Sikkerheden i kvotehandel dumper: 'Dømt til at gå galt'

Den europæiske handel med CO2-kvoter er et skoleeksempel på, hvordan sikkerheden ikke skal opbygges.

Sådan lyder det fra sikkerhedseksperten Peter Kruse, CSIS Security Group, efter at det register, som virksomhederne skal registreres i for at handle med CO2-kvoter, har været udsat for angreb.

Peter Kruses reaktion skyldes, at EU stiller som krav til registrene, at e-mail-adresserne på de registrerede skal være offentligt tilgængelige.

»Det har været meget nemt at udnytte til at spear-phishingangreb. Bagmændene har vidst, nøjagtig hvem de skulle gå efter, og de har ikke behøvet at udsende hundredtusindvis af spammails, som let bliver opdaget,« siger Peter Kruse.

»Hvis man blotlægger kunder på den måde, og der er tale om, at registreret kan misbruges til økonomisk kriminalitet, så vil det også blive det,« tilføjer han.

Startede på dansk fupside

Det var netop, hvad der skete i denne uge. Ifølge flere internationale medier blev registrerede klimahandlere snydt for i alt 21 millioner kroner af svindlerne.

Det hele startede med et phishing-angreb i Danmark i januar. Svindlerne oprettede hjemmesiden kvotehandel-ens.dk. Energistyrelsen, som driver det danske kvoteregister, forkorter sig ens, blandt andet i sin internetadresse.

Alle registrerede i det danske kvoteregister blev bedt om at gå ind på fup-siden, som forsøgte at få installeret en bagdør med en keylogger på deres pc. Senere har svindlerne trukket nøglefilen ud, så de har kunnet handle via registreret.

Ifølge kontorchef Anna-Grethe Hjortkjær, Energistyrelsen, blev handlen med CO2-kvoter dengang suspenderet. Hun kender ikke til, at nogle i det danske register blev snydt.

Men i forrige uge blev phishing-angrebet gentaget i en række andre europæiske lande, hvor svindlerne have mere held med sig. Selv om handlen igen blev suspenderet, lykkedes det ifølge medierne at narre penge fra intetanende købere af CO2-kvoter.

De offentligt tilgængelige e-mail-adresser er ifølge Anna-Grethe Hjortkjær et EU-lovkrav.

Hvor hensigtsmæssigt er det?

»Det tyder på, at det ikke er særligt hensigtsmæssigt, og det er noget, som der er fokus på nu,« siger hun.

Det udtrykker Peter Kruse noget stærkere.

»Det er brandærgerligt. Det er nødt til at blive lavet om. Man må bare sige, at vi er i 2010, og så må myndighederne finde ud af, hvordan de skal håndtere det,« siger han.

Ingen mulighed for at spore pengene

Ifølge Anna-Grethe Hjortkjær har kvoteregistrene ingen mulighed for at tilbageføre kvoterne til de sælgere, som måtte være lagt ned af svindlerne.

Det er heller ikke muligt at efterspore pengetransaktionerne. Selve pengeoverførslen sker nemlig ikke via registret. Den aftaler køber og sælger direkte, ligesom al kommunikation foregår direkte mellem parterne.

Derfor har det danske energiselskab Dong sikret sig mod at blive snydt ved at indgå rammeaftaler med handelspartnere, som er gennemgået af begge selskabers juridiske afdelinger, fortæller Frank Rasmussen, chef for kvotehandlen.

Netbank-hackere bliver sporet ved at følge pengene

Det er ifølge Peter Kruse den rigtige måde at gøre det på.

»Men mindre spillere ville ikke ane, hvordan de skal gøre det. Derfor er der en masse, som kommer til at betale nogle rigtigt dumme lærepenge,« siger han.

Ifølge Peter Kruse burde kontrollen med pengeoverførslen være en del af systemet.

»I mange af de sager, hvor danske netbanker er blevet hacket, har det kunnet spores, hvor pengene er forsvundet,« påpeger han.

»På kvotehandelsregistret kan man udgive sig for hvem som helst, og betalingen kan ske ved fuldstændig vilkårlig pengetransaktion. Derfor er det meget let at sløre,« fortsætter han.

»Derfor burde også kvotehandlen sikre, at parterne benytter fastkodede kontonumre og transaktioner,« vurderer Peter Kruse.

Han mener, at det samlede setup gør kvotehandlen til et åbenlyst mål for svindlere, og næsten dømt til at blive udnyttet, så snart nogen har fået øje på svaghederne.

Der bliver hvert år handlet CO2-kvoter for milliarder af kroner. Kvoterne udgør tilladelser til at udlede CO2, som nogle virksomheder, herunder kraftværker, hvis udslip er reguleret, har behov for. Kvoterne stammer enten fra selskaber, der ikke selv har benyttet deres kvoter, eller fra CO2-reducerende projekter i ulande eller Østeuropa.