Et opkald der ændrede alt

Torsdag d. 9/4 2020 blev Henrik Buss vækket kl. 02.30 af sin IT-driftschef. DESMI var blevet angrebet af hackere og stod overfor en løsesum på 4 millioner danske kroner.

Løsesummen steg hurtigt til 24 millioner. På trods af det stod én ting klart: Hackerne skulle ikke have en krone. Derfor valgte DESMI at række ud til pressen og melde åbent ud om angrebet - og om at de ikke har tænkt sig at møde hackernes krav. I stedet gik de i gang med at løse problemet, restaurere logfiler og slukke de brande, som hackerne havde “påsat”.

“Tiden efter angrebet var voldsomt hård. Vi arbejdede 24/7. Folk sov på madrasser på kontorerne"

Henrik Buss

Natten til lørdag fandt man frem til patient zero - altså den person som startede angrebet. Hackerne havde infiltreret direktøren hos en engelsk leverandør. De havde kopieret en korrespondance mellem leverandøren og DESMI og sendt den som en vedhæftet fil fra ”leverandøren” til patient zero, som åbnede den og derved downloadede et ondsindet program.

Certificeringer og konkurrencefordele

I dag har DESMI dog formået at vende situationen til noget positivt. Før angrebet oplevede pumpevirksomheden, at potentielle kunder forventede, at de skulle være certificerede - certificeringer som kræver mange tiltag. Angrebet endte med at blive startskuddet til, at de netop fik certificeringerne. Og i dag er det et direkte konkurrenceparameter.

“Vi har lært rigtig meget af det her, og vi er helt sikkert kommet styrket ud af situationen. Vi har nu en akkreditering i Cyber Essentials Plus, som er en IT-sikkerhedsstandard, som sikrer DESMI et højt IT-sikkerhedsniveau. Det, vi oplever i dag, er, at vi er længere end vores konkurrenter. Vi er på det niveau, som vores kunder kræver, og det, mener jeg, er en konkurrencemæssig fordel,” slår Henrik Buss fast.

Studsede ikke videre over mailen

Tilbage da angrebet fandt sted, var der imidlertid ikke nok fokus på medarbejdernes oplæring i IT-sikkerhed, mener Henrik Buss.

“Den medarbejder, som blev infiltreret først, brugte stadig Windows 7 og ikke 10, som resten af organisationen gør i dag. Der var ikke sket noget, hvis de havde været på 10”, siger Henrik Buss.

Da patient zero havde travlt og i øvrigt ikke mistænkte mailen, slog hun det hen og studsede ikke videre over det. Det gav hackerne tid og mulighed for at installere den malware, der kompromitterede DESMIs system.

De økonomiske konsekvenser af angrebet blev dog kraftigt minimeret på grund af deres backup. Den endte kort sagt med at redde virksomheden for 24 millioner.

IT-sikkerhed bør gennemsyre hele organisationen - fra top til bund

DESMI er i høj grad et eksempel på en virksomhed, som blev fanget med paraderne nede. De har dog rejst sig igen - endda styrket med konkurrencefordele i form af certificeringer og dybdegående læring om krisehåndtering på IT-fronten. Derfor mener Henrik Buss også, at arbejdet med IT-sikkerhed bør være noget, der gennemsyrer en virksomhed fra top til bund:

“IT-sikkerheden bør helt klart være et anliggende for bestyrelsen. I bund og grund er det hele organisationen, som bør forholde sig til IT-sikkerhed og arbejde med det på dagligt plan”.