”Kan vi overhovedet betale i Bitcoins?!” Sådan reagerede bestyrelsen, da Innotech blev nedlagt af voldsomt hackerangreb

Hvad koster det os? Hvor meget har de ødelagt? Det var blot nogle af de spørgsmål, som bestyrelsen i virksomheden Innoctech skulle forholde sig til, da et massivt cyberangreb ramte virksomheden. Onsdag d. 17. januar holder Dansk Erhverv og Bestyrelsesforeningens Center for Cyberkompetencer kursus, hvor du bliver trænet i at håndtere cyberangreb.

Foto: Bestyrelsen orienteres om cyberangrebet

Onsdag den. 29. november gav It-chefen i virksomheden Innotech bestyrelsen en besked, som mange danske virksomheder desværre har fået, og som endnu flere frygter:

”Vi er blevet udsat for et stort cyberangreb, der blandt andet har lagt vores hjemmeside og mail ned. Vi har ikke overblik over, hvor langt de er trængt ind, men det er alvorligt. Hackerne kræver, at vi betaler 250.000 euro i løsepenge.”

Alvoren var til at mærke i bestyrelseslokalet, da det hurtigt stod klart, at angrebet kunne få endog meget alvorlige konsekvenser; der var eksempelvis ingen garanti fra hackerne, og hvis man trak stikket og lukkede systemerne ned, vurderede IT, at det kunne tage mellem 45 og 60 dage at få virksomheden i gang igen – og man vidste ikke, hvor meget data, hackerne inden da havde stjålet.

”Vi er i krise,” konkluderede bestyrelsesformanden da også ganske hurtigt.

Og så meldte spørgsmålene sig: Har vi en fysisk udgave af vores beredskabsplan, nu hvor vi ikke kan komme til den digitale? Hvor meget koster det os, hvis vi er nede i op til 60 dage? Hvis vi ikke trækker stikket nu, kan de så nå at ødelægge endnu mere? Hvordan kommunikerer vi uden mail?

”Vi betaler”

Hurtigt stor det klart, at beredskabsplanen ikke var tilgængelig, og at It-afdelingen ikke kunne redegøre for, hvor meget data hackerne kontrollerede. Samtidig begyndte investorerne og medarbejderne at stille spørgsmål og de første datalæk begyndte at sive ud.

Krise var måske i virkeligheden en underdrivelse.

Efter ganske intense diskussioner besluttede bestyrelsen derfor, at virksomheden skulle betale de 250.000 Euro, som hackerne krævede for at frigive virksomheden.

Og så opstod næste problem: Kan vi overhovedet betale i Bitcoins?! Kan banken hjælpe os med betalingen?

Nej og nej, lød svarene.

Det lykkedes dog efter dialog med Politiet, rådgivere og bank til sidst at få gennemført betalingen, og hackerne gav straks efter besked om, at virksomheden nu var fri igen.

Mareridtet var slut.

Angrebet kommer

Eller rettere øvelsen var slut.

For Innotech er en fiktiv virksomhed, og virksomhedens fiktive bestyrelse bestod af deltagere på en uddannelsesdag i cybersikkerhed, som Bestyrelsesforeningens Center for Cyberkompetencer afholdt onsdag d. 29. november.

Foto: Beslutningerne drøftes og evalueres  

Dagens centrale punkt var, at deltagerne som bestyrelse for Innotech skulle håndtere et cyberangreb i en specielt designet cybersimulator, hvor hver beslutning ledte til nye konsekvenser og muligheder.

Selvom angrebet var fiktivt, så er cybertruslen desværre absolut realistisk og stor. Det forklarer Jacob Herbst, som er it-sikkerhedsspecialist og CTO og Partner i cybersikkerhedsvirksomheden Dubex.

”Den der tanke om en enlig hacker i en kælder holder ikke længere. Virksomhederne står over for en topprofessionel modstander, der - ofte med statsstøtte - fungerer som en virksomhed, hvis forretningsområde simpelthen bare er at angribe og afpresse virksomheder. Det er en milliardindustri, der har stort set ubegrænsede ressourcer.”

Om Bestyrelsesforeningens Center for Cyberkompetencer: Bestyrelsesforeningens Center for Cyberkompetencers mål er at øge forståelsen, identifikationen og vurderingen af cyberrisici blandt virksomheders topledelse, og derigennem gøre cybersikkerhed til en konkurrencefordel for dansk erhvervsliv og samfundet som helhed. Læs mere om Bestyrelsesforeningens Center for Cyberkompetencer

 

Skulle man stadig være i tvivl om truslen, kan man spørge virksomheder som Vestas, Demant, Københavns Lufthavn, ISS eller EDC for blot at nævne nogle af de danske virksomheder, der har været ramt af angreb.

”Truslen er overhængende, og derfor skal man forberede sig, så man har nogle rutiner og dermed er bedre rustet, når angrebet sker, og systemerne går ned,” forklarede direktør i Bestyrelsesforeningens Center for Cyberkompetencer, Jens Stener.

Han taler af erfaring, for han var en del af ledelsen i ISS, da giganten i 2020 blev udsat for et voldsomt cyberangreb:

 ”Jeg skal bare hilse og sige, at det absolut ikke er sjovt. Det er et enormt pres på virksomheden og dens medarbejdere. Det har lært mig det vigtige i at være forberedt.”

Foto: Jacob Herbst, Partner i cybersikkerhedsvirksomheden Dubex giver status på cybersikkerheden

Ledelsen kan straffes: Sådan undgår du det

Jo bedre forberedt man er, jo større er chancen for, at man kan parere angreb eller slippe igennem med skindet på næsen.  

For at hjælpe ledere og bestyrelsesmedlemmer med at beskytte deres virksomheder og undgå potentielle sanktioner, som det nye NIS2-direktiv indeholder, tilbyder Dansk Erhverv og Bestyrelsesforeningens Center for Cyberkompetencer et kursus målrettet ledelse og bestyrelser. Her vil du udover akademisk forankret undervisning også blive trænet i at håndtere et angreb fra en hackergruppe på en konkret virksomhed.