”Hvad der skulle have været et godt formål, endte med at blive lidt af et mareridt.” Ordene er Alexander Hagedorn Trolles. Han ser tilbage på den 18. maj 2022, hvor hans startupvirksomhed Ascendic, der sælger sportsudstyr som løbebånd, romaskiner og cykler, lægger et tilsyneladende harmløst opslag på Instagram. På billedet ses unge mennesker med blå og gule balloner i baggrunden. Opslaget handler om Ascendics nye samarbejde med og donation til Gerlev Idrætshøjskole. Virksomheden har sponsoreret skolens motionsdag, for hver kilometer gået af eleverne, donerer de penge til Ukraine. Det vil de gerne slå et slag for, og derfor har de hashtagget landet. 

”Det føles lidt som at stå udenfor og kigge ind gennem butiksruden, mens ens biks bare bliver hærget.”

Alexander Hagedorn Trolle

Hacket i natten

Næste morgen bliver Alexander Hagedorn Trolle vækket af et telefonopkald. I den anden ende er hans meddirektør William Pallesen. Han fortæller, at de i nattens mulm og mørke er blevet låst ude af deres Meta-konto, som indeholder både deres Instagram- og Facebook-side.

”Vi panikker og er helt rundt på gulvet. Til at starte med ved vi ikke, hvor omfattende angrebet er og hvor mange af vores konti, hackerne har fået kløerne i. Vi er bange for, at de har adgang til alt muligt andet også,” siger Alexander Hagedorn Trolle.

Det har hackerne heldigvis ikke. Ascendics webshopkonto gennem Shopify og annonceringskonto gennem Google Ads står nemlig begge uskadte tilbage. Alligevel er alt ikke, som det skal være.

Potentielt russiske gerningsmænd

Alexander Hagedorn Trolle og William Pallesen skynder sig ind på deres virksomhedssider, og til deres store overraskelse ser de, at tre ukendte brugere står anført som nye administratorer. Brugere med navne skrevet på kyrillisk – et alfabet, som blandt andre Rusland og Ukraine bruger.

”De har slettet alle vores aktive annoncer og prøvet at oprette nye reklamer i vores navn med vores betalingskort,” forklarer Alexander Hagedorn Trolle.

Til alt held er gerningsmændenes mange annonceforsøg dog ikke sluppet gennem Facebooks godkendelse.

Makkerparret får spærret deres betalingskort for en sikkerheds skyld. Men derudover er der ikke meget andet, de kan gøre.

”Vi kan faktisk ikke se selve indholdet af de annoncer, hackerne har prøvet at sende ud. Og vi kan ikke foretage noget på selve kontoen eller smide dem af, for de har frarøvet os alle vores administratorrettigheder. Det føles lidt som at stå udenfor og kigge ind gennem butiksruden, mens ens biks bare bliver hærget.”

Slået tilbage til start

Ascendic rækker ud til Facebook for hjælp. Der er bare ét problem: Erhvervssupport foregår gennem den konto, virksomheden netop er blevet låst ude af. Det betyder, at de skal bevise, at de er kontoens retmæssige ejere – en både bøvlet og langsom proces.

”Man tænker, sådan noget kun sker for de helt store selskaber med milliarder på bankkontoen. Vi respekterede simpelthen ikke truslen nok.”

Alexander Hagedorn Trolle

Virksomheden venter i et par uger med manglende svar fra Facebooks side, mens hver dag gennemsnitligt koster dem i omegnen af 10.000 kr. i potentiel omsætning. Og så beslutter de sig for selv at rykke.

Da Ascendic og virksomhedens sociale kanaler stadig er nye, vælger iværksætterne at oprette en helt ny konto uden at lide et alt for stort tab af følgere. Deres mindre størrelse viser sig at være held i uheld, men det er heller ikke helt omkostningsfrit at blive slået tilbage til start.

”Vi har kunnet mærke på vores nye profil, at marketingen har stået væsentligt mere stille end først antaget. For vi mangler al den værdifulde data om kundesegmentering, vi med tiden har opbygget på den oprindelige konto. Det er en langtidsinvestering, der ryger i svinget,” siger Alexander Hagedorn Trolle.

It-sikkerhed skal prioriteres

Nu hvor cyberangrebet er en overstået episode, kan Ascendic godt se, at de tidligere har taget for let på deres sikkerhedsforanstaltninger – eller manglen på samme.

”Vi havde aldrig troet, at vi som startup ville blive et mål for hackere. Man tænker, sådan noget kun sker for de helt store selskaber med milliarder på bankkontoen. Vi respekterede simpelthen ikke truslen nok", siger Alexander Hagedorn Trolle.

Det er en forklaring, som Jens Myrup Pedersen, professor på Aalborg Universitet og leder for universitetets forskningsgruppe inden for cybersikkerhed, ofte støder på.

”Det er virksomheder af alle typer og størrelser, der bliver angrebet, for ingen kan gå helt fri. Men man kan gøre det markant sværere for hackere at trænge igennem,”

Jens Myrup Pedersen

Professoren peger især på totrinsgodkendelse og en såkaldt password manager som gode løsninger, der samtidig er nemme at implementere.

”Mange bruger den samme adgangskode til forskellige profiler og sider. Det gør det let for cyberkriminelle at genbruge koden, som de så forsøger sig med på andre konti. Man kan aldrig helgardere sig fuldkomment, men hvis man fx bruger en password manager, kommer man langt,” opfordrer han.

Der kan være mange grunde og indgangsvinkler til et hackerangreb. Ascendic har en formodning om, at deres har haft noget at gøre med det Instagram-opslag, virksomheden slog op som støtte til Ukraine aftenen inden hændelsen.

Det kommer de i sagens natur aldrig til at vide sig sikre på. Til gengæld er de trygge ved, at hackerangrebet har fået dem til at løfte store dele af deres it-sikkerhed.

”Vi har begrænset antallet af brugere med adgang til vores side, oprettet totrinsgodkendelse på alt og ryddet op i alle vores personlige kodeord,” forklarer Alexander Hagedorn Trolle. ”Selv mails og links er vi blevet mere årvågne omkring.”

Og det er noget, der glæder Jens Myrup Pedersen, som pointerer, at netop bred brugeradgang kan udgøre en stor sikkerhedsrisiko. Mange mennesker har nemlig kodeord, der er nemme at gætte. 

”Mange virksomheder opretter brugere med administratorfunktioner i ét væk, som de fx glemmer at fjerne igen, når tiden er inde. I stedet for to-tre brugere med adgang til en konto, har man otte, hvilket gør angrebsfladen meget større.”

Jens Myrup Pedersen anbefaler derfor, at man som virksomhed – uanset størrelse – indfører it-sikkerhedspolitikker med regelmæssige tjek. Fx er det som tommelfingerregel godt at ændre kodeord hver anden til tredje måned og slette brugere med adgang til en virksomhedskonto ved fratrædelser. På den måde gør man det væsentligt sværere for hackere at bryde gennem det digitale skjold. 

Selv er Alexander Hagedorn Trolle ikke i tvivl om, at Ascendic tager it-sikkerhed mere seriøst nu.

”Vi ser tilbage på episoden som en lærestreg. Det gode er, at vi ikke længere er nær så digitalt sårbare som før,” fastslår han.