DDoS-angrebet mod Nordea: Det skete der
I september 2024 blev Nordea ramt af det største DDoS-angreb i bankens historie. Her kan du komme med bag kulissen og få indsigt i, hvad der rent faktisk skete – fra de første tegn på angrebet til krisehåndteringen i kontrolrummet.
DDoS (Distributed Denial of Service)
Et forsøg på at overbelaste og drukne et system, typisk en webserver, med så ekstrem stor trafik, at det bliver utilgængelig. Kan sammenlignes med at sende tusindvis af falske kunder til en butik, så de rigtige ikke kan komme ind.
Tidligere krævede det teknisk snilde og adgang til tunge maskiner. I dag er et DDoS-angreb noget, man i praksis kan købe som en tjeneste – lidt som at bestille en pizza.
De første angreb rammer
Rune Espensen er også tilknyttet Nordeas first response team. Sker der en alvorlig hændelse – som fx et cyberangreb – bliver dét team aktiveret som det første.
Da nedetid og databrud selvsagt kan have store konsekvenser, er det afgørende, at first response teamet reagerer hurtigt, præcist og koordineret.
Der er derfor udarbejdet planer, øvelser og telefonkæder, så alt kan ske effektivt – også klokken 03 om natten.
Det er heldigvis sjældent, at beredskabet bliver taget i brug. Derfor er det også noget, man løbende øver, så man er klar.
Da Rune Espensen om morgenen d. 13. september 2024 blev orienteret om en hændelse, var det ikke en øvelse.
”Jeg får en notifikation om et uregelmæssigt DDoS-angreb. Det er vi vant til. Det sker jævnligt. Men denne gang var der reelt impact, og det ændrer selvfølgelig karakteren af hændelsen,” fortæller Rune Espensen.
”Vi er blevet dygtige til at mitigere DDoS-angreb, så vi betragtede det som ren rutine og fik aftalt foranstaltningerne og forventede en rolig weekend.”
Mens 29.000 løbere lørdag morgen drog ud på de 21,0975 km til Copenhagen Half Marathon, blev Rune Espensen ringet op igen. DDoS-drillerierne fortsatte. Det skete samtidig med en failover-test, som var planlagt, hvor ét af Nordeas datacentre skulle lukke ned for at teste robustheden.
Det betød i praksis, at Nordeas it-infrastruktur kørte på lavere blus.
Vurderingen blev, at de godt kunne fortsætte testen, for DDoS-angrebene var mitigeret, og alle systemer snurrede som planlagt.
Nordeas it-systemer begynder at vise svaghedstegn
Angrebene fortsatte søndag, og mistanken om, at noget større var i gang begyndte at indfinde sig.
Da billedet gentog sig mandag, begyndte Nordeas it-systemer at vise de første svaghedstegn. Services begyndte at være utilgængelige og kunder oplevede sporadisk, at de ikke kunne logge på deres netbank.
”Vi oplever desværre i øjeblikket tekniske udfordringer, som blandt andet påvirker adgangen til net- og mobilbank,” lød det fra Nordea til Ekstra Bladet om mandagen d. 16. september.
Bag linjerne undrede Nordeas it-sikkerhedsteam sig. Hen over weekend havde de allerede vellykket afværget angrebene og sat passende værn op mod nye – hvorfor fortsatte det? Hvorfor blev systemerne overbelastede?
Tirsdag eskalerede DDoS-angrebene både i antal og styrke. Services gik ned igen, og nu bredte alvoren sig.
”Vi er under angreb. Ikke bare et klassisk DDoS-angreb, som vi kender det, men et avanceret og koordineret angreb,” husker Rune Esepensen, der fortsætter:
”Det overraskende var kompleksiteten. Normalt ser vi 1-2 kendte DDoS-teknikker i brug – her identificerede vi ca. 15 forskellige. Det tydede på en helt anden type modstander, end vi normalt ser.”
400 angreb på lidt over en måned
Som konsekvens blev dele af failover-testen aflyst for at kunne fokusere fuldt ud på at modsvare angrebet.
I løbet af de omkring 40 dage, som angrebene varede, oplevede Nordea det største DDoS-angreb i bankens historie.
Bankens systemer blev bombarderet. 400 angreb på lidt over en måned. Det er mange, når der på hele året havde været omkring 20.
I samme periode blev Nordea også ramt af en systemfejl, det blot førte til flere problemer for de hårdtprøvede it-systemer. Den havde ikke noget med DDoS-angrebene at gøre, men gruppen bag angrebene opfattede det anderledes.
”De reagerede på det og intensiverede deres indsats – sandsynligvis i troen på, at det var deres værk," fortæller Rune Espensen.
"Vi er altså vidende til et angreb, der ikke bare er i voldsom volumen og med teknisk kompleksitet – vi har også at gøre med en modstander, der forsøger at udnytte situationen taktisk."
Nordea var ikke det primære mål
Det står på dette tidspunkt klart, at Nordea kæmper mod en modstander, der har helt andre ressourcer og kompetencer, end hvad man ville se komme ud af et tilfældigt teenager-værelse. Mistanke om en større aktør blev kun styrket af, at det ikke kun var Nordeas beredskab, der blev sat på prøve i den periode.
”Det, vi kan sige med sikkerhed, er, at Nordea ikke var det primære mål. Hele den svenske banksektor blev ramt – og nogle finske banker også. Samtidig så vi lignende angreb andre steder i verden."
På intet tidspunkt var kundedata i fare, følger Rune Espensen op. Det eneste angrebet medførte var, at visse kunder i visse perioder ikke kunne logge på deres netbank. Et økonomisk motiv er også tvivlsomt, eftersom et DDoS-angreb primært iværksættes for at overbelaste systemer og services. Så motivet var et andet.
Det handlede om at skabe usikkerhed og støj, er Rune Espensens analyse – og så må man selv gætte sig til, hvem der kunne have den interesse.
”Det er den form for destabilisering, vi ser oftere og oftere: Angreb der ikke nødvendigvis vil skade én virksomhed, men snarere samfundets tillid og stabilitet. Målet er at få Hr. og Fru Danmark til at tvivle: 'Er mine penge nu sikre?” lyder det fra Rune Espensen, der følger op.
”Og ja, pengene var sikre – der var bare lidt for meget trafik på linjen.”
God nattesøvn
Nordeas DDoS-forsvar, er som følge af hændelsen yderligere blevet styrket. Det fra et i forvejen højt niveau, siger Rune Espensen.
"Vi har en kompleks it-infrastruktur – vi er en stor bank, og det gør selvfølgelig arbejdet med it-sikkerhed mere udfordrende,” siger han og fortsætter:
”Men selvom det er komplekst, er vi godt med. Vi er compliant med gældende regulering og ligger over den regulerede baseline på mange områder. Men vi ser selvfølgelig altid på, om der er noget, der kan modnes eller forbedres,” siger han.
”Jeg sover godt om natten. Jeg har tillid til, at vi har styr på beredskabet,” følger han op.
De kriminelle deler viden - det bør vi også
Det er ikke blot for at give en god historie til pressen, at først Mads Skovlund Pedersen og nu Rune Espensen går ud og taler forholdsvist åben om den avancerede telefonis.
Det handler om at styrke videndeling i sektoren.
“Det er jo også derfor, jeg sidder og snakker med dig nu – og derfor jeg har været ude og fortælle om det på konferencer og ved andre lejligheder. Det nytter ikke noget, at vi gemmer på det,” siger Rune Espensen og fortsætter:
”Vi er nødt til at have en bredere og mere åben samtale i samfundet. Vi er nødt til at blive klogere sammen. For vi ved, at de kriminelle allerede gør det. De deler teknikker, taktikker og viden om, hvordan og hvornår man kan angribe. Derfor skal vi også – i sektoren og i samfundet – blive bedre til at dele erfaringer.”
Selvom mange kunder i de første dage af angrebet oplevede, at net- og mobilbanken i perioder var nede, fik Nordea i samarbejde med en leverandør hurtigt kontrol over situationen.
Omkring 90 % af angrebene blev mitigeret, siger Rune Espensen.
”De 10 procent, der havde effekt, fandt næsten alle sted i første uge – omkring 85 procent. Så da vi først forstod angrebets karakter, fik vi hurtigt styr på responsen."