser också att rutinerade webshoppare, studenter och till och med it-konsulter har fallit offer för det.

Orden kommer från Toke Mølgaard, kommunikationschef hos det Danska certifieringsföretaget e-märkningen, som under 2019 slog ett bemärkelsevärt rekord i antal polisanmälningar.

Men detta återkommer vi till senare.

Fler danskar och svenskar drabbas

Toke Mølgaards ord säger en del om hur databedrägeri utvecklas.

Och det är helt klart en kriminalitet i tillväxt. Kikar man på antalet anmälningar av databedrägeri i Danmark, har det vuxit explosivt de sista 10 åren. Från 707 anmälningar under 2009 till 22.754 anmälningar under 2018, visar statistik från vpnXpert.com.

Kikar man på utveckligen i Sverige får man ungefär samma bild. På andra sidan Øresund var det under 2010 14.350 anmälningar av det som kallas ”bedrägeri med hjälp av internett”. Under 2018 var det 26.507 anmälningar.

De danska och svenska siffrorna täcker olika typer av anmälningar, och är därför inte direkt jämförbara.

De tre mest utbredda typer av cyber-kriminalitet

Databedrägeri är ett brett område. Det som har tagit mest fokus de senaste åren är cyber-kriminalitet. I grund och botten är det en typ av kriminalitet där gärningsmannen (ofta med en välorganiserad hjälpreda i ryggen) försöker fuska till sig eller pressa pengar från individer eller företag. Enligt rapporten ”Cybercrime Survey 2018” från revisionsbyrån pWc är de tre vanligaste formerna av cyber-kriminalitet:

  • Phishing: Ett e-mail eller en hemsida, designad för att lika en trovärdig avsändare. Offret lockas till att ange personlig information som gärningsmännen missbrukar. Exempelvis försöks ofta skatt efterliknas i phishing-försök.
  • Ransomware: En dator eller smartphone som infekterats med en skadlig kod vilken låser åtkomsten till alla filer. Gärningsmannen kräver lösensumma för att släppa filerna igen.
  • CEO-fraud: Ett falskt e-mail, som till synes kommer från chefen för ett företag till redovisningsavdelningen eller en revisor i samma verksamhet. I mailet ber ”chefen” om att det överförs stora belopp till ett bestämt konto.

En rapport från det europeiska polissamarbetet Europol visar att ransomware-attacker är det största hotet för privata företag. Under 2018 minskade antalet sådana attacker mot privata företag, men Europol konstaterar att de kriminella bakom ransomware-attackerna i allt högre grad riktar attacken mot ett företag snarare än massattacker.

En analys av den danska handelskammaren gjord i Juni 2019 visar att var sjunde medlemsverksamhet har utsatts för en cyberattack under det senaste året

Risk för stort mörkertal

Det kan finnas mycket fler offer för cyber-kriminalitet än vad siffrorna visar. För företag har det varit ett stort tabu att ha blivit utsatt för en cyberattack. Det berättar Janus Sandsgaard, chef för IT och digitalisering vid Danska Handelskammaren, vpnXpert.com.

Data som inte kommer med i statistiken

SAOL, Svenska Akademiens Ordlista om mörkertal

– Företagen förklarar att de är rädda för att förlora kunder och intäkter genom att öppet berätta om det. Men det finns, såvitt jag vet, inga exempel där kunder har flytt efter en cyberattack, säger han.

År 2018 skapade Danska handelskammaren i samarbete med den danska branschstiftelsen och företagsstyrelsen en kampanj där sju företag gick ut och berättade om att de blivit utsatta för en cyberattack. Den danska handelskammaren själv påverkades också av en attack, och här var öppenhet en tydlig strategi från början.

– Naturligtvis hade det varit lättare att inte säga någonting. Men vi ville föregå med gott exempel och kanske inspirera fler att öppna sig, säger Janus Sandsgaard.

Janus Sandsgaard, Chef för IT och digitalisering vid Danska Handelskammaren. Foto: Danska Handelskammaren

Även i försäkringsbranschen orsakar mörkertalen problem. Det gör det svårt att sätta ett pris för cyberförsäkring, förklarar Peter Adelhardt, chef för försäkring och portföljutveckling i Tryg, till vpnXpert.

– På de flesta försäkringar har vi mycket statistik, så vi kan göra en ganska korrekt riskbedömning som vi anger priset för. Men här har vi ännu inte full klarhet i hur många företag som faktiskt påverkas, säger han.

Skräckexempel har gett mer fokus

Tryg, som är Danmarks största skadeförsäkringsbolag, kan känna att cyberbrott har blivit ett fokusområde för danska företag. Sedan början av 2017 har Tryg sålt cirka 11 000 cyberförsäkringar till små och medelstora företag.

– Vi upplever en stor och ständigt ökande efterfrågan på vår cyberförsäkring, eProtect. Företagen har insett att en attack kan bli riktigt, riktigt dyr om du inte har försäkring, säger Peter Adelhardt.

Det finns många fall där cyberbrott har kostat mycket pengar. Ett av de mest kända exemplen i de nordiska länderna är Maersk, som 2017 drabbades av en hacker-attack som orsakade problem med allt från att beställa nya containrar till där redan skickade containrar var belägna.

Attacken beräknas ha kostat Mærsk mellan 1,3 och 1,9 miljarder Danska kronor.

I september 2019 drabbades den största tillverkaren av hörapparater, Demant, av en hacker-attack som kostade mellan 550 och 650 miljoner Danska kronor. Företagets servrar och IT-system påverkades.

Danska Handelskammaren kontaktas av fler och fler medlemsföretag som vill ha goda råd om hur man skyddar sig mot cyber-brott. Janus Sandsgaard rekommenderar bland annat att företag använder resurser för att utbilda anställda i att vara medvetna om vilka länkar de klickar på och vilka filer de öppnar. Det borde vara en utbildning för dem som internetanvändare och inte bara som anställda i företaget, anser han och betonar att IT-säkerhet i slutändan är ett ledningsansvar. 

– Det är inte ett problem som kan avgränsas. Vi agerar ju på samma sätt på nätet, vare sig det är på jobbet eller hemma i soffan med surfplattan i knät.

Ett sorgligt rekord

Så vi är tillbaka vid Toke Mølgaard från e-märkningen, för vad var det med anmälningarna? Varje år polisanmäler organisationen webbshopar som försöker lura danska konsumenter. År 2018 meddelades 10 000 onlinebutiker – 2019 exploderade antalet till över 150 000. Kommunikationschefen medger att det kan verka dumt att göra så många recensioner. Men han hävdar att det är användbart.

Toke Mølgaard, Kommunikationschef, e-märkningen.

– Det kan verka meningslöst att göra så många anmälningar, särskilt om de inte är .dk-domäner. Då måste polisen inleda ett stort samarbete genom till exempel Europol (europeiskt polissamarbete, red.) Men våra ansträngningar är faktiskt användbara. Efter att vi la press introducerade DK-Hostmaster (organisation som ansvarar för att registrera .dk-domäner, red.) för några år sedan ett krav på att du måste bekräfta din identitet för att registrera en .dk-domän. Detta ledde till en stor minskning av falska webbshops på danska domäner, säger Toke Mølgaard.

För nya registreringar med adress utanför Danmark kontrollerar vi kontaktinformation på grundval av en riskbaserad bedömning av informationen, i samband med en ansökan om ett domännamn.

DK-HOSTMASTER PÅ EN DEL AV IDENTITETSKONTROLLEN

En ny typ av försäkring på väg?

Så vårt beteende på nätet pågår, oavsett om vi är på jobbet och läser e-post från chefen, eller om vi är hemma på jakt efter ett bra REA-fynd.

Faran för att hamna i klorna på en cyber-kriminell lurar överallt. Så borde vår privata försäkring anpassa sig? Peter Adelhardt från Tryg, säger att de har en försäkring mot identitetsstöld och en annan för den privata – men turen har inte kommit till riktiga cyberförsäkringar; ännu.

– Jag kan föreställa mig att det vid någon tidpunkt kommer att vara relevant att expandera med verklig cyberförsäkring till privatpersoner, säger han.