Da Visma ble rammet av dataangrep
Det er tidlig i september 2018. En rekordvarm sommer er på hell. Sikkerhetssjef i Visma, Espen Johansen, er på militærøvelse i skogen da han får beskjed om hva som har skjedd: Et dataangrep har rammet Vismas systemer, og det ser ut til å være noe stort.
Skogsterreng og åpen himmel blir raskt byttet ut med dataskjermer og et avansert teknologisk kappløp for Johansen. Heldigvis rekker sikkerhetsteamet å avverge at angrepet utvikler seg til en katastrofe.
– Vi fikk tatt grep umiddelbart og rakk å drive vekk utysket før det kom seg inn på kundenes nettverk. Vi så umiddelbart at angrepet var særdeles proft og kyndig utført, forteller Espen Johansen i dag.
Særlig sistnevnte faktor gjorde at han ville bruke alt de hadde av verktøy i skuffen for å finne ut hvem som sto bak. Så snart inntrengerne var kastet ut, kalte Johansen inn et internasjonalt etterretningsselskap for å få hjelp til å identifisere angriperne.
– Og da vi visste hvem det var, ble neste spørsmål: Skal vi fortelle verden om det?
– Åpenhet har mange viktige og gode effekter, mens hemmelighold om slike angrep kun tjener de kriminelle.
Åpenhet som angrepsmiddel mot hackerne
Det var i grunnen aldri noen tvil, ifølge Johansen.
– Selvfølgelig skulle vi være transparente! Det var en del av vårt samfunnsansvar å dele hva som hadde skjedd, sier han.
– Åpenhet har mange viktige og gode effekter, mens hemmelighold om slike angrep kun tjener de kriminelle. Det var en etisk og moralsk vurdering.
Johansen tok pressefront. Daværende Visma-konsernsjef Øystein Moan ga ham full tillit og bare én føring: Ikke lyv. Fortellingen om angrepet skulle være fritt for spinn og svada, og Johansen skulle fortelle den ærlige, rå sannheten.
– Og det var det jeg gjorde. Ingenting ble lagt i mellom, vi var ærlige om alt. Vi vet at det som følge av denne ærligheten ble skrevet mellom 200 og 300 artikler om saken på verdensbasis i denne perioden, og nå er det enda flere. Vi var overalt – BBC, CNN, Forbes og mange andre steder, forteller Johansen.
Johansen fikk også utarbeidet en rapport om hva som hadde hendt, og oppfordret andre selskaper til å sette seg inn i den for å ivareta egen sikkerhet. Visma fikk mye ros for å fortelle åpent om angrepet, både internasjonalt og fra Nasjonal sikkerhetsmyndighet (NSM), som bisto dem underveis.
– Det er hyggelig med anerkjennelse, men det er ikke på grunn av omdømmet vårt vi velger å dele og fortelle. Åpenhet er et effektivt virkemiddel av flere grunner. Det sender et tydelig budskap til angripere om at vi ikke gir oss, og at vi eksponerer dem som gjør urett. Det er også et forebyggende tiltak der andre som kanskje er rammet, får informasjon som er nyttig for dem, sier sikkerhetssjefen.
Det var også tilfellet denne gangen: Da Visma fortalte sin historie, oppdaget flere selskaper at de var angrepet av Cloudhopper – den samme hackerkampanjen som hadde rammet Visma. Dermed fikk de mulighet til å ta grep og kaste dem ut fra innsiden av tjenestene sine.
Det er et skoleeksempel på hvordan det bør være, påpeker Johansen.
– Hvis du kommer hjem og oppdager at dørlåsen til blokka di er ødelagt, vil nok naboene dine i samme oppgang helst at du sier fra om det. Når vi mener at åpenhet er et samfunnsansvar, handler det mye om at vi vil rette søkelys mot angrepet. Ved å vise det fram til verden tvinger vi flere selskaper til å fikse sikkerheten sin.
Les mer: Krav og regler til leverandør av IT-sikkerhet i skyen.
Kinesisk etterretning sto bak
Det var, som Johansen hadde antatt, slett ikke amatører som hadde trengt seg inn denne gangen. Vismas påfølgende etterforskning med hjelp fra internasjonale sikkerhetseksperter avdekket at angrepet kom fra kinesisk etterretning.
Det gjorde det ikke mindre aktuelt å fortelle verden hva som hadde skjedd, snarere tvert imot.
– Som sikkerhetsjef er jeg lei av at nasjonalstater og andre slipper unna med alvorlige forbrytelser. Den avskrekkende effekten var et viktig poeng med åpenheten, sier Johansen.
– Vi ble tipset om at angripere av denne typen reagerer godt på publisitet, for å si det på den måten – altså, de er ikke noe glad i det. Og vi ville signalisere følgende: Visma kommer alltid til å fortelle hele historien. Det spiller ingen rolle om angriperen er kinesisk, amerikansk, tysk eller svensk for den saks skyld – vi kommer til å dele historiene. Kundene våre fortjener transparens og etterrettelighet.
– Velg full frontal nudity! Vær helt ærlig og fortell akkurat hva som har skjedd.
Så hvordan bør man som bedrift kommunisere utad dersom man utsettes for et stort dataangrep? Flere år senere er Johansen fortsatt klar i sin sak:
– Velg full frontal nudity! Vær helt ærlig og fortell akkurat hva som har skjedd. Det er viktig av grunner jeg allerede har vært inne på, men også fordi vi lever i en tid der all informasjon uansett er tilgjengelig i år framover.
Mange bedrifter fristes til å bruke det Johansen lett syrlig kaller «godt kommunikasjonsmessig håndverk» i øyeblikket, for eksempel ved å skape et stort volum av positive artikler i stedet for å fortelle hva som faktisk har hendt. Men risikoen er høy, påpeker sikkerhetssjefen.
– Sannheten kommer uansett fram. Og har bedriften din for eksempel vært utsatt for et løsepengevirus, og du har gitt penger til de kriminelle og samtidig unnlatt å fortelle kundene dine at data er på avveie – ja, da kan jeg love deg at dette kommer fram i en eller annen Due Dilligence-prosess senere. Da må du forsvare gamle beslutninger – noe som trolig vil redusere verdien av selskapet ditt.
Les mer: Forsømmer du IT-sikkerheten i din bedrift?
Bytt ut svake passord med god sikkerhetskultur
Hackerne som angrep Visma i slutten av august 2018, skaffet seg innledende tilgang via ansattes svake passord. Gjennom denne tilgangen fikk de muligheten til å kompromittere en Citrix-server og bevege seg videre inn i systemene.
– Kan du gjette hva det svake passordet var, hvis jeg forteller at tidspunktet for angrepet er en ledetråd? spør Johansen, før han gir svaret:
– Passordet var naturligvis «August2018!». Hadde angrepet skjedd i desember, kan jeg nesten love deg at det hadde vært «Desember2018!».
Ansvaret er fullt og helt hans, sier han.
– Jeg som sikkerhetsleder hadde vært en idiot – og flere andre sikkerhetsledere har gått i samme fella. Jeg hadde bedt de ansatte om å bytte passord ofte, uten å gi dem verktøy til å gjøre dette på en trygg og sterk måte. Og hva får du da? Massevis av ansatte som velger passord de klarer å huske ut fra hvor i året de befinner seg.
Johansen er klok av skade og peker på flere verktøy som er mer effektive enn å pålegge ansatte hyppige passordbytter: tofaktorautentisering, passordsstyringssystemer og dyrking av en god sikkerhetskultur, for å nevne noe.
– Jeg som sikkerhetsleder hadde vært en idiot.
Les mer: Hva er 2-faktor-autentisering?
– Hva er en god sikkerhetskultur?
– Jeg tror en god sikkerhetskultur kjennetegnes av ansatte som tar de riktige valgene uten å bli bedt om det. Ansatte som er så godt opplært at tofaktorautentisering er en selvfølge for dem. At det sitter i ryggmargen deres å velge et langt og godt passord, at de selvsagt oppdaterer telefonen sin – og at de ikke synes det er teit å gjøre alle disse tingene, sier han.
Kontinuerlige sikkerhetsvurderinger, krypteringsteknologi, strenge retningslinjer og gode systemer for sikkerhet er naturligvis viktig. Men klarer man å skape en god, grunnleggende sikkerhetskultur som beskrevet over, går resten mye enklere, mener Johansen.
– Og har du ingen god, grunnleggende sikkerhetskultur, skaff deg en. Betal for den om du må.
Dataangrep hvert ellevte minutt
Dataangrep mot bedrifter skjer hver dag, hele tiden. Ifølge Johansen opplever sikkerhetsavdelingen omtrent én insident daglig, og det går i gjennomsnitt elleve minutter mellom hver alarm de får.
– «Angrep» hvert ellevte minutt døgnet rundt er pulsen vi har i dag. Noen ganger er den litt høyere, noen ganger litt lavere.
Var angrepet i 2018 ekstra stort? Rent teknisk ikke, men konsekvensen av det var stor. Det er vanskelig å kvantifisere et angrep som «stort» eller «lite» – det er lettere å si noe om konsekvenser av angrep, forklarer Johansen.
– Den nevnte pulsen representerer egentlig bare at vi følger godt med, og at vi har lært oss å kalibrere sensorene våre og beskyttelsen slik at det lar seg håndtere. Angrepene som kommer hvert ellevte minutt, er ikke nødvendigvis mer eller mindre avanserte enn det vi opplevde den gangen. Poenget er at følgene av angrepene varierer.
Det betyr ikke at Johansen går og venter på et angrep med store konsekvenser omtrent hvert fjerde år. Men det han og teamet hans vet, er at angrep kommer hver eneste dag. Det har de visst i årevis og forholdt seg til like lenge, forteller han.
– Og man kan si det sånn: Når man har vært gjennom et stort dataangrep, er det ikke tvil om at sikkerheten har vært «for lav», rett og slett fordi angrepet har skjedd. At man har overlevd angrepet, fightet seg gjennom og kommet helskinnet ut på den andre siden, viser på tilsvarende måte at man er mye bedre stilt etterpå.