På otte måneder er danske virksomheder blevet udsat for 150.000 hackerangreb og har mistet hundredvis af millioner. Ledelsen bør derfor have direkte adgang til såkaldte Incident Response-teams, der kan få virksomheden tilbage på sporet

”YOUR FILES ARE ENCRYPTED.” Sådan begyndte den tekst, der sprang frem på skærmen, da Michael Warrer, it-chef i energiselskabet NRGi, loggede på virksomhedens servere den 28. august 2015. ”PAYMENT REQUIRED” fremgik længere nede.

It-chefen havde været midt i morgenmaden, da driftsvagten umiddelbart inden angrebet gav ham beskeden om, at ”der er noget galt”.

På trods af, at NRGis sikkerhedsniveau lå over gennemsnittet, var de blevet offer for et professionelt hackerangreb. Hackerne havde formået at kryptere omkring halvdelen af virksomhedens servere – inklusive størstedelen af deres backup – og nu krævede de et stort millionbeløb udbetalt i bitcoins for at frigive virksomhedens data.

”Vi stod i en situation, hvor virksomhedens fremtid var på spil, da hackerne også havde krypteret en stor del af vores backup. Det kan ikke beskrives, hvor ubehageligt det var. Jeg får kuldegysninger bare ved at tænke på det nu,” siger Michael Warrer til it-sikkerhedskonferencen The Future of Cyber Security i marts 2017.

NRGi slap med skrækken. Efter flere søvnløse nætter og ekstern konsulenthjælp fik de bremset angrebet, fjernet hackernes software og restoret (gendanne data, red.) med tilstrækkelig ny data. Episoden har efterfølgende fået virksomheden til at øge it-sikkerheden til et niveau, der i dag er et af branchens allerstærkeste.

”Vi er alle nødt til at lære af det her. Det er derfor, jeg går ud med historien,” siger han.

Tiden er altafgørende

Siden angrebet på NRGi er truslen fra hackere eskaleret. Center for Cybersikkerhed estimerer, at danske virksomheder på otte måneder er blevet udsat for 150.000 hackerangreb og har mistet flere hundrede millioner kroner i processen.

Det billede genkender Senior Manager Ivan Bergendorff, der leder Deloittes afdeling for Incident Response. En afdeling, som er specialiseret i at håndtere akutte cyberangreb og få virksomheden tilbage på sporet i løbet af kort tid.

For at minimere omkostningerne ved et angreb er tid en nøglefaktor, forklarer Ivan Bergendorff. Derfor rykker Deloittes Incident Response ud med meget kort varsel.

”Jo længere tid hackere og deres software er i en virksomheds system, jo dyrere bliver det. Og desto længere tid, man som virksomhed må fortælle kunderne, at man har driftsnedbrud eller lignende – desto større skade lider ens image,

Incident Response-teamet består af et hold specialister, der er eksperter i at håndtere hackerangreb. Holdet sættes med udgangspunkt i behovet ned i den enkelte hændelse og kan bestå af både tekniske eksperter, jurister, kommunikationsfolk og ledere, der kan styre hele forløbet i krisesituationer, hvor topledelsen ofte er presset pga. organisationens situation.

Angreb og skinangreb

Ivan Bergendorff fortæller, at Deloittes Incident Response har erfaring med cyberangreb af enhver type, og at ransomwareangreb som det, der ramte NRGi, stadig er en populær hackermetode. Inden for de seneste måneder har han dog oplevet, at hackerne har forklædt angreb som et simpelt ransomware-angreb – et såkaldt skinangreb – for at narre ofrene til at tro, at angrebet ikke var så alvorligt, som tilfældet i virkeligheden var.

”Vi har oplevet, at en virksomhed er blevet udsat for et ransomware-angreb og er begyndt at gendanne data uden nærmere analyse. Mange virksomheder oplever at blive ramt af den slags angreb flere gange om måneden, så det er helt rutine,” siger han.

”Men så opdager vores specialister, at angrebet kun er et skinangreb, som dækker over, at hackerne i virkeligheden er gået målrettet efter følsomme forretnings-data eller personfølsomme data.”

Hvis virksomhederne ikke efterforsker angreb systematisk, risikerer de at overse sådanne skinangreb, eller at der bliver etableret bagdøre i netværket, som hackerne efterfølgende kan bruge.

”Den slags skal jo bremses og overvåges, hvis ikke man vil risikere at blive offer for et langt mere alvorligt angreb på et senere tidspunkt,” siger han.

Velafprøvet framework

Det er vigtigt at forsvare sig yderst struktureret mod et hackerangreb, og derfor er det også det styrende mantra, når Incident Response bliver kaldt ud for at standse et hackerangreb. På samme måde skal hændelsesforløbet efterforskes og analyseres til bunds, så virksomhederne og organisationerne lærer af forløbet og kan iværksætte initiativer, der gør, at de kommer styrket ud på den anden side.

”Vi arbejder ud fra et velafprøvet framework, hvor vi scanner systemer, gennemgår og analyserer logs og etablerer overvågning efter behov. På den måde mitigerer vi hændelsesforløbet og sikrer, at fremtidige angreb hurtigere bliver detekteret og bremset,” siger Ivan Bergendorff.

Incident Responses best practice sørger for, at de relevante parter bliver involveret på den korrekte måde. Eksempelvis koncernledelsen, den juridiske afdeling, kunderne, forsikringsselskabet osv.

Derudover lægges der stor vægt på den efterfølgende læring og de erfaringer, den ramte virksomhed kan tage med fra forløbet.

”Via debriefing og en udførlig rapport med anbefalinger samt en udførlig beskrivelse af hændelsen bliver virksomhedernes modenhedsniveau løftet betragteligt. Det er nødvendigt for, at de er forberedt på det trusselsbillede, danske virksomheder befinder sig i,” siger han.

Ivan Bergendorff deler hackerne op i fire grupper, der alle udgør en trussel:

  1. Organiseret kriminelle, som er økonomisk motiveret
  2. Statssponsorerede hackere, der kan have en interesse i spionage, kritisk infrastruktur eller politisk indflydelse
  3. Hacktivister, såsom Anonymous, der er politisk motiveret og arbejder for en række politiske mærkesager
  4. Insideren, som stjæler eller lækker data med personlig vinding for øje.