Hur säkra är elektroniska tillgångar i din bank efter en hacker-attack?

Bakgrund

Jag har precis sett dokumentären The Perfect Wapon (2020) på HBO Nordic. (Trailer på youtube: THE PERFECT WEAPON Trailer (2020) HBO - YouTube).

Vi sparar och bygger upp tillgångar med ränta på ränta effekt under 30-40 år för att skörda senare i livet. Idag förvaras nästan alla våra tillgångar elektroniskt i banken utan bankbok eller motsvarande och vi förutsätter att de ska finnas kvar. Enligt Jan är “svarta svanar” vanligare än man kan tro och en hacker-attack mot Sverige är relativt billigt för en illasinnad organisation.

Om man vill tillfoga Sverige största möjliga skada och kaos (inför t.ex. ett krigsanfall) attackerar en inkräktare elektroniskt vår infrastruktur, elnätet och bankerna och krypterar, raderar, förvanskar allt data och alla register. (I dokumentären tar man upp att Ukraina är Rysslands fullskaliga testområde för denna typ av attacker.)

Frågor

1. Hur bevisar man för en bank som t.ex. förlorat alla kundregister att man är kund med vissa tillgångar?
   (Kan man lita på deras backuper som kanske också blivit attackerade?)

2. Ska man med jämna mellanrum skriva ut ens tillgångar på fysiskt papper och förvara dessa säkert eller kommer det ändå inte gälla som bevis?
   (Efter krig har folk haft svårt att bevisa att man är ägare av t.ex. dyrbara tavlor, etcetera.)

3. Måste en bank ha kopior hos FI eller motsvarade institut?

4. Ska man sprida riskerna och förvara elektroniska tillgångar i olika banker och i andra länder (Degiro finns t.ex. i Holland)?

För övrigt utforskas det här scenariot även i TV-serien Mr Robot. Där hintas det att Bitcoin kunde vara räddningen, men i sann ironi flyttas fokus till den centraliserade digitala valutan E-Coin.

1. Vet inte. Men om banken glömmer bort att jag har mitt bolån där gör det inget.

2. Kanske är en bra idé!

3. Vet ej.

4. Vad är sannolikheten för att övriga EU och Väst inte blir utsatta för samma bråkstakeri? Ett angrepp mot Sverige är ett angrepp på EU som är ett angrepp på NATO.

Kom även ihåg att bara för en annan stat kan attackera vår infrastruktur från avstånd betyder det inte att vi inte kan göra samma sak mot dem. Ukraina är kanske inte världens starkaste cybermotståndare.

Och ett tillägg från William Bernsteins sida, marknadshistoriker.

Let’s examine a small sampling of possible political, economic, and military failure modes:

The mildest scenario is that of catastrophic inflation, as experienced in Germany and Hungary in the 1920s or, more recently, in much of the developing world.

Political failures are slightly worse, since these threaten the basic human motivation to work and produce. The state, for whatever reason, can decide to confiscate your assets or, worse, society’s means of production. Anyone who judges this unlikely should turn on CNN during any G-8 or WTO conference.

Local military action. Probably the lowest-probability item on this list, but something to think about on other continents.

The Big One: Some deranged prime minister or colonel in central Russia, Pyongyang, or South Asia could let loose the four horsemen upon the planet.

So, think about what a 97% 40-year success rate means: the absence of all of the above for approximately the next 1,200 years. (A 97% success rate means a 3% failure rate; those 40 years divided by 0.03 is 1,200 years.) Ignore for a minute the uncertainties of the less-developed world and think only about the winners: Germany—in this century alone, three episodes of military and/or economic disaster, the first two associated with mass starvation. Japan—wartime devastation even worse than Germany’s. England—near brushes with disaster in 1812-1814 and in both world wars. And even the United States—repeated banking failures, civil war, and the near-bankruptcy of the Treasury in the 19th century. The near collapse of the capitalist economy in the 1930s. And oh yes, I almost forgot—the entire globe barely missed mass incineration in October 1962.

A wildly optimistic historian might give us another few centuries of economic, political, and military continuity. Back-of-the-envelope, that’s about an 80% survival rate over the next 40 years. Thus, any estimate of long-term financial success greater than about 80% is meaningless.

Och varför man ska komma ihåg att leva lite

So live a little, and enjoy your money, for tomorrow we may be consumed by the ghosts of Hitler, Lenin, and Attila the Hun. And at withdrawals of 3% to 4% of your nest egg, don’t spend it all in one place.

Detta skyddar man sig mot genom att inte ha alla tillgångar elektronikt.

Tack för ditt svar.
Svar 1) Kul om banken glömmer ditt bolån, men det skapar kaos i samhället om alla bolån försvinner för många banker samtidigt

Svar 4). Jag förstår att Sverige kan ge igen men problemet kvarstår för mig personligen om mina tillgångar trollas bort. Vi använder nog mer kreditkort än Ukraina. Om jag t.ex. jämför med Frankrike så använder de mycket mer kontanter, en bankomat i varje kvarter. Sverige kanske har bättre cyberförsvar än Ukraina (tveksamt dock) men är tyvärr känsligare för avbrott.

Tack för svar.

Och hur förvarar man dessa tillgångar säkert? Något förslag? (Man vill ju inte ha guld i massor eller kontanter i madrassen, eller bitcoin som man är rädd att man raderar av misstag)

@jonhi Tack för svar.
Men hur kommer mina fonder, aktier, REIT, etcetera sparas i bitcoin. Du kanske menar blockkedjeteknik?

Det viktigaste är väl att inse att ingenting är helt säkert, och därför inte bara diversifiera i tillgångsslag, utan också i investeringsplattformer. Allra helst både fysiskt (ex bostad, guld) och digitalt (ex Avanza, svensk bank, bank i annat land, krypto). Inte nödvändigtvis i alla olika former, men åtminstone i 2-3 av dem. Risken att allt ska försvinna samtidigt är åtminstone mindre då. Sen får man leva, som någon skrev, och inte oroa sig.

Vill du inte befatta dig med de mest lämpade icke-elektroniska tillgångarna blir det ju svårt.

Risken för att ens kontanter blir totalt värdelösa vid ex. krig skulle jag säga är större än att ens aktieinnehav går åt helvete, så det alternativet kan man stryka direkt. Svaret är guld på flera olika platser samt tidsödande förvaring där det tar 20-30 minuter att komma åt guldet även om man vet exakt var det finns.

@anders71 tack för svar, en helt ny dimension av att diversifiera - inte i tillgångslag utan i platser

Jag ser det som en större risk att t.ex. en grov sårbarhet i BankID hittas. I ett parförhållande tror jag därför att det är mer diversifierat (mot targeted attacks) om ena partnern har Lysa och andra partnern har Avanza, än att ena partnern har både Lysa och Avanza (vilket inte är ovanligt när ena är ekonomiintresserad och andra inte är det).

Ja, därför har jag en del tillgångar som det tar flera dagar (fonder), en vecka (vissa nischbanker) eller till och med ett telefonsamtal (7 års bundet nischbanker) för att kunna ta ut pengarna.

Men jag känner mig rätt övertygad om att det ska finnas backup som är offline åtminstone en gång per dag så att det åtminstone skulle gå att återställa systemet från en given tidpunkt. Visst kan mycket hända under den tid det tar att återställa en backup, men jag tror det är ganska många instanser som har koll på hur pengaflödet rör sig så jag tror det mesta skulle gå att återskapa även om det säkert skulle ställa till en del krångel för stunden.

Men just detta är en av riskerna jag ser med att försöka trolla bort kontanter ur systemet. Fastigheter är ett annat alternativ än guld för att skydda sig mot denna typ av händelser.

Jag har jobbat med IT-drift under några år och på den tiden togs varje dag backup av för det företaget viktig data som vi sedan kopierade över på magnetband, och dessa körde vi varje dag ner till ett kassavalv. Det låg typ 10 meter under mark och såg ut precis som i filmer med en rejäl flera dm tjock dörr. Väggarna var säkert flera meter tjocka. Jag inbillar mig att de där banden överlever ett kärnvapenkrig.

Idag överförs backup digitalt till något säkert ställe, och om det inte är EMP-säkert har de inte gjort sitt jobb.

Jag förutsätter att banker och myndigheter har ett liknande (men säkrare) upplägg.

Sen kanske saker och ting försvinner ändå vid en total samhällskollaps, men då kanske man inte bryr sig om banklån och andra digitala tillgångar.

@Henrik79 tack för svar. Jag bara spekulerar nu, för jag vet inte. Men som i filmen höll hackarna på i månader och var inne i ett kasino i Las Vegas och förberedde. Om någon skulle lägga in virus även i backuperna i månader. Allt åker ner i valvet och förvaras “säkert”. Efter kaoset läser man tillbaka allt data från backuper och virus numer 2 slår till. Tror inte vi ännu har sett till maken till oreda som kommer att hända i framtiden.

@Johann tack för svar. Sant, BankID är väldigt sårbart för Sverige.

@Daniel_Nilsson tack för svar. Jo, fastigheter är bra, men då ska man ha ett så byråkratiskt system med notarier och pappersstämplar som i Frankrike. Otroligt jobbigt att köpa och sälja men det gör det även hopplöst att hacka

Det var mest en kommentar om att det fanns en TV serie som behandlade lite samma ämne.

Men mer relevant till ämnet så kunde krypto potentiellt vara ett annat tillgångsslag, som istället för pengar på bankkontot, som är mer robust mot en sån här attack (då ledgern sparas överallt över hela jorden).

Teoretiskt skulle man kunna tracka aktier och andra värdepapper via tokens på en blockchain (även Bitcoin), men det skulle såklart kräva en gigantisk finansiell skift, och det är inget vi som privatpersoner skulle kunna göra för att skydda oss själva.

Även om det sker backup:er och de ska lagras på ett korrekt sätt så är det inte säkert att backup:erna är säkra för t.ex. Ransomware. Allt beror på hur backup:erna hanteras och vad en hacker lyckas med och när det upptäcks av företaget som utsätts för attacken. Många ransomware idag försöker öven kryptera eller på andra sätt förstöra även backuperna. Som hacker är det ju ett problem om du lyckas kryptera ett system men de inom 24 timmar kan återställa hela miljön från backup:er, då har man ju inte mycket hållhake på företaget för att kräva lösensummor.

En annan sak vad gäller backup:er är att de ofta kan vara bristfälliga. Många företag gör backup:er men har man en bra Distaster Recovery Plan så måste man regelbundet återställa backuperna för att se att de verkligen duger. Det hjälper ju föga om man den dagen olyckan inträffar har backuper, men de duger ingenting till.

Jag har dock gått utbildningar inom datasäkerhet med några av de vassaste inom datasäkerhet i Sverige som bland annat jobbar med banker och jag känner mig hyggligt trygg i att just banker har betydligt högre IT-säkerhet än de flesta andra företag. Men visst, vill en stat verkligen hacka bankerna så kan de. Det är bara en fråga om tid och pengar. Jag skulle dock snarare tänka att de som kan och har dessa resurser är stater och att de tänker efter innan de skulle utföra något sådant. Att alla Sveriges banker går omkull och förlorar all information om allt kapital samtidigt får ju antagligen stora konsekvenser för hela världsekonomin även om det blir värst för oss privatpersoner.

Inte lika övertygad om att det är så lätt, jag tänker att någon skulle gett sig på USAs system för länge sen då. Sedan är det inte helt trivialt att hacka alla banker samtidigt utan att något går snett.

Klart det kan hända, men då känns det troligare att man dör i en trafikolycka när man sätter sig i sin bil. Däremot att lyckas hacka bank id eller liknande ser jag som en större risk och det kan man skydda sig mot till viss del genom att se till att pengarna är “låsta” i till exempel fonder/andra saker som tar tid att få ut pengarna så man hinner märka det. ETF:er/aktier däremot är ju mera likvida samt ens vanliga bankkonto så där är man mera känslig.

En del papper har man ju också om att man köpt lägenheter så det kan man delvis hantera utan elektronik.

Jag menade inte att det var lätt, mer att om viljan finns så är det möjigt. När det gäller datasäkerhet handlar det inte om att göra det omöjligt utan bara att göra en attack så pass dyr och tidsödande att de väljer ett annat lättare mål. För du kommer aldrig kunna säga med 100% säkerhet att det inte går att ta sig förbi dina skydd som du bygger upp.

Sen är det ju också en stor skillnad på att hacka en enda bank och att synkronisera och hacka ett helt lands banksektor.

Ja, en enskild bank går säkert att hacka utan jättestora resurser, men det skyddar man sig ju mot genom att ha flera banker. Men om till exempel Lysa, Nordnet eller Avanza blev hackat och registrena över aktieandelar/fondandelar sabbade så är det ju lite värre. Men öven detta går att skydda sig mot genom att ha sparandet på flera olika ställen. Men jag tänker att även här så lagras inforationen om transaktionerna på mer än ett ställe så det borde gå att återställa också. Men jag har valt att sprida ut mitt sparande på NN, Avanza, LF och SAVR delvis av denna orsak.