10. juli ble en 17-åring fra Bergen pågrepet for dataangrep på en rekke store, norske nettsteder.

17-åringen har vært i kontakt med en data-dømt 20-åring via Skype, og Aftenposten har fått tilgang til dataloggen.

17-åringen skriver at han aldri mente å skade noen med angrepene og at han har vært et «mørkt sted». Samtidig roser han politiet for måten de har behandlet ham på.

— Hvis dette er hans verk alene, er det imponerende, sier 20-åringen til avisen.

Dømt i fjor

Aftenposten har et lengre intervju med 20-åringen fra Østlandet, som har hatt kontakt med 17-åringen. Han ble dømt for dataangrep i fjor.

- Jeg tenkte ikke over konsekvensene i det hele tatt. Det var bare for moro, sier han til avisen.

Norge taper 20 milliarder kroner i året på dataangrep, anslår Nasjonal Sikkerhetsmyndighet. Da hackeren «PolarDotNet» angrep en rekke hjemmesider for moro skyld i 2012, kostet det bedriftene flere millioner kroner.

Han kaller seg «PolarDotNet». 20-åringen fra en bygd på Østlandet sitter på en kafé i Oslo sentrum med hendene i fanget.

- Jeg bruker fortsatt tid på data, men jeg holder meg innenfor loven, sier han.

Mannen er over halvveis i soningen av samfunnstjenesten, som blant annet består av gressklipping i hjemkommunen.

Nå er 20-åringen i samtaler med et multinasjonalt selskap om en mulig prosjektstilling, tett knyttet til angrepene han gjennomførte i fjor. Uten studiekompetanse og jobb håper han på en ny start.

- Alle som driver med dette, blir tatt til slutt, sier han.

Historisk dataangrep

Med utgangspunkt i en engelsk undersøkelse har NorCert i Nasjonal sikkerhetsmyndighet regnet ut at datakriminalitet årlig koster Norge 20 milliarder kroner. Det er nesten dobbelt så mye som Regjeringen bevilget til kultur i fjorårets statsbudsjett.

Sammen med kameratene «FreshDotNet» og «HurpeDotNet» ble mannen dømt for såkalte tjenestenektangrep (DDoS) mot en rekke bedrifter og organisasjoner.

Dette innebærer at nettsidene som blir angrepet, ikke er tilgjengelige for brukerne.

DNB og Politiets sikkerhetstjeneste ble angrepet i tillegg til KK.no, Lommelegen.no og flere andre nettsteder.

Oppdager ikke alt

- Til tross for at de store virksomhetene har egne avdelinger som håndterer informasjonssikkerhet i bedriften, blir ikke alltid dataangrepene oppdaget, sier fungerende leder Tone Bakås ved Norsk senter for informasjonssikring (NorSIS).

NorSIS jobber særlig rettet mot norske virksomheter i privat og offentlig sektor.

Blant de små og mellomstore bedriftene har man sjelden egne ansatte som jobber med it-sikkerheten.

- De alvorligste dataangrepene er industrispionasje gjennomført av profesjonelle kriminelle, som kan tjene store penger på informasjonen de innhenter, sier hun.

Enkelt hærverk

Ungdommene i «DotNetFuckers» gjennomførte også tjenestenektangrep.

Den da 18 år gamle mannen brukte hele natten på planlegging og gjennomføring av dataangrep og sov til langt ut på ettermiddagen. Slik har det vært siden han fikk en PC i hendene for første gang, forteller han.

- Til slutt følte jeg meg avhengig av dataangrepene. Det ga meg et voldsomt kick. Samtidig var det så enkelt at en hvilken som helst amatør kunne gjort det, sier han.

Ville plage «brunkrem-tøsene»

Årsakene til angrepene på de utvalgte nettsidene var ulike. Ifølge mannen gikk de til angrep på blogg.no for å provosere «brunkrem-tøsene». Språkrådet ble rammet fordi en av mennene hatet nynorsk. Enkelte av serverhotellene til nettstedene gikk ned og tok med seg flere nettsider samtidig.

De tre mennene satt på hvert sitt rom i ulike deler av landet og kommuniserte via Skype. Samarbeidet ga dem muligheten til å gjennomføre kraftigere angrep, før de ble tatt av Kripos.

- Hva tenker du om at det er såpass enkelt å angripe store virksomheter?

- Jeg synes det er merkelig. DNB påsto at de hadde investert stort i filtreringer og utstyr for å forhindre nye angrep. Det ser ikke ut til å fungere, sier han - og viser til 17-åringen fra Bergen som nylig ble tiltalt for det mest omfattende dataangrepet som har vært mot norske virksomheter.

Betraktelig økning

I sin statusrapport om kriminaliteten i Norge skriver Politidirektoratet at angrep rettet mot IKT-systemer har økt betraktelig. Eksempler på dette er datainnbrudd, digital spionasje, hacking og nettbankbedragerier.

Ifølge nasjonal sikkerhetsmyndighets (NSM) nylige kvartalsrapport, preges risikonivået i Norge av mange og omfattende sårbarheter.

Angrepene kommer fra en rekke steder. Både statlige etterretnings- og sikkerhetstjenester, via tradisjonelle militære motstandere, globale næringsbedrifter, terrorist- og ekstremistgrupper, til organiserte hacker-grupper.

Mørketall

Som fagdirektør for sikkerhetskultur i NSM kjenner Roar Thon godt til utfordringene. I fjor håndterte de 16.000 hendelser om dataangrep, noe som er ny rekord.

50 av disse regnes for å være alvorlige hendelser.

- Her er det betydelige mørketall. Det ligger ingen automatikk i at alle saker rapporteres til oss eller politiet, sier Thon.

Gjennom å leie inn datakraft fra en større mengde datamaskiner kan en alminnelig 17-åring ramme store nasjonale bedrifter.

- Man trenger ikke være hacker eller kalle seg noe som helst for å gjennomføre et tjenestenektangrep. I verste fall kreves det bare et kredittkort og vond vilje, sier Thon.