Vær forberedt på dataangrep – ha en reserveplan

Norske virksomheter har de siste månedene vært utsatt for en strøm av dataangrep fra internasjonale kriminelle. Nordic Choice Hotels ble lammet tidlig i desember, noen uker senere opplyste Nortura at de var utsatt for dataangrep, deretter mediebedriften Amedia og Nordland fylkeskommune, pluss flere andre, både store og mindre aktører. I tillegg ble Stortinget utsatt for to dataangrep i fjor.

I januar arrangerte Næringslivets sikkerhetsråd et lukket statusmøte om dataangrepene, der myndighetene blant annet advarte om at det fortsatt er mange uoppdagede dataangrep i norsk næringsliv.

– Det er mest sannsynlig slik at det er norske virksomheter som har kriminelle i sine systemer som de ikke har oppdaget, sa Olav Skard, leder for politiets nasjonale datakrimsenter (NC3) i Kripos. I statusmøtet beskrev han blant annet hvordan dataangrepene kan deles inn i fem faser.

– Målet for første fase er å komme seg inn i systemet. Det kan for eksempel skje ved hjelp av en e-post med skadelig vedlegg, som de kriminelle forsøker å få en vanlig bruker til å åpne.

I annen fase gjennomfører de kriminelle rekognosering, og skaffer seg fotfeste i datasystemene. - De skaffer seg blant annet informasjon om hvor stort selskapet er, hvilke verdier de besitter, og hvilke IT-systemer de har i drift.

I tredje fase skjer selve datatyveriet, der de kriminelle stjeler sensitiv informasjon. I fjerde fase krypteres alle data.

– Det er først i fjerde fase, når dataene krypteres, at angrepet blir åpenbart for alle. Da er det for sent, og da har de kriminelle vært inne i datasystemene lenge før det ble oppdaget.

I femte fase foregår utpressingen. Den kriminelle aktøren går i dialog, og presenterer gjerne et dobbelt løsepengekrav: Først for å dekryptere dataene, og deretter la være å offentliggjøre dem.

– Målet for norske bedrifter må være å avdekke digitale angrep i en tidlig fase, før det iverksettes datatyveri og kryptering. Det er mulig, for det er alltid spor etter de kriminelle. Vi finner disse sporene når vi etterforsker sakene. Det er teknisk mulig å ha systemer for å oppdage unormale hendelser i datasystemene under daglig drift, sier Olav Skard, leder for NC3.

– Et godt og praktisk tips er å tenke gjennom hva dere gjør hvis alle datasystemene går ned. Har dere en reserveplan? En utskrift av ordrebøker og kunderegisteret kan for eksempel vise seg å være gull verdt hvis alle data blir kryptert, sier Odin Johannessen, direktør i Næringslivets sikkerhetsråd.

PST mener russiske militær-hackere står bak de fleste dataangrepene mot norsk næringsliv og organisasjoner. Gruppen, som kalles «Fancy Bear», er en hackergruppe i den russiske militære etterretningen (GRU). PST mener de også stod bak det massive dataangrepet mot Stortinget i august.

Nordic Choice Hotels tenkte kreativt da angrepet kom

Natt til 2. desember ble Nordic Choice Hotels rammet av et virusangrep på IT-systemene. Noen i Nordic Choice systemet åpnet et vedlegg til en e-post, som inneholdt en ondartet programvare, det ga hackerne innpass i selskapets datasystemer.

Angrepet ble gjort med et aggressivt løsepengevirus, som slo ut infiserte maskiner og krypterte dem. Viruset slo ut systemer for bookinger, inn- og utsjekk, samt betalingsløsninger. Selskapets antivirus-løsninger ble slått ut og angriperne fikk tilgang til systemene. De skal ha vært inne i systemene i rundt 36 timer før de ble oppdaget. Nordic Choice stod på et tidspunkt i fare for å bli stengt ute av sine egne systemer.

Alt tyder på at det var det kriminelle, russiske nettverket «Wizard Spider» som angrep og installerte løsepengeviruset Conti.

Filer på PC’er ble låst. For å åpne disse igjen, måtte det betales løsepenger, ifølge en fil som ble lagt igjen på flere tusen av de krypterte PC’ene. På et tidspunkt ble det krevd 5 millioner dollar for å dekryptere én fil, men Nordic Choice opplyser at det aldri var aktuelt å gå i dialog med de kriminelle, eller betale det de krevde.

Etter hendelsen ble det jobbet døgnet rundt med interne og eksterne ressurser for å få oversikt over omfanget av angrepet, samt gjenopprette systemene, for at driften på hotellene kunne gå tilbake til normalt. Konsekvensen av angrepet var blant annet at ansatte måtte skrive bookinglister på tavler, betaling har foregått via Vipps og gjester måtte låses inn på rommene manuelt. Hackerne fikk etter alt og dømme ikke tak i data om gjestene, men interne dokumenter og sensitiv informasjon om de ansatte skal de ha greid å hente ut. Dette har de kriminelle delt på det «mørke nettet», en del av Internett som en må ha en spesiell nettleser for å få tilgang til.

Men med både boende og ankommende gjester, måtte hotellselskapet raskt finne løsninger, og i løpet av bare 24 timer var det første hotellet operativt med Chrome OS fra Google. Gjennom de neste to dagene ble 2000 maskiner konvertert overalt i selskapet, som består av 212 hoteller i fem land. Ved å transformere til Chrome OS, regner Nordic Choice med å ha spart nesten fire ukers arbeid for å få systemene til å fungere normalt igjen.

Vi var allerede godt i gang med å bytte operativsystem

Hva gjorde at dere kom så vidt raskt og helskinnet gjennom dataangrepet?

– Vi var allerede godt i gang med å bytte operativsystem på eksisterende gamle Windows-PC’er da dataangrepet kom. Det gjorde at vi enkelt kunne rense de infiserte maskinene og installere Chrome OS istedenfor, sier teknologidirektør Kari Anna Fiskvik i Nordic Choice Hotels.

- Prosjektet var egentlig et bærekraftprosjekt, fordi vi med dette både sparte 1750 tonn CO2-utslipp, samt over 60 millioner kroner, men ble redningen da vi plutselig måtte håndtere virusangrepet. I løpet av 48 timer hadde vi konvertert 2000 maskiner, fordi selve transformasjonen bare trengte en USB-stick for å gjennomføres på hotellene. Her vil vi trekke frem kulturen i organisasjonen og de ansatte, både ute på hoteller og hovedkontor, som avgjørende for at vi både fikk i gang manuelle back-up-planer som allerede eksisterte og også at vi fikk konvertert og satt opp nye maskiner så raskt. Det andre som var helt avgjørende var at vi allerede hadde en avtale med en god IT-sikkerhetspartner. De er eksperter som jobber med slikt hver eneste dag. 

Hva kan hoteller/bedrifter gjøre for å unngå dataangrep og alvorlige konsekvenser av angrep?

– Det er nesten umulig å gardere seg helt mot angrep. Men om det skjer, er det nyttig å ha ulike maskintyper i selskapet, slik at man ikke blir helt inoperative. I tillegg til manuelle backup-rutiner og beredskapsplaner. Og viktigheten av en dyktig IT-sikkerhetspartner kan ikke understrekes nok; disse vil både kunne overvåke miljøet, bidra med oppdatert kompetanse om hvordan de kriminelle opererer og hjelpe deg å få på plass riktig tilgangsstyring, logging, multifaktorinnlogging, nettverkssementering, etc., sier Kari Anna Fiskvik. 

Selskapet var oppe igjen veldig mye raskere enn normalt etter et virusangrep

– Vi hadde altså allerede et pågående pilotprosjekt, satt i gang av en av våre medarbeidere, som kom opp med forslaget om å konvertere våre eksisterende Windows-maskiner til Chrome OS. Så da vi plutselig måtte håndtere virusangrepet, ble det avgjort på sekunder å satse alt og få fortgang på prosjektet. Avgjørelsen gjorde at selskapet var oppe igjen veldig mye raskere enn normalt etter et virusangrep. Dersom alle maskiner skulle scannes og renses med antivirus-software, fått operativsystemet reinstallert, mens alle dataforbindelser til hotellene var nede for å unngå nye angrep, ville gjenopprettingen tatt uker i stedet for dager. I tillegg sparte vi både masse arbeid og anstrengelser for de ansatte, samtidig som gjestene ble påvirket i minst mulig grad. Enkelt forklart så renset vi alle maskinene og installerte Googles CloudReady i stedet. Helt fra prosjektstart i vår, men spesielt under virusangrepet, har vi fått enormt med hjelp fra Google og deres norske partner Devoteam, noe som sikret at vi enkelt og effektivt kunne gjøre skiftet så raskt som mulig og få systemene raskt tilbake til hotellene etter angrepet, sier Kari Anna Fiskvik.

Totalt er rundt 4000 maskiner konvertert, og i tillegg til å spare planeten for produksjons- og transportutslipp, unngår man også fire tonn med elektronisk avfall. Maskinene vil i snitt få levetiden utvidet med rundt 60 prosent ved å bli konvertert.

– Dette er et kinderegg av et prosjekt. Det vil også lette arbeidsdagen for våre ansatte, som ikke må bruke tid og frustrasjon på utdaterte maskiner. Selskapet var allerede i stor grad skybasert, så det var en enkel avgjørelse å ta da vi også visste hvor mye vi kunne spare både økonomisk og av klimagassutslipp ved å samarbeide med Google om å konvertere maskinparken, sier Torgeir Silseth, adm.dir. i Nordic Choice Hotels.

Løsepengevirus et veldig reelt og voksende problem

For Google er dette en av de største konverteringene i Europa og den største i Norden. Med høysesong for virusangrep, vil denne transformasjonen også redusere risikoen for angrep betraktelig, siden Chrome OS til nå har vist seg å være et operativsystem som er immunt mot slike angrep.

– Løsepengvirus er et veldig reelt og voksende problem for mange ulike næringer nå, inkludert helsevesen, infrastruktur og reiseliv. I Google har vi jobbet hardt for å eliminere dette problemet med vår CloudReady-løsning, noe som gjør at vi er svært glade for å være partner med Nordic Choice Hotels. Det er bygget på Chrome OS, som ikke har noen rapporterte tilfeller med løsepengevirus, og CloudReady har en rekke innebygde løsninger som forhindrer virusangrep, sier Jon Solomon, VP og General Manager for Chrome OS, Google.