Hva skjer når bedriften din blir hacket?

Hackere gjør alt de kan for ikke å bli oppdaget, og de fleste som blir hacket, oppdager det ikke før det har gått mange dager. Da kan det allerede være for sent å reparere skaden. Så hva gjør du når du oppdager at bedriften din er under et hackerangrep?

Carsten fra Tryg forsikring står utenfor kontoret

– Det er skremmende tall. Omtrent halvparten av nordiske bedrifter blir utsatt for hacking, og mange av disse angrepene blir ikke engang oppdaget. Enda færre blir rapportert til myndighetene.

Det forteller Carsten Tangerås som jobber med cybersikkerhet-forsikring i Tryg. Han sier at bedrifter som ikke har opplevd å bli hacket, syns det virker fjernt å forholde seg til hacking. Resultatet er at de ikke tar trusselen på alvor.

Hvorfor skal noen ta seg bryet med å hacke min lille bedrift, er det mange som tenker. Kriminelle scanner nettet for sikkerhetshull uavhengig av størrelsen på bedriften. Derfor bør enhver bedriftseier ta denne trusselen alvorlig.
Carsten Tangerås, produktutvikler i Tryg.

Til tross for at hacking og forsøk på det er vanlig, ønsker de fleste bedrifter å holde det skjult om de blir rammet. Grunnen er at mange frykter dårligere tillit eller kritikk for dårlig IT-sikkerhet. Sammen med Tryg, har to bedrifter valgt å dele sine erfaringer med hackerangrep slik at andre kan lære viktigheten av god cybersikkerhet. Men også disse ønsker å være anonyme.

Ekte hackinghistorier

En torsdag i april ble et reklamebyrå med 3 ansatte angrepet. Daglig leder fattet mistanke på ettermiddagen da flere filer på datamaskinen hadde endret farge til grå.
– Første gang jeg begynte å lure på om noe var galt, var midt på dagen torsdag. Jeg var inne på vår server for å hente filer i noen av våre kundemapper. Noen filer var blitt låst, og var derfor grå. I løpet av torsdag ettermiddag la jeg merke til enda flere filer som var blitt grå, forteller daglig leder i reklamebyrået som har ønsket å være anonym.
Lederen oppdager at ved hver eneste av de grå mappene lå en fil som het "read me!". Da han åpnet denne, kom det en ganske høflig formulert beskjed på engelsk med lenke til en hjemmeside hvor han kunne gå inn og lage en avtale om å få låst opp filene. En stor del av filene hadde blitt låst av hackere. De krevde løsepenger for å frigjøre filene igjen. Tilgangen til mange års kreativt arbeid var stengt.
– Filene var sirlig låst én for én, og vi måtte betale løsepenger for hver eneste fil. Beskjeden var holdt i en vennlig tone. Den var ikke truende, men var formulert som om vi selv var litt skyld i det, forklarer han.
Byrået var tilknyttet en eksternt IT-ekspert som var rask med å dra ut strømkabelen til serveren. OBS! Dette er ikke anbefalt, og kan være en fatal feil! Men det måtte kraftigere lut til. Fredag ettermiddag ringte daglig leder til Tryg.
– Jeg hadde trodd det skulle komme hjelp mandag, men allerede fredag kveld sto det en ung mann her med en laptop og en kasse med dingser. "Jøye meg, dette blir spennende", sa han. Og så gikk han i gang. Ved to-tiden om natten hadde han sikret vårt IT-system. Han sjekket alt gjennom helgen, og mandag morgen var alt normalt igjen, sier en lettet daglig leder.
– Vi tapte heldigvis ikke noe på dette angrepet, men det var skikkelig hektisk for meg. Jeg vil tro det er nøyaktig like ubehagelig som et fysisk innbrudd. Noen løper rundt i gangene, og du kan ikke se dem, mens de gjør noe du ikke ønsker.
Og de filene som hackerne låste, er jo varer til våre kunder. Det er vår kreativitet som ligger på de serverne. Noe vi har jobbet med i mange år. Det er helt uoverskuelig hvis et lite firma som oss skulle betale for å få de filene låst opp.
Et boliginnredningsfirma med 15 ansatte ble i juledagene utsatt for et hackerangrep som låste alle IT-systemer.
Firmaets økonomiansvarlige forteller:
"Vårt firma holdt stengt mellom jul og nyttår. Men jeg logget på hjemmefra, da jeg som den eneste jobbet noen dager på grunn av årsskiftet. Så tenkte jeg: Hva skjer her! Alle ikonene mine var borte. Alle ting var borte. Det var ikke noe økonomisystem, ingen Office-pakke.

Alle våre data var låst.
Først tok jeg kontakt med firmaets IT-mann, som den gang bodde i Spania. Men han kunne ikke løse problemet, da han ikke var helt frisk etter lengre sykdom. Det var også derfor at det var noe sikkerhet som ikke var på plass ennå. Men det visste vi ikke den gang.

"Dere har blitt hacket"
Så viste jeg det til min mann hjemme, som også jobber med IT. Og da han så en merkelig beskjed på skrivebordet mitt, sa han straks: "Dere har blitt hacket".
Da kom jeg på vår cyberforsikring hos Tryg og ringte til dem. De sa straks: "Vi kommer!"

IT-hjelp døgnet rundt
De kom allerede til vårt firma samme dag kl. 17. Jeg var veldig overrasket over at de kom så raskt. Og så bodde de nærmest her inne. De fikk nøkkelen min og koden til alarmen, og begynte straks å jobbe døgnet rundt.
Og etter nyttår – da mine kolleger kom tilbake på jobb etter ferien – fungerte alt igjen. Så det var nesten ingen som rakk å merke det. Trygs folk fikk all vår backup og data på plass, det var skikkelig bra.

Veldig glade for forsikringen
Trygs folk fortalte etterpå at det var russere bak hackerangrepet, og at de prøvde å kreve løsepenger for å låse opp systemene våre igjen.
Jeg var egentlig ikke bekymret underveis. Jeg var bare lettet over at de fikset det så raskt. Vi var alle veldig glade for at vi hadde den forsikringen.
Etter den opplevelsen gjorde vi det som Tryg rådet oss til sikkerhetsmessig. Og det gjør vi fortsatt. For vi har byttet ut IT-mannen i Spania med Trygs samarbeidspartner, så nå er det de som står for våre IT-systemer."

Les mer om cyberforsikring

Tar kampen mot hackerne

Det kreves spesialister for å stoppe og motvirke et hackerangrep. Når et hackerangrep blir rapportert til Tryg, er det cybersikkerhetsselskapet Truesec som blir tilkalt. Mats Hultgren er direktør for operasjoner i Truesecs Incident Response-enhet, og er en anerkjent rådgiver innen cybersikkerhet. Hvis noen vet hvordan man skal håndtere et hackerangrep, er det ham.

Cybersecurity ekspert Mats Hulgren

– Det første vi gjør er å begrense skaden så mye som mulig. Dette gjøres ved å stanse angriperens tilgang til miljøet som er hacket. Samtidig undersøker vi hvordan angrepet har skjedd, hva angriperen har fått tilgang til av informasjon og hvilke skader som har oppstått i forbindelse med angrepet, forklarer Hultgren.

– Når undersøkelsen er ferdig, vet vi mer om hvordan angrepet skjedde og kan begynne å rydde opp etter angriperen. Dette innebærer blant annet å fjerne bakdører, rydde opp i skadelig programvare, gjenopprette informasjon fra sikkerhetskopier og tette hullene som angriperen har brukt for å komme inn i IT-miljøet.

Men det stopper ikke der. En viktig del av arbeidet er å håndtere juridiske og kommunikative ettervirkninger av angrepet, forklarer Hultgren:

– Et hackerangrep ødelegger mer enn kun datafiler. Viktig informasjon om alt fra kundedata til passord kan ha blitt lekket. Har bedriften meldeplikt til myndighetene? Skal vi opprette en politianmeldelse? Har vi brutt noen inngåtte avtaler med kunder eller leverandører i forbindelse med angrepet? Og hvordan skal vi kommunisere med markedet og omverdenen knyttet til angrepet for å sikre fortsatt tillit til virksomheten?

Etter et angrep er Truesec opptatt av å samle lærdommer fra angrepet som de omdanner til nye retningslinjer og rutiner for å sikre at situasjonen ikke gjentar seg.

Les mer om cyberforsikring

Hvem er hackerne?

Ber du om et bilde av en hacker, får du kanskje se en person i hettegenser på et mørkt gutterom. Men ifølge Hultgren er det lenge siden hackere så slik ut.

De vet hva de er ute etter, og de gjør alt for å ikke bli oppdaget.
Mats Hultgren, direktør for operasjoner i Truesec.

– Hacking utføres av en rekke forskjellige aktører. Trusselbildet for nordiske bedrifter er komplekst og stadig i endring. De mindre aktørene er ofte opportunistiske, både med sin tilnærming og sluttmål. Den vanligste trusselen fra disse aktørene er fortsatt ransomware, hvor man krypterer offerets informasjon og krever løsepenger, slik som reklamebyrået opplevde.

Store aktører kan være statssponsede grupper eller større kriminelle organisasjoner med mer ressurser og sofistikerte metoder. Angrepene deres er ofte målrettede, men kan også være opportunistiske.

– De vet hva de er ute etter. Formålene kan være informasjonsstjeling, spionasje eller å etablere et brohode for et kommende angrep gjennom leverandørkjeden. Disse aktørene gjør alt for å ikke bli oppdaget, forklarer Hultgren.

En annen stor trussel kommer fra innsiden av bedriften. Truesec ser stadig ansatte eller tidligere ansatte med tilgang til sensitiv informasjon som kan bruke denne til egen fordel eller for å skade selskapet.

Mennesker som sitter i et mørkt rom foran flere dataskjermer

Slik gjør du bedriften mer motstandsdyktig

Det er vanskelig for en bedrift som ikke har inngående kunnskap om cybersikkerhet å sikre seg mot hacking. Til det er hackerne for flinke og metodene for mange. Det viktigste, foruten grunnleggende IT-sikkerhet og bevisstgjøring rundt hacking, er å sørge for å ha hjelp når du trenger det.

– For å minimere risikoen for å bli hacket, må ledelsen og ansatte først bli bevisste på at hacking er en reell trussel, og de må øve regelmessig. Det viktigste er å komme i gang, sier Hultgren og legger til:

– De vanligste årsakene til dårlig IT-sikkerhet er manglende oppdateringer av programvare, svake passord, mangel på IT-kunnskap og dårlig håndtering av sikkerhetskopier.

Mats' beste sikkerhetstips

Ha ansvarlig IT-administrasjon: Oppdater kontinuerlig all programvare og ha flere gode sikkerhetskopier.
Kontinuerlig gjennomgang av egen IT-sikkerhet: Søk etter sårbarheter og feilkonfigurasjoner. Utbedre mangler raskt.
Bruk tradisjonelle sikkerhetsteknologier: Benytt brannmurer og antivirus. Sterke og unike passord: Bruk sterke, unike passord og to-faktorautentisering.
Overvåk IT-miljøet ditt med Endpoint Detect and Response-verktøy 24/7/365.
Øv! Gjennomfør årlige sikkerhetsworkshops for alle ansatte, og jevnlige phishing-simuleringer for å teste beredskapen.

Pass på at noen passer på bedriften din

– En cyberforsikring er viktig fordi den gir økonomisk beskyttelse mot tap som følge av cyberangrep, datainnbrudd og andre IT-hendelser. Ved et cyberangrep vil vi bistå med ressurser for å håndtere og begrense skaden, inkludert juridisk rådgivning, PR-støtte og teknisk assistanse. Forsikringen dekker kostnader relatert til gjenoppretting, tapte inntekter som følge av avbrudd og eventuelle erstatningskrav relatert til brudd på personvernforordningen (GDPR), forklarer Tangerås.

Det handler ikke lenger kun om økonomiske incentiver. Det kan komme nye reguleringer fra EU de neste årene som også få konsekvenser ved et hackingangrep, sier Tangerås:

– For mange bedrifter blir det ikke bare en økonomisk risiko å ikke investere i cybersikkerhet, men også en juridisk risiko. Dette kan gi både fordeler og ulemper. En fordel er at det ikke lenger er valgfritt, men blir pålagt. En ulempe er risikoen for at bedrifter gjør sikkerhetstiltak for å oppfylle lovkrav, men som ikke gir økt cybersikkerhet. Dette i seg selv kan føre til at virksomheten lever med en falsk trygghet om hvor sterkt deres cyberforsvar faktisk er.

Selv om hjelpen fra Truesec er uunnværlig i et hackerangrep, må målet være at du slipper å bli hacket. Forebygging er, som ellers, viktigere enn forsikringen:

– Vårt formål er å forhindre datainnbrudd og redusere skaden om det skjer. Vi fokuserer rett og slett på å hjelpe bedrifter med å sikre sine digitale eiendeler. Vi har flere team av eksperter med bred erfaring innen alle områder av cybersikkerhet. Vi arbeider med både små og store organisasjoner, i tillegg til offentlig sektor for å sikre at digitale miljøer er motstandsdyktige, avslutter Hultgren.

Les mer om cyberforsikring

Hva leter du etter?

Trenger du hjelp?

Logg inn på Min bedrift

username

Logg inn på Min bedrift

username

Trenger du hjelp?

Hva leter du etter?

Hva skjer når bedriften din blir hacket?

Ekte hackinghistorier

Tar kampen mot hackerne

Hvem er hackerne?

Slik gjør du bedriften mer motstandsdyktig

Mats' beste sikkerhetstips

Pass på at noen passer på bedriften din