Når alarmen går

– Angriperen var ukjent, og klarte å få kryptert en del av vår infrastruktur, sier Brynjar Larssen-Aas, Chief Information Security Officer i Volue. Det var snakk om ransomware – altså en inntrenger som var ute etter løsepenger. Da Larssen-Aas ble orientert om angrepet tidlig om morgenen, iverksatte han umiddelbart selskapets nødprotokoll. Sammen med kollegaer og tre konsulenter fra Atea Norge etablerte han «war room» – der teamet hadde hovedkvarter i ukene som fulgte.

– Avtalen med Ateas Incident Response Team var til stor hjelp, forteller Larssen-Aas. Ateas Incident Response Team (IRT) består av høyt sertifiserte og erfarne sikkerhetskonsulenter, som er spesialisert på å håndtere IT-sikkerhetshendelser.

Foto: Brynjar Larssen-Aas er Chief Information Security Officer i IT-selskapet Volue.

Back-up og logger

– Vi satte i gang flere tiltak samtidig. Blant annet hentet vi inn all backup som vi oppbevarer utenfor kontorlokasjonene våre. Vi konstaterte at det var gjort nokså omfattende skade, med flere servere nede, så det gjaldt å få lagt en strukturert plan for gjenopprettelse, sier Larssen-Aas. – Det dreide seg først og fremst om å gjenopprette dataene ved hjelp av back-up, sier han. – Dessuten hadde vi tilgang til alle loggene som ikke gikk tapt i angrepet. Det var av stor verdi for oss, og hjalp oss med å forstå hvordan angrepet var gjennomført og hvor lenge angriperen hadde hatt tilgang til vårt nettverk. Dette var svært viktig informasjon å ha for det videre gjenopprettingsarbeidet.

Sammen med den øvrige ledelsen i Volue bestemte Larssen-Aas seg for å håndtere hendelsen med åpenhet – og ikke minst, at selskapet skulle komme styrket ut av angrepet.

– «Build Back Better» ble vårt slagord gjennom hele prosessen, samtidig som vi ønsket å være åpne. Mange tenker at det er pinlig, eller at omdømmet blir skadet hvis man er åpen om hackerangrep, men vi tenkte motsatt. Det gjaldt både internt i egen organisasjon og særlig overfor kunder. Etter en grundig prosess, kunne vi konkludere med at kundeløsninger ikke var berørt av angrepet, forteller Larssen-Aas.

Et tydelig råd

Leder for IT-sikkerhet i Atea Norge, Thomas Tømmernes, berømmer Volue for åpenheten de har vist etter angrepet. Han er sikker på at mange virksomheter har mye å lære av hvordan Volue håndterte dette. Tømmernes har en klar oppfordring til andre virksomheter som bekymrer seg for et skjerpet trusselbilde, der cyberangrep har blitt hverdagskost.

Foto: Thomas Tømmernes er IT-sikkerhetssjef i Atea. Han er opptatt av at virksomheter må henge med i timen, for å kunne beskytte sine digitale verdier. 

– Alle norske virksomheter bør starte med å gjennomføre en modenhetsanalyse. Det innebærer en revisjon av både tekniiske og organisatoriske systemer, basert på Nasjonal sikkerhetsmyndighet (NSM) sine grunnprinsipper for cybersikkerhet. Da vil virksomheten få en oversikt over hvor sårbarhetene ligger, og kan utarbeide en fremdriftsplan for hvordan de best kan adresseres, forteller han.

– Hackerne blir smartere og smartere, og det økende trusselbildet angår virksomheter av alle størrelser, sier han.

Gjelder alle

Særlig advarer Tømmernes mot det som kalles «supply chain fraud» – som går ut på å hacke seg inn hos underleverandører i verdikjeden for å ramme større virksomheter der sikkerheten gjerne er bedre ivaretatt.

– Det dreier seg om å utnytte den tilliten som er etablert mellom samarbeidspartnere i verdikjeden, til å snike inn ondsinnet programvare. Derfor er det svært viktig at virksomheter av alle størrelser tar IT-sikkerhet på alvor. Alle er utsatt, også små og mellomstore bedrifter. Derfor er en god idé å kreve at underleverandører har IT-sikkerhet på plass, sier han.

– Atea har utviklet en tjeneste spesielt rettet mot sikring av dette segmentet, Sirius, som vant prisen for årets sikkerhetsprodukt for små og mellomstore bedrifter. Det koster mye mindre å gjøre jobben i forkant enn å skulle rydde opp etter et angrep, konstaterer Tømmernes. Larssen-Aas er enig.

– Vi var forberedt og hadde rutiner på plass. Likevel opplevde vi et angrep som det kostet store anstrengelser å rette opp i. Den dag i dag vet vi ikke identiteten til hackerne. Vi bestemte oss for å bruke tiden og energien på å gjenoppbygge sterkere og sikrere fremfor å kontakte angriperen og betale løsepenger. For vår del var Ateas Incident Respons Team et svært nyttig supplement til vår egen kompetanse, og bidro til at vi klarte å bruke krisen til noe positivt, sier Larssen-Aas.