"Det bliver meget hurtigt kommunikeret, at alt skal slukkes. Alt. Ved hoveddøren stod der store skilte og medarbejdere, som stoppede alle med beskeden: Du må IKKE tænde din computer"

391397_16_9_large_554.jpg
Virksomheder
Eksklusivt for kunder
18. nov 2019 KL.12:50
Efter at være blevet lagt ned af et større hackerangreb i september, er den globale høreapparatkoncern Demant ikke længere påvirket i den daglige forretning.

Selvom angrebet kommer til at koste det danske selskab 550-650 mio. kr. på driften i 2019 – medregnet en forsikringsdækning på 100 mio. kr., fortæller topchef Søren Nielsen nu, at det nemt kunne være gået meget værre.

Fordi Demant nåede at redde sine backup-filer, har selskabet nemlig selv været i kontrol med at få genoprettet alting brik for brik.

Børsen har i forbindelse med Demants kvartalsmeddelelse mandag morgen bedt Søren Nielsen sætte ord på det voldsomme angreb mod den milliardvirksomhed, han står i spidsen for.

I skriver nu, at der var tale om et såkaldt ransomware-angreb. Kan du uddybe, hvad det er, I bliver ramt af, og hvem der angriber jer?

“Vi finder aldrig ud af, hvem der angreb os. Men hvis man da kan tale om traditionelt inden for sådan noget, så er der faktisk tale om et traditionelt angreb, hvor kriminelle tiltvinger sig adgang til dine it-systemer. De får så sat gang i en udrulning af en malware, som går ind på alle tændte computere og begynder at kryptere data med det formål, at vi basalt set ikke skal kunne drive vores forretning uden at få udleveret nogle dekrypteringsnøgler fra dem. De nøgler skal man typisk betale en større sum for at få adgang til.”

“Heldigvis – på grund af et rettidigt og kompetent indgreb fra vores it-overvågningscenter – får vi lukket alle systemer hurtigt ned. På det tidspunkt har vi allerede fået en hel masse live-data og computere krypteret, men det lykkes os at få hele vores backup reddet. Redningen af backuppen gjorde, at det var i vores egen kontrol at blive reetableret, hvorfor vi ikke har haft brug for at snakke med nogle kriminelle.”

Så I har ikke betalt nogen løsesum af nogen art for at få adgang til noget data igen?

“Nej”

"Vi kunne ingenting"

Hjælp mig med at forstå processen. I er under angreb, og jeres eget it-center griber ind. Slukker de bare på den helt store knap, så der sidder et helt hovedkontor med sorte skærme for at undgå spredning?

“Man kan ikke slukke alles computere fra ét sted, men det bliver meget hurtigt kommunikeret, at alt skal slukkes. Alt. Ved hoveddøren stod der store skilte og medarbejdere, som stoppede alle med beskeden: Du må IKKE tænde din computer. Fordi vi lukker ned for alting, har mange medarbejdere af gode grunde jo heller ikke kunnet læse beskeden om, at de ikke må tænde computeren.”

“Hele netværket er nede. Telefoner og alting, der har noget at gøre med it, er slukket. Vi kunne ingenting. Som havde det været et sygdomsudbrud gik vi så lige så stille i gang med at tage de enkelte stumper ud af det inddæmmede område for så at konstatere, at de enten var upåvirkede, krævede en backup, eller indeholdt virus, som skulle fjernes. Det arbejdede vi så igennem styk for styk for at bygge hele infrastrukturen og serverparken op igen. Det er det, som tog fem-seks uger at komme igennem.”

Ja I er næsten 40 dage om at få normaliseret driften igen – Det er meget lang tid?

“Vi skulle være 100 pct. sikre på, at der intet virus var i de ting, vi tog i brug igen. De steder, hvor det var lykkedes de kriminelle at enkryptere data, skulle der findes backup. Folks personlige pc’er, som var inficerede, skulle geninstalleres fra bunden. I en koncern med næsten 15.000 medarbejdere og over 1000 servere er det et enormt arbejde at nå hen til at være 100 pct. sikker på, at alt er frit for virus, så du ikke risikerer, at det udløser et nyt angreb, så snart du starter op igen.”

Åbenlyst, at det her bliver voldsomt

Hvornår går det op for dig som topchef, at det her bliver SÅ omfangsrigt?

“Det er meget tidligt i processen. Ved de første briefings om morgenen er det åbenlyst, hvad vi har været udsat for, og at det her bliver voldsomt. Men at det skal tage fem en halv uge at sikre sig, man ikke har noget inden for murene længere, som ikke skal være der, tror jeg ikke, nogen mennesker forstår, før de har gået det igennem. Det har været sikkerhed frem for alt. Nu kan jeg konstatere, at det faktisk er lidt af en bedrift, at vi klarede det på fem en halv uge."

Hvad med din rolle i den situation her – Nu ved jeg ikke præcis, hvor it-kyndig du er, men jeg kan forestille mig, at du som topchef står lidt magtesløs i forhold til at afværge hackerangrebet?

“Det er klart, at jeg ingen dyb ekspertise har på området, men når man først spidser ører og hører efter, kan man godt forstå, hvad der foregår, hvorfor det kan ske, og hvad processen er. Min opgave er så at sikre, at der var alle de ressourcer til stede, som var nødvendige. At der med en meget høj frekvens blev kommunikeret effektivt i både koncernen og ud til vores kunder om, hvad der skete. Og så at foretage de nødvendige prioriteringer af, hvem vi skulle servicere først. Der skal lægges en vej igennem sådan et oprydningsarbejde, og det er i virkeligheden mit væsentligste bidrag at sikre klare prioriteter i rækkefølgen.”

Genoprettelse i døgndrift

Hvordan foretog I konkret selve genopretningen – jeg har læst fra tidligere interviews med dig, at I oprettede en form for kommandocentral i Smørum?


"Det er rigtigt. Man kan sige, at i den konkrete situation havde vi ikke så meget andet at lave. Alt var lukket ned. Men du er nødt til at etablere en helt anden rytme for virksomheden og i virkeligheden en helt anden organisation. Rent lavpraktisk gjorde vi følgende:"

"Der er selvfølgelig nogle hardcore it-folk, som skal have fred og ro til at gøre, hvad de er allerbedst til, uden at alt for mange forstyrrer dem. Så skulle vi have oprettet et forbindelsesled mellem det mest hardcore it og så det – undskyld mig – som vi andre rent faktisk kan forstå. Ting skulle simpelthen oversættes, så problemstillinger kunne blive bragt frem til den gruppe, som skulle lægge vejen og prioritere. Ved siden af havde vi så en emergency-gruppe som var 100 pct. fokuseret på at servicere vores eksisterende forretning og kunder bedst muligt, mens det her stod på."

“På den måde fik vi hurtigt tre-fire arbejdsgrupper op at stå, som mødtes på ganske bestemte tidspunkter hver eneste dag, for det ikke skulle blive for svært at regne ud, hvornår hvem skulle mødes med hvem. Og der blev oprettet arbejdsrutiner for de allermest nødvendige medarbejdere, som arbejdede i toholdsskift. På den måde var vi sikre på at arbejde 24 timer i døgnet, samtidig med at de her folk kom hjem og sove engang imellem.”

IT-sikkerhed skal have topprioritet

Hvis vi skal kigge fremad - Hvad har I gjort, for at netop den her type angreb forhåbentlig ikke kan ramme jer igen?

“Vi havde allerede en meget intens it-sikkerhedsplan og var i gang med at gøre en hel masse ting. Jeg må også konstatere, at det ikke var tilstrækkeligt, for så var det her ikke sket. Jeg tror aldrig, man kan beskytte sig 100 pct., for hackerne gør jo også hele tiden, hvad de kan for at finde nye metoder. Det er bare noget, man må tage ufatteligt seriøst og som topchef faktisk være nede i detaljen i. Du er nødt til at forstå, hvad det er for nogle valg, du har på området. Nogle tiltag risikerer at gøre det lidt sværere at drive forretningen, men der er bare ikke rigtigt noget at gøre. Det skal have topprioritet. Sådan et angreb kan sætte en hel virksomhed ud af spil.”

“Vi blev hårdt ramt, men det var heller ikke langt fra, at vi ville være blevet endnu hårdere ramt. Hvis alle vores backups havde været ødelagt, havde vi været et rigtig kedeligt sted.”