Telefonen ringer. Du tager den. Manden i den anden ende præsenterer sig som Mr. Scott fra FBI i New York. Han fortæller at din virksomhed har været udsat for et cyberangreb og at 29 gigabyte af din forretningskritiske data er fundet publiceret på the dark web. Hvordan reagerer du?

Historien tager sin begyndelse i starten af april, hvor fem medarbejdere hos DESMI modtager en særdeles avanceret phishing-mail. Ved at kompromittere mailsystemet hos en leverandør til DESMI, er det lykkes for it-kriminelle at sende en vellignende mail, som ikke umiddelbart giver nogle indikationer af at være ondsindet. En af de fem medarbejdere forsøger at åbne den vellignende PDF fil og accepterer samtidigt installationen af et tilføjelsesprogram. Dermed aktiveres installationen af det malware, der sætter lavinen i gang.

It-kriminelle bagmænd har nu adgang til DESMIs digitale infrastruktur og påbegynder arbejdet med at placere yderligere malware, kopiere data og i sidste ende kryptere meget store mængder af data på DESMI’s servere. Den 9 april er stort set alle systemer krypteret og er dermed ikke længere tilgængelige. Det opdager DESMIs medarbejdere i Kina, da de møder ind på arbejde og slår alarm.

Fra 5 til 23 millioner kroner

Det er onsdag morgen kl. 3, dansk tid, kort inden påskeferiens begyndelse, da Henrik og hans team bliver opmærksomme på krypteringen. Skaden er dog allerede sket og omfanget er overvældende. DESMI’s datacentre i både Danmark, USA og Kina er ramt og stort set alle  virksomhedens data er nu taget som gidsel af bagmændene, som også har opnået domæneadministratoradgang. De er gået målrettet efter økonomiske og kommercielle data, blandt andet informationer om et projekt for en større militær kunde, for at gøre det tvingende nødvendigt for DESMI at få sine data tilbage. Samtidig er indholdet af to backupservere blevet fuldstændigt slettet af hackerne og alle forretningskritiske produktionsdata er også krypteret. Løsesummen lyder i første omgang på 5 millioner kr.

Med korte intervaller stiger løsesummen fra 5 millioner kr. til hele 23 millioner kr. Et stort beløb. Men udgifterne stiger også for hver time virksomheden er ude af drift og meget af den data, der er taget som gidsel kan næsten klassificeres som uvurderlig.

Redningsaktion

Henrik Buss har for blot tre måneder siden overtaget ansvaret for DESMI’s it-drift. Nu bærer han ansvaret for at lede og koordinere den indsats, der skal bringe DESMI tilbage i normal drift efter et cyberangreb har krypteret nærmest alle forretningskritiske data og systemer. En opgave som kræver både interne og eksterne ressourcer og skal vise sig at være langt større end først antaget

DESMI har ikke en plan for disaster recovery i baghånden og derfor går man indledningsvist i gang med at prioritere, hvilke systemer som skal tilbage i drift først. Ud over it-afdelingens medarbejdere indkalder DESMI tre håndfulde kolleger fra andre afdelinger, som alle gennemgår et lynkursus i it-support for at kunne yde basal assistance og skifte passwords for it-brugere i Danmark, USA og Kina under genetableringen.

It-sikkerhedseksperter fra CSIS flyver ind for at stå for opklaringsarbejdet og kortlægge skaderne. Henrik Buss tilkalder også netIP for at sikre konsulenter, der kan reetablere DESMI’s systemer på ny hardware. Flere af netIP’s konsulenter afbryder deres påskeferie for at træde til og indlogerer sig på madrasser i et mødelokale hos DESMI.

Taskforce

En taskforce er nu etableret og på et whiteboard styrer Henrik Buss slagets gang, ved at prioritere den ustoppelige tilgang af opgaver og fordele dem mellem de forskellige specialister, konsulenter og medarbejdere. Samtidig sørger han for at holde både direktionen, bestyrelsen og resten af organisationen i DESMI underrettet undervejs og besvarer en uendelig række af spørgsmål angående indsats og status. Derudover håndterer HR chefen kommunikation til datamyndighederne i de 20 forskellige lande hvor DESMI er repræsenteret

Alle opgaver er kritiske, og højintensive og al involveret personale arbejder i døgndrift, kun afbrudt af korte hvil på madrasserne i det tilstødende mødelokale. Der knokles fokuseret med at løse de tekniske udfordringer, såvel som de praktiske, som for eksempel at navigere i de sprogudfordringer, der findes på tværs af en global organisation. Tiden er også en faktor, for mens holdet er begunstiget af påskens helligdage herhjemme, som gør at situationen haster en smule mindre, stiger presset fra de udenlandske kolleger time for time.

Konsekvenser

Selvom konsekvenserne af cyberangrebet var betragtelige for DESMI, kunne situationen have været langt mere katastrofal, end tilfældet var. DESMI havde deres offsite backup på plads og installationen af de nye servere før angrebet, kunne næsten ikke være foretaget på et bedre tidspunkt. Derudover gav timingen op til helligdagene i påsken både et mindre driftstab, grundet nedsat aktivitet, samt ekstra arbejdstid til at stoppe skaden og genetablere de meste driftskritiske systemer, mens de danske it-brugere holdt ferie. Driftsstoppet berørte derfor primært DESMI’s medarbejdere i udlandet. Hvis krypteringen først var blevet opdaget efter påskeferien, havde situationen været en hel anden

Den samlede regning er umiddelbart mindre end den pris hackerne krævede i løsesum og så har man samtidig rustet sig bedre i mod fremtidige angreb:

”Det var en dyr omgang, men halvdelen af regningen var noget der i forvejen var planlagt. Den anden halvdel gik til selve oprydningsarbejdet, som vi selvfølgelig gerne havde været foruden. Hertil kommer driftstabet, som vi led i perioden.”, fortæller Henrik Buss.