Hverdagen vender langsomt tilbage efter voldsomt hackerangreb

I december lægger et voldsomt hackerangreb bogstavelig talt Tønder Forsyning ned. Siden har politiets NC3-afdeling, FET og internationale it-sikkerhedseksperter arbejdet hårdt på at kortlægge og forstå, hvad der skete. I dag er hverdagen så småt ved at vende tilbage, men én ting er forandret for altid: Synet på it-sikkerhed.

For driftschef for vand og spildevand ved Tønder Forsyning, John Pies Christiansen, står formiddagen den 10. december stadig meget klart. Han befinder sig i kantinen, og pludselig begynder billedkvaliteten på fjernsynet, der viser TV2News, at blive dårlig. Samtidig bliver netværket langsomt. Til sidst forsvinder forbindelsen helt. På de andre kontorer suser it-folk rundt og river kabler ud.  

 

Professionel afpresning 

Det er it-chef John Graversgaard, der hjemmefra har bedt sine medarbejdere om at rive alle stik til servere og pc’er ud. I minutterne inden sidder han i en samtale med det it-hus, forsyningen samarbejder med om it-sikkerhed. Samarbejdspartneren gør John Graversgaard opmærksom på, at der er ved at ske noget underligt. Han siger: ”John, du har travlt. Jeg har lige fået en mouse-locker”. På mindre end ét minut er 50 terabyte data slettet, og først da John Graversgaard får sin kollega til at rive stikket til alle enheder ud, stopper det. 

 

“Vi er blevet udsat for et såkaldt zero-day attack. Det er et angreb på en fejl eller sårbarhed i en software. Fejlen er ikke set før, og derfor er zero-day attacks svære at beskytte sig imod. I vores tilfælde kom hackerne ind igennem vores telefonomstillingssystem, som normalt ikke kan hackes. Fra Lync Edge kom ransomwaren videre til terminal-servere på SRO-anlægget, videre til management-serveren og derfra til vores it-administrationssystem”. 

 

I løbet af ingen tid er alle Tønder Forsynings servere angrebet af hackernes software. Dog når de skadelige filer ”kun” at blive aktiveret på to servere. Efterfølgende finder John Graversgaard dog en krypto-locked tekstfil på alle servere. Den beder forsyningen om at overføre bitcoins, hvis de vil have deres systemer åbnet op igen. 

 

Hjælp udefra 

Som tidligere efterretningsofficer er John Graversgaard vant til at se spøgelser alle steder, som han siger. Derfor er spørgsmålet for ham ikke, hvorvidt forsyningen på et tidspunkt bliver ramt af et hackerangreb, men hvornår. Så Tønder Forsyning har heldigvis en forsikring, der dækker omkostninger i forbindelse med cyberangreb. 

 

“Vi fik aktiveret cyberforsikringen, og snart var repræsentanter fra Forsvarets Center for Cybersikkerhed med i Tønder. Online fik vi også bistand fra KPMG i England og USA. De har et såkaldt ”Red team”, der rykker ud i forbindelse med voldsomme cyberangreb,” forklarer John Graversgaard. 

 

Det, de finder ud af, er, at angrebet stammer fra IP-adresser i Litauen, Schweiz og Frankrig. FET advarer nu om, at der er stort fokus på danske forsyningsvirksomheder, fordi hackerne ved, at de kan gøre stor skade, hvis de rammer infrastruktur. I forbindelse med ransomware-angreb kigger de kriminelle bag på årsrapporter og kræver typisk 20 procent af omsætningen i betaling for at åbne systemerne op igen, fortæller John Graversgaard. 

 

“Som forsyning kan vi jo ikke betale, og det var NC3 (Nationalt Cyber Crime Center) og FET glade for. For det er den eneste måde at stoppe angrebene på. Men uden betaling har vi heller ikke haft et IT-system i næsten to måneder. Det gælder både det administrative system og på SRO-anlæggene. Vi er først begyndt at komme op og køre igen for nylig”. 

 

Godt nok har it-afdelingen taget backup af alle systemer på en tapestreamer dagen før, men da al udstyr og software potentielt er inficeret, bliver alt lukket ned. Derefter har forsyningen været igennem en proces med at rense udstyret og så bygge systemerne op fra bunden igen. 

 

Sendt 30 år tilbage i tiden 

Rensning af udstyr og genopbygning af nye systemer tager tid. Derfor har personalet på forsyningens renseanlæg måttet klare sig uden SRO-anlæg i et par måneder. Uden it-systemer, overvågning eller alarmer at støtte sig til, er medarbejderne begyndt på mere manual rundering på renseanlæggene. Det er som for 30 år siden, siger John Pies Christiansen: 

 

“Folkene har klaret det flot. I driften har vejret været med os, for vi har hverken haft voldsom regn eller skybrud. Dagligdagen har fungeret, men det har krævet meget mere tilsyn, fordi vi ingen alarmer har at støtte os til.” 

 

Også i administrationen har medarbejderne været hårdt ramt. Stort set alle er i forvejen hjemsendte, og nu også uden it. Dog føler forsyningen sig ret hurtigt 99,9 procent sikker på, at ingen forbrugeres data er kompromitteret. Men fordi hackerne er kommet ind igennem telefonsystemet,  er al telefoni nede samt kundeportalen, hvorfor ingen kunder kan tilgå deres forbrugsdata i december, januar og noget af februar. 

 

Dyre erfaringer 

I dag er Tønder Forsyning ved at være oppe og køre igen. I de sidste måneder er en helt ny it-infrastruktur blevet bygget op, og tommelfingerreglen ved den nye firewall er, som John Graversgaard siger, ”deny all, allow some” (nægt alle adgang, tillad nogle enkelte). I modsætning til tidligere kører SRO og det administrative it-system på to fuldstændig adskilte fysiske netværk, og alle medarbejderne er underlagt to-faktor-godkendelse, når de skal ind på systemerne. Sidst men ikke mindst er eksterne konsulenter underlagt skærpede sikkerhedsforanstaltninger, hvis de skal have adgang til SRO-systemet. 

 

“Vi havde fokus på it og it-sikkerhed før angrebet, men endnu mere nu”, fortæller John Graversgaard:  “Vi har lært meget i processen, men det har været nogle dyre lærepenge, for angrebet kommer nok til at koste vores forsikring et tocifret millionbeløb. Med vores erfaringer vil vi opfordre andre forsyninger til at tegne en it-forsikring, for det handler ikke om hvorvidt, men hvornår hackere angriber jeres systemer. 

 

En del af omkostningerne skyldes eksperterne fra NC3, FET og KMPGs amerikanske og engelske Red Team. Amerikanerne, som John Graversgaard kalder dem, koster omkring 1.000 dollars i timen, men uden dem ville Tønder Forsyning ikke være så langt i oprydningsarbejdet efter angrebet, som de er i dag. 

 

“Vi har fulgt amerikanernes anbefalinger. De skal være med til at minimere chancerne for et nyt angreb. Eksperterne har undersøgt, om hackerne har efterladt nogle bagdøre til at skaffe sig adgang til de nye systemer. De har været med til at rense vores udstyr og software, og de har lavet en log over hele forløbet, så efterretningstjenesten og andre kan lære af det”. 

 

John Graversgaard og John Pies Christiansen har begge lært meget siden formiddagen den 10. december. Om hackere, ransomware, it-specialister, systemer og ikke mindst forsikringer. For uden en sådan, ville Tønder Forsyning være ilde stedt. Derfor opfordrer de også begge kraftigt andre forsyninger til at investere i en cyberforsikring, men også bruge eksterne konsulenter til at sikre sig mod angreb. Truslen fra hackerne skal nemlig tages alvorligt, for de har adgang til ressourcer og datakraft, som kan lægge de fleste forsyninger ned på få sekunder. 

 

Publiceringsdato: 22/10 2021