Når cyberangrepet rammer: Den snikende faren i IT-systemene dine

Abacus og Online Accounting ble rammet i hvert sitt cyberangrep. Historien deres, og deres vilje til å dele den åpent, kan være til hjelp når – ikke hvis, men når – det blir din tur.

– Det er to typer selskaper: De som vet at de blir hacket, og de som ikke vet at de blir hacket. Alle er det, det er jo den nye hverdagen at kjeltringer forsøker seg på å snoke rundt i IT-systemer, men det er ikke alle som er bevisst at de er det.

Det sier Geir Braathe, statsautorisert regnskapsfører og daglig leder i Abacus Ratio AS. Du husker kanskje navnet hans fra da han i midten av september ble kåret til «Årets Overskudd 2023» under Regnskap Norges årlige storarrangement? Halvannen uke senere – natt til søndag 24. september – ble regnskapsforetakets morselskap angrep av en svært profesjonell cyberbande.

Fase 1

– Dette var det vi nå kaller Fase 1. Alle kundene til datasenteret ble berørt, de kriminelle låste filer, systemer og tilganger, og krevde løsepenger for å låse opp igjen. Abacus Ration hadde som sådan knapt systemer i datasenteret, siden vi produserer regnskap på kundenes egne skyløsninger. Vi var isolert sett derfor lite berørt av hendelsen i vår produksjon, forteller han.

Langt på vei henger dette sammen med at Braathe selv har vært med på grunnlegge flere IT-selskaper, hvorav det siste het Abacus IT og leverte ERP-systemer via skyen. Når alle dataene lå der, kunne regnskapsforetaket i og for seg opprettholde produksjonen – i den utstrekning det lot seg gjøre når morselskapets sentral var tvunget i kne.

Fra første stund besluttet Abacus å være åpne med kunder og omverden. Så fort de fikk en viss oversikt over situasjonen, informerte de kundene så godt de kunne om hva som hadde skjedd og hva de gjorde for å redde situasjonen. Det tok en uke å få ting opp og stå, men en så erfaren fagperson som Braathe vet jo godt at selv om du klarer å reinstallere backup’en og får systemene opp igjen, betyr ikke det at alt er «back to normal».

– Nei, for noen år siden ville kanskje hackerne stenge ned alt så fort de kom seg inn på serveren, og sitte på gutterommet og hånle av deg. Når de bryter seg inn nå til dags, snoker de derimot først rundt en stund på jakt etter informasjon som kan misbrukes. Mange av dem er i grupper som er både teknisk avanserte og godt finansiert, sier han.

– Deretter venter de til bedriften er dårligst forberedt på det – en natt, en helg eller kanskje en periode med noen helligdager på rad – før de kjører script som prøver å låse hele systemet. Så sender de deg et krav om løsepenger, sier Braathe.

En ganske annen opplevelse

Partner og statsautorisert regnskapsfører Mayrita S. Halvorsrud i Askim-bedriften Online Accounting AS, kan fortelle at de hadde en ganske annen opplevelse da de ble angrepet i april. Hun er IT- og innovasjonsansvarlig i selskapet, og er i retrospekt ikke særlig imponert over sin forhenværende IT-leverandør:

– Plutselig forsvant tilgangen til systemene sånn at vi ikke kunne jobbe med kundene våre, men alt vi fikk høre fra leverandøren var at de «drev med noen oppgraderinger». Etter hvert skjønte vi at situasjonen var kritisk og at vi måtte gjøre noe selv. Da kontaktet vi Regnskap Norge og forklarte at vi hadde mistet all informasjon om våre kunder, og der fikk vi snakke med deres ekspert på IT-sikkerhet, Bjørn Bjercke, som hjalp oss på en veldig fin måte, sier hun.

Deretter kontaktet de Nasjonal Sikkerhetsmyndighet (NSM), politianmeldte forholdet, ringte forsikringsselskapet, og snakket med Datatilsynet om hva de trodde var gått tapt. Beredskapsplanen deres lå heldigvis ikke på serveren (sånn som oppdragsavtalene gjorde), og de fikk tilbake kunderegisteret. Mye av det andre var borte.

– Et annet viktig steg var at vi kontaktet en IT-leverandør som vi har hatt en lang relasjon med. De skjønte godt hva vi var utsatt for, og overtok vår ende av kontakten med vår gamle IT-leverandør – de skjønte hvilke spørsmål de skulle stille, og visste bedre hva vi hadde krav på, sier hun.

– Vi fikk etter hvert brakt på det rene at backupen vår var kryptert, men ut over det har vi ikke hørt noe mer. Derfor er vi naturligvis fortsatt veldig frustrert over det som skjedde. Det var en leverandør som vi har brukt i mange år og vi trodde vi var trygge, men så skjønner vi at de ikke er proffe i det hele tatt, sier Halvorsrud.

Fase 2

Fase nummer to av en slik hendelse, består gjerne i å få kundene tilbake i drift, og det er en prosess som vanligvis tar flere uker. I denne fasen er det nødvendig å kjøre et ekstremt høyt sikkerhetsnivå, parallelt med at det gjøres analyser ved datasenteret. Da vil nødvendigvis mange kunder fortsatt oppleve ulike former for ustabilitet. I dette arbeidet klarte Abacus å bringe på det rene at det var en organisasjon som heter Play som stod bak angrepet.

– Det er en «mørk» organisasjon med utspring i Russland. De lever av kryptering og pengeutpressing, og jeg tror nok at de også har en agenda om å skape instabilitet. Så vidt vi kunne forstå, var det lite data som gikk tapt, men i systemet fant vi programvare som kunne lese ut brukernavn og passord. Så da måtte alle kundene skifte ut alle passord, sier Braathe.

Han fremhever dette som bare ett eksempel på hvor viktig det var for Abacus å være ærlig om situasjonen. Det skapte faktisk litt mer goodwill og gjorde at de møtte litt mer tålmodighet fra kundene i tiden som gikk med til å rydde opp. Dette er noe Braathe har veldig god erfaring med.

– Jeg har jo vært utsatt for en ikke ulik situasjon tilbake i 2010 eller 2011, og skjønte umiddelbart at det kom til å bli mange lange dager med mye plunder og heft. Det var nok noen av våre ansatte som ikke turte å si det like tydelig de første dagene, men vi drillet dem fort i at de bare måtte si det de visste, ikke bløffe, og ikke love noe de ikke kunne holde. Det er en uoversiktelig situasjon, og man må ikke ordlegge seg sånn at man kommer i heisen senere, sier han.

– Det var slett ingen selvfølge at kundene skulle få tilbake dataene sine, men her holdt rutinene våre; alt hadde vært gjort rett, så backupen kunne dekrypteres. Vi hadde én kunde som lå på en server som var kommet inn i sentralen sånn utenom alle rutiner, slik at ingen visste at de skulle ta backup på den. Den eneste backupen på dataene deres var seks måneder gammel, men utrolig nok hadde de alle papirer og bilag stående i gammeldagse ringpermer, sier Braathe.

Tapte en måneds faktureringsgrunnlag

Også Online Accounting la seg på åpenhetslinjen fra et tidlig tidspunkt, men også for dem ble angrepet en dyr lærepenge.

– Vi kontaktet kundene tidlig, og sendte videre informasjonen vi fikk til dem. Responsen deres var stort sett sånn «hva kan vi bidra med». Også vi fikk veldig mye hjelp gjennom å være åpne, jeg tror det er viktig, og jeg vil anbefale det til alle som er så uheldige at de kommer i en slik situasjon, sier Halvorsrud.

– Det hører også med til historien at vi mistet hele faktureringsgrunnlaget for april, og at vi måtte bygge opp igjen hele plattformen. Alt i alt må angrepet ha kostet oss minst en halv million og fryktelig mange timer. Sånt er tungt for en liten organisasjon. Det eneste positive er at det bygger kultur å stå i noe sånt. Det lærte oss mye. Vi er blitt en mer sammensveiset gjeng etter å ha jobbet veldig mye sammen på dette, sier hun.

Fase 3 – og veien videre

Begge foretakene regner seg nå som å være i fase 3 av angrepet. Systemene er oppe, kundene er tilbake i normal drift, og begge foretakene jobber kontinuerlig med hvordan de kan hindre slike avbrudd i fremtiden.

Et annet prioritert område, er hvordan de kan bidra til at andre regnskapsforetak kan lære av det de gikk gjennom. Derfor stilte de to til en panelsamtale for å dele sine erfaringer med medlemmer og deltagere på Regnskap Norges Digitalt Forum onsdag 6. desember i år. Der ble de blant annet spurt hva de mener om at svært få har tegnet cyberforsikringen som Regnskap Norge har fremforhandlet for sine medlemmer.

– Vi hadde cyberforsikring og var veldig glad for det. Det handlet ikke så mye om pengene, det viktigste var den kompetansen forsikringsselskapet kunne tilføre arbeidet. De var veldig ivrige etter å begrense skadene, og geleidet oss inn til den beste hjelpen vi kunne få. Det var en veldig viktig støtte da vi stod der midt i kaoset. Det er jo sånn at beredskapsplaner er veldig fine når du lager dem, men når det smeller skjer jo ikke ting akkurat sånn som i planene, sier Braathe.

– Vel, det jeg kan si, er at vi har cyberforsikring nå, smiler Halvorsrud i Online Accounting, og fortsetter:

– Vi har lært hvor viktig det er å forebygge – ha oppdatert programvare på alle systemer, lage gode passord, og ha opplæring på ansatte slik vår nye IT-leverandør har. Det er uhyre viktig at alle vet hva de skal gjøre hvis de trykker på en feil lenke eller gjør noe annet galt.

De to er begge enige om at det aller dummeste en leder kan gjøre, er å kjefte på noen som har trykket på en feil lenke. Da må terskelen være lav for å si fra, slik at foretaket kan gå i gang umiddelbart med å begrense de potensielle skadene av feilen.

Tips:

• Sørg for å holde all programvare på alle systemer oppdatert.
• Lag gode passord, og ikke bruk det samme passordet flere steder. Sjekk at ikke din epost-adresse har vært kompromittert i datainnbrudd hos andre, for eksempel gjennom nettjenester som Have I Been Pawned.
• Gjør jevnlig opplæring i IT-sikkerhet på de ansatte, sånn at de vet hva de skal gjøre hvis de trykker feil.
• Begrens tilganger i ulike systemer, sånn at brukerne ikke har tilgang til systemer de ikke trenger å ha tilgang til. Det bør også være strengt forbudt å «låne» tilganger av kollegaer.
• Ha cyberforsikring. Regnskapsførers dekker riktignok ikke kundenes tap, og kundene bør derfor ha egen forsikring selv.
• Pass på å ha gode backup-rutiner, og tren også jevnlig på å reinstallere backupen.
• Vurdér om risikoen forbundet med å levere ERP-systemet til kunden er noe dere egentlig er beredt til å påta dere.
• Ha lav terskel for at ansatte kan si fra dersom de trykker på noe galt eller gjør noe feil.