I 2021 blev Kalundborg Forsyning udsat for et hackerangreb. Det har ført til en kulturændring i virksomhedens syn på IT-sikkerhed – noget, som i høj grad er nødvendigt i dag.
Af Juliane Nielsen og Jacob Lomholt
“All your important files are stolen and encrypted. Any attempts to restore your files with the third-party software will be fatal for your files! There is only one way to get your files back.”
Beskeden popper op ’omkring midnat’ på en computerskærm hos Kalundborg Forsyning natten mellem den 26. og 27. august 2021.
Et par timer før, omkring klokken 23, får forsyningens vagt, der arbejder hjemmefra, en alarmmelding på telefonen, der skal vise til at være startskuddet til de næste timers beredskabssituation i Kalundborg Forsyning. Beskeden fortæller, at der er mistet kontakt til en af forsyningens pumper. Vagten tropper op på Kalundborg Forsyning, og prøver at logge ind på SRO-anlægget, som er det system, der overvåger vandpumperne.
Da vagten forsøger at tilgå anlægget, er systemet låst. Det starter den første runde af opkald. Han ringer til forsyningens IT-leverandør, for at høre, om de er i gang med nogle opdateringer, der kan forklare at systemerne er låst. Det er ikke tilfældet.
Næste opkald bliver til Kalundborg Forsynings eksterne IT-sikkerhedsfirma, men telefonen bliver ikke taget af den fast tilknyttede ekspert. IT-sikkerhedsfirmaet igangsætter en fejlsøgning, imens vagten kører ud til den faste IT-eksperts bopæl, for at vække ham og køre ham ind til Kalundborg Forsyning.
Det, de ser i SRO-systemet resulterer i aftenens tredje opkald – til Line Kromann, der er chef for IT-afdelingen. Det står nemlig klart, at den er helt gal.
Flere angreb og professionelle hackere
Kalundborg Forsyning blev ramt af et hackerangreb den 26. august 2021. De skriver sig dermed ind i de sidste års negative udvikling af hackerangreb. Kigger man på det årligt antal af anmeldelser for hacking, er det steget med knap 286 procent fra 2018 til 2023.
Ifølge Jørgen Christensen, medstifter af sektorCERT, som varetager cybersikkerhed for forsyningssektoren, er det svært at gøre hacker-udviklingen op i antal. Der er dog alligevel grund til at sige, at hacking er en stigende problemstilling.
”Indikationen af, at det er stigende, er, at der tidligere kunne gå uger og måneder før sårbarheder blev angrebet. Nu taler vi dage og timer. Det betyder i hvert fald, at dem, der laver angrebene, er blevet endnu mere professionelle og har endnu mere kapacitet.
Den øgede professionalisme i hackerdisciplinen er noget, Jens Myrup kan genkende. Han forsker i cybersikkerhed på Aalborg Universitet.
”Dem der hacker er jo velorganiserede virksomheder. Det er virksomheder ligesom alle andre med HR-afdelinger og hjemmearbejdspladser. Det er 9 til 17 jobs. Det er månedslønninger. Det er bonusordninger. Det er fredagsbar.”
Hos Kalundborg Forsyning holder man også skarpt øje med, om der er nogen der forsøger at komme ind i systemerne. De seneste par år har der været en stigning i antallet af forsøg på at skaffe sig adgang til systemerne.
Beredskabet begynder
”De får ikke en øre!”, siger Hans Martin Friis Møller. Han er direktør i Kalundborg Forsyning, og har netop hørt Line Kromann fortælle i telefonen, at forsyningens data er blevet låst, og at hackeren kræver en løsesum, før de kan få adgang til data igen.
Det fremgår af det visitkort fra hackerne, der viser sig på en af virksomhedens computere. Løsesummen står nederst i meddelelsen sammen med en vejledning til handlen, der ikke overraskende skal foregå på ’the dark web’. Dark web – eller det mørke internet – er en del af internettet, som ikke kan tilgås fra en søgemaskine, og som blandt andet bruges til ulovlige formål.
For at lægge yderligere pres på Kalundborg Forsyning, er der også et link i beskeden til data fra andre firmaer. Firmaer, der ikke har betalt løsesum. Deres it-leverandør følger linket via en tor-browser, og den er god nok. Kalundborg Forsynings data er til salg på dark web.
Line og de medarbejdere, der er på forsyningen i de tidlige morgentimer, mødes i beredskabsrummet, hvor beredskabsplanerne ligger. Det første skridt er at sikre det, som er hele forsyningens rygrad: driften. Dem, der normalt arbejder på driften via IT-systemet, skal fysisk ud på anlæggene for at tjekke dem efter.
En medarbejder trækker alle netværkskabler og USB-stik ud. Alt skal frakobles. Mens det hele står på, noterer Line i en logbog i et blankt Excelark, og opdaterer direktøren Hans Martin løbende. Ved tre-tiden ankommer han også på Forsyningen.
I løbet af morgenen har IT-afdelingen placeret sig i indgangen til forsyningen for at få udleveret alle de forundrede medarbejderes computere.
Endelig efter tolv timers blindhed er forsyningens centrale overvågning af driften oppe at køre igen.
Beredskabsplanen var afgørende
Ifølge direktør Hans Martin Møller har beredskabsplanen været afgørende og gjort, at der ikke var den store panik i løbet af angrebet, fordi alle var med på, hvad der skulle gøres.
”Det, der gjorde, at vi lykkedes med at komme fornuftigt igennem tingene, var, at vi holdt os til vores beredskabsplan”, siger han.
Det er ifølge Jørgen Christensen, der er medstifter af cybersikkerhedscenteret sektorCERT, en vigtig faktor i at modstå et angreb.
”Hacking er noget, de danske virksomheder i høj grad skal være nervøse for. Man er nødt til at have sine IT-rutiner på plads. Hvis man ikke har de rutiner på plads, så er der stor risiko for at blive udsat for ransomware-angreb”, siger han.
Dog indikerer tal fra Danmarks Statistik de faste sikkerhedsrutiner ikke har vundet fuldt indpas hos de danske virksomheder. Faktisk har 41 procent af danske virksomheder med mere end 10 ansatte ikke dokumentation for forholdsregler og procedurer, når det kommer til IT-sikkerhed.
I takt med at samfundet er blevet mere og mere digitaliseret, er driften på virksomheder også blevet mere afhængig af IT for at forretningen kan opretholde deres arbejdsrutine. Det er kun hver tiende af de danske virksomheder, der mener, at de ville kunne køre forretningen som normalt, hvis de mistede adgang til centrale IT-systemer. Især ét sikkerhedstiltag er særligt afgørende for IT-sikkerheden i de danske virksomheder.
“Det er risikovurderingen, der er fundamentet for alt andet, man gør. Hvis ikke man laver en risikovurdering, kommer man til at bruge penge på de forkerte ting eller man får ikke sikret det, der er allervigtigst.” siger Jens Myrup, som forsker i IT-sikkerhed.
Selvom risikoanalysen er utroligt væsentlig for virksomhedernes IT-sikkerhed, er det kun 60 procent af de danske virksomheder, som laver risikoanalyse.
Ekstrafine julegaver
Den 16. november 2023 har Hans Martin Møller ti års jubilæum hos Kalundborg Forsyning, og det fejres i stor stil med ekstrafine julegaver til medarbejderne. Det fremgår af en mail fra GavePortalen, hvor medarbejderen blot skal logge ind på portalen og vælge en julegave inden for 24 timer. “Ho Ho Ho, og glædelig jul fra Gaveportalen”, slutter mailen.
Men der skal mere til at snyde forsyningens medarbejdere. Siden hackerangrebet har Kalundborg Forsyning opprioriteret sikkerheden, og de tester jævnligt deres medarbejdere. Det gør de blandt andet ved at sende phishing-mails ud til alle medarbejdere. E-mails, som ligner mails fra pålidelige kilder, men som kan indeholde links, der kan hjælpe udefrakommende med dårlige intentioner med at komme ind i IT-systemer.
Medarbejderne hos Kalundborg Forsyning er blevet meget mere opmærksomme på, når de modtager e-mails, der kan virke mistænkelige. De skal hver måned tage kurser, som skal øge fokusset på IT-sikkerhed, så de er mere opmærksomme på potentielle faldgruber, som for eksempel phishing-mails. Derfor kommer medarbejderne ofte ind til IT-afdelingen, når de modtager mistænkelige mails – uanset om det bare er en test fra forsyningen selv. Når det sker at nogen falder for links i phishing-mails, er det vigtigt for Kalundborg Forsyning ikke at banke nogen oveni hovedet, men at tale med dem om, hvad man skal gøre til en anden gang.
Hackerangreb er risikofri kriminalitet
Et års tid efter hackerangrebet blev sagen henlagt hos politiet. Jens Myrup mener, at det desværre er et generelt billede på efterspillet af hackerangreb. Det handler især om to ting:
For det første, er det svært at bevise, hvem der står bag angrebene, fordi hackere typisk angriber gennem flere led og gennem flere lande.
”Hvis man skal finde dem, skal man optrævle hele kæden tilbage, hvor det måske er helt almindelige menneskers computer eller kameraer, der er blevet misbrugt undervejs,” siger Jens Myrup.
Hvis det endelig lykkedes at få optrævlet kæden, er der ofte udfordringer med rent faktisk at retsforfølge gerningsmændene.
”Hvis kæden for eksempel ender i. Rusland, hvor man ikke har et godt politisamarbejde, så stopper det der. På den måde bliver det risikofri kriminalitet. Men når man har et område, hvor vi reelt ikke kan håndhæve loven, og reelt ikke kan sætte folk i fængsel, så bliver det op til virksomhederne og myndighederne at beskytte sig selv, for det er det eneste, man kan gøre.” siger Jens Myrup.
Angreb satte skub i sikkerheden
Og det er netop hvad Kalundborg Forsyning har taget til sig. Kalundborg Forsyning havde ikke de store forhåbninger til, at sagen blev opklaret, for de ved godt, at det kan være svært at finde ud af hvor et hackerangreb kommer fra.
“All your important files are stolen and encrypted”. Selvom ordlyden i beskeden er faretruende, resulterede hackerangrebet i 2021 ikke i det store tab for Kalundborg Forsyning. Som de selv beskriver det, fik de låst rigtig mange data, svarene til størrelsen på en elefant, men det, der skulle have suget deres data op gennem internetforbindelsen, var på størrelse med et sugerør. Selvom de lykkedes med at låse Kalundborg Forsynings data, lykkedes det dem altså ikke at trække data ud af systemerne. Der var blevet lavet en backup samme aften, som angrebet fandt sted, og systemet var oppe at køre igen efter tolv timer; alt i alt mistede forsyningen data for fire timer.
Havde det ikke været for backuppen, kunne det være blevet rigtig dyrt – og det har været en øjenåbner for virksomheden. Det betød, at forsyningen implementerede planlagte tiltag langt før, end hvad der egentlig var planen. Allerede samme nat blev tofaktorgodkendelse til login en del af de faste IT-foranstaltninger. Angrebet betød også, at medarbejderne tog godt imod de nye tiltag, fordi der ikke var nogen, der ville være skyld i et nyt angreb.
Det er ofte et angreb, der skal til, før virksomhederne forstår alvoren. Det genkender Jens Myrup også.
“Det, der får virksomhederne til at tage det seriøst, er, hvis de bliver ramt af et angreb. Men det kan jo ikke passe, at der skal lig på bordet, før man gør noget.”
Selvom Kalundborg Forsyning har højnet deres sikkerhed, ved de også, at det er et område, man skal blive ved med at have fokus på.
“En ting er, at man har forsøgt at sætte hængelås på. Men der er altid en vej, så det handler virkelig om at lukke bagdøre. Det er hele tiden det, det handler om. At få lukket alle sine bagdøre.”, siger Line Kromann.