Er du forberedt? Når hackere angriber, bliver alt til kaos
Når et cyberangreb rammer, gaelder det om at have de rette procedurer på plads.
Telefonerne bimler og bamler pludseligt i hele rummet. Hele banken er blevet lammet af et cyberangreb, og nu begynder medarbejderne at ringe ind til hovedkontoret med spørgsmål og meldinger. It-systemerne er lukket ned, kunderne kan ikke haeve penge i haeveautomaten, følsomme data om kunderne er laekket, og en elevator er låst fast med en person ombord.
Imens ringer journalister og vil vide, hvad der sker. Twitter-feedet bliver fyldt med spekulationer om angrebet på banken, og eksperter i tv tager gerne gaetterierne endnu laengere. Aktiekursen rasler ned, i takt med at pulsen stiger hos os, der er samlet for at håndtere situationen.
Kun en øvelse
Heldigvis er det kun en øvelse. Banken, cyberangrebet og alle de konsekvenser, man skal forholde sig til på kort tid, er opfundet til lejligheden. Rummet, vi sidder i, er i virkeligheden indersiden af en stor, sort lastbil parkeret foran IBM’s danske hovedkvarter i Holte. Udstyret med telefoner, computere og storskaerme er lastbilen omdannet til en rullende cyberangrebssimulator, der er på turné rundt i Europa.
Lastbilen fra IBM, der er døbt C-Toc, er seneste vare på hylden i it-branchens efterhånden bugnende katalog af it-sikkerhed i alle former. For truslen fra hackere og andre cybertrusler går ikke vaek, men bliver kun vaerre.
Det koster danske virksomheder omkring 2 mia. kr. i alt bare at forsvare sig og endnu mere at håndtere de angreb, der måtte slippe igennem spraekkerne i forsvarsvaerket, viser Jyllands-Postens opgørelse.
Den gode nyhed er omvendt, at der er kommet meget mere fokus på truslerne ude i direktionsgange og på bestyrelsesmøder. Ikke mindst på grund af de meget synlige konsekvenser af cyberangrebet, der ved en tilfaeldighed ramte A.P. MøllerMaersk i 2017. Et cybervåben rettet mod Ukraine bredte sig og lammede en hel stribe store selskaber på verdensplan, herunder Maersk, der i flere dage var uden centrale it-systemer.
Forkølelse i skolegården
»Det var ikke bare i Danmark, at det blev en øjenåbner, men i hele Europa. Folk siger tit ”»Hvorfor skulle nogen komme efter os?”« Men Maerskangrebet viste, at du stadig kan blive lammet, selvom der ikke er nogen efter dig. De blev smittet som med en forkølelse i skolegården,« siger Rob Wainwright, seniorpartner i Deloitte og tidligere leder af Europol gennem ni år.
Problemet er grundlaeggende, at alle brancher bliver mere digitale – og bliver derfor også løbende mere sårbare over for hackerne, som oven i købet hele tiden finder på nye og bedre våben. I dag kan hackerne angribe med ondskabsfuld software, som hele tiden sletter sine egne spor, eller bruger kunstig intelligens og billedgenkendelse til først at slå til, når det er den rette person, der sidder foran computeren.
En virkelig dårlig dag
»Du kan ikke købe noget, der vil beskytte dig helt, uanset hvor stort dit checkhaefte er. Heller ikke hvis du er en af verdens største banker. Lev med det og kom videre. Vi må bare alle forberede os, gøre vores netvaerk modstandsdygtige og så ellers bare forberede os på en dårlig dag. En virkelig dårlig dag,« siger Rob Wainwright.
At vaenne sig til en virkelig dårlig dag er hele konceptet bag IBM’s rullende simulator, forklarer Alexandra Kroon fra IBM, der rejser rundt med det internationale team bag C-Toc-lastbilen som facilitator.
»Man skal have en kriseplan, men man skal også traene den. Den skal sidde på rygraden,« fortaeller hun deltagerne.
Og selvom den slags traening ikke er noget nyt for René Munk-Nissen, driftsdirektør i it-selskabet BEC, var det godt at prøve, mener han.
»Man laerer jo noget, hver gang man traener, og man kan altid blive bedre. Og her var det sjovt at prøve nogle andre omstaendigheder end normalt – for eksempel de kraefter, der traekker i en, når pressen står der og skal have svar,« siger René Munk-Nissen.
Alle har brandalarm
Som leverandør af centrale itsystemer til en raekke danske banker er BEC reguleret taet og derfor også underlagt krav om beredskabsplaner – men det burde vaere en selvfølge for alle virksomheder, mener driftsdirektøren.
»Alle beskytter sig imod en brand. Man har brandalarmer, brandmure og planer for, hvad man skal gøre. Det er den samme måde, man skal taenke cybersikkerhed. Vi må indstille os på, at hackerne kan komme ind et sted, for det er dybt professionelle mennesker, der står bag. Men så skal vi opdage det hurtigt og gøre det svaert for dem,« siger René MunkNissen.
Og ligesom når brandvaesenet rykker ud, skal man som ledelse i en virksomhed kunne håndtere en digital ildebrand med rutine og mentalt overskud, når man står over for nogle hurtige og måske svaere beslutninger.
Regningen løber op
Sammen med alt det tekniske isenkram, der skal til for at beskytte mod cybertrusler, og forskellige andre typer beskyttelse mod store it-nedbrud, løber regningen hvert år op i store beløb hos BEC.
»Vi bruger rigtig mange penge på at beskytte os. Mange millioner kroner. Og der bliver brugt flere og flere penge på beskyttelse. Men det er vi nødt til, og det saetter vores kunder pris på,« siger René Munk-Nissen.
Samme melding kommer fra Jyske Bank, der også har skruet grundigt op for budgetterne til cybersikkerhed uden at ville saette beløb på.
»Der er tilført markant flere ressourcer de seneste år til at modernisere vores sikkerhedsforanstaltninger. Der har vi sat ret meget ind. Og det seneste år har vi haft meget fokus på at sikre, at vi kan se, hvis nogen er kommet ind,« siger Duong Anders Le, direktør for it-sikkerhed i Jyske Bank.
Opsyn inden for murene
Med professionelle hackere som modstandere, måske nogle der er støttet af fremmede stater, er det i dag generelt umuligt at sikre ”ydermuren” godt nok til, at ingen uønskede gaester kan komme ind.
Så det gaelder om at have et meget vågent opsyn ”inden for murene”, for eksempel ved at måle på usaedvanlig trafik på de indre netvaerk.
Selv om Jyske Bank også løbende øver sig i beredskabsplanerne med simulerede hackerangreb, er det et område, der kan gøres mere ved, forklarer Duong Anders Le.
»Det er et af de punkter, hvor vi er mest umodne. Vi traener, så vi har nogle helt klare reaktionsmønstre og kommunikationsveje. Men det er meget svaert at forudsige, hvordan et angreb kan materialisere sig, hvis det sker,« siger han.
Mens bankerne generelt holder et meget højt sikkerhedsniveau, kniber det generelt i resten af det danske erhvervsliv. Isaer i forhold til at vaere forberedt på, hvordan man reagerer, hvis hackere har held til at slukke for it-systemerne eller på anden måde skabe ravage.
Sådan lyder vurderingen fra Center for Cybersikkerhed under Forsvarets Efterretningstjeneste.
»Vi kan se, at rigtig mange ikke er tilstraekkeligt opmaerksomme på, hvordan de forbereder sig på at håndtere et angreb. Altså ikke alene at beskytte sig, men at sikre, at man har beredskabsplaner, hvis situationen opstår. Man står sig meget bedre ved at have taenkt de tanker på forhånd. Og det er ikke ret dyrt at lave de scenarier og øve det igennem,« siger Thomas Lund-Sørensen.
Helt lavpraktisk har man måske ikke adgang til sin computer eller arbejdstelefon, hvis hackere som hos Maersk får lagt alt ned. Derfor skal man for eksempel have alle nødvendige telefonnumre printet ud på gammeldags papir i skuffen, klar til brug.
BOOM
”BOOM” står der med store bogstaver på skaermen foran os i IBM’s store, sorte lastvogn. Vi skal vaere forberedt på alt det, som kommer efter sådan et boom, når alting går løs på samme tid, lyder formaningen fra Alexandra Kroon.
Foreløbigt går det ikke ret godt. Ingen har et overblik over situationen, og it-afdelingen kan ikke komme med meldinger om, hvad der sker, eller om situationen er under kontrol. Og nu skal vi sende en repraesentant til et interview i tv-nyhederne om hackerangrebet.
»Husk at bruge vendinger, som kan berolige folk. For eksempel ved at sige, at vi arbejder sammen med verdens bedste eksperter. Og undgå bestemte ord, for eksempel datalaek,« lyder den sidste hjaelp fra Alexandra Kroon, før det går løs.