Ransomware-attack skapade panik på Revideco

Sent en söndagskväll i april 2022 fick Antti Niemi ett telefonsamtal från en kollega som berättade att alla system låg nere och ingen hade access till byråns IT-miljö. Första tanken var oplanerat driftstopp, men så fick han veta att den dåvarande IT-leverantören hade blivit utsatt för en så kallad ransomware-attack, vilket innebär att hela eller delar av en verksamhets IT-system med dess information blivit krypterad. Utpressarna kräver oftast en lösensumma (ransom på engelska) för att ”låsa upp” informationen igen.

– Som tur var fick vi veta att vi inte hade någon data på den server som blivit angripen, men som en säkerhetsåtgärd kräver systemet ändå att allt måste stängas ner. Så vår kunddata var alltså inlåst och gick inte att komma åt. I praktiken innebar det att vi inte kunde komma åt kundernas bokslut eller revisioner som gjorts. Alla som jobbar i vår bransch kan nog föreställa sig vilken stress detta skapade mitt i högsäsongen, säger Antti Niemi.

Viktigt att hitta en struktur i kaoset

Han berättar att det första de gjorde var att kontakta IT-leverantören för att få grepp om vad som faktiskt hade hänt. Det visade sig att det fanns en mänsklig faktor bakom incidenten hos IT-leverantören.

– Vårt mål var hela tiden att vi skulle vara så transparenta som möjligt med vad som hänt och hur vi jobbade för att lösa det hela utan att skapa panik. När attacken inträffade hade vi cirka 400 revisioner och bokslut i gång. Innan vi fick tillgång till vår data var vi tvungna att göra om alla akuta uppdrag, ett dubbelarbete vi inte kunde ta betalt för. Vi visste inte heller hur länge vi skulle vara utan åtkomst, och ingen kunde ge ett klart besked, säger Antti Niemi.

Kundernas vanligaste frågor

De två vanligaste frågorna från kunderna var: ”Har min data läckt?” och ”Kommer det bli förseningar?”

– Det var naturligtvis en lättnad att vi snabbt kunde svara dem att ingen data hade läckt och att eventuella förseningar skulle hanteras fortlöpande. Det var det primära budskapet i vår kommunikation till kunderna.

En oväntad fördel var att byråns dåvarande revisionsprogram var ganska omodernt, vilket innebar att allt gick att ladda ner lokalt. Antti Niemi menar att det blev lite av en räddning, även om det också försvårade saker.

– Att byta programvara är inget man gör i en handvändning, och trots att många system borde vara webbaserade är de det inte. I höst har vi bara en programvara kvar som kräver att vi arbetar i en hybridlösning. Vår ambition är att bli helt webbaserade eftersom det minskar risken för total driftstörning.

Hur lyckades ni lösa situationen och vilka var de främsta nycklarna i det arbetet?

− Kommunikation och transparens var det absolut viktigaste, att kontinuerligt informera både medarbetare och kunder om vad som sker.  Eftersom vi är utspridda på fem olika kontor så kallade vi samtliga medarbetare till teamsmöten klockan nio varje morgon för att uppdatera alla om läget. Som tur i oturen hade vi precis anställt vår första IT-ansvarige och han hjälpte oss att hålla nere blodtrycksnivån och göra rätt saker och ting i rätt ordning. Medan IT-leverantören hade fullt fokus på att lösa huvudproblemet hjälpte vår IT-ansvarige oss att planera för hur vi skulle komma i gång och jobba igen. Tid är ju pengar och har du 50+ personer som inte kan jobba blir varje timme dyrbar. Så snabba beslut är avgörande. Detta var en tuff upplevelse för alla inblandade, men tack vare fantastiskt teamwork tog vi oss igenom krisen med hedern i behåll och med både starkare kundrelationer och bättre sammanhållning som resultat.

Vilka är era viktigaste lärdomar från den här krisen?

− Vår krisberedskap innan händelsen var halvdålig så en av de absolut viktigaste lärdomarna är att se till att ha en fungerande krisberedskap. När den första chocken hade lagt sig insåg vi att bättre förberedelser hade gjort stor skillnad och det har vi tagit med oss. En annan viktig lärdom är att försäkringar är ett måste. Se till att din IT-leverantör är rätt försäkrad och att det är tydligt vad försäkringen faktiskt täcker.  Det är också viktigt att se över vilken typ av säkerhetslösningar leverantören har när det gäller hantering av kunddata. Sen är det också viktigt att använda webbaserade system eftersom med molnbaserade lösningar ligger inte all data hos en enskild leverantör, vilket minskar sårbarheten.

Har ni gjort några andra förebyggande insatser eller förändringar i ert sätt att arbeta efter det som hände?

– Efter händelsen blev våra medarbetare av förklarliga skäl mycket mer engagerade i säkerhetsfrågor oh efterfrågade själva mer utbildning. Vi införde bland annat ett testsystem där vi skickar ut falska mejl. Den som klickar på en sådan länk får genomgå en utbildning, vilket har ökat medvetenheten rejält. Vi kan nu också följa upp vilka som behöver mer utbildning, allt sker automatiskt genom en extern tjänst vi köpt in, som fungerat väldigt bra. Vi har också stoppat möjligheten till att själv installera programvaror och uppdateringar för att minskar risken att ladda ner malware. Och förbättrat våra säkerhetsrutiner för programuppdateringar. Detta ingår i en bredare säkerhetsgenomlysning som vi numera gör regelbundet.

 

Anttis bästa råd för att skydda sig mot en ransomware-attack

• Även om man gör allt rätt kan man bli utsatt, men uppdaterar du system och programvaror kontinuerligt minskar risken rejält
• Har du programvaror som inte är webbaserade? Tänk på att välja en immutable backup och att ha en krisplan.
• Sikta på att bli helt webbaserad – det ger ett bättre skydd och högre tillgänglighet.
• Ha försäkringsfrågan på agendan och kontrollera att din IT-leverantör är ordentligt försäkrad.
• Se över om FAR:s Cyberförsäkring är relevant för din verksamhet
• Prioritera IT-säkerhet. Nya lagar som NIS2 (SOU 2024:18) är på väg. Ställ dig frågan, vad innebär cybersäkerhetslagen för din verksamhet?

Utbilda och ”träna” medarbetarna kontinuerligt för att öka medvetenheten och kunskapen om hur de kan förebygga risken att bli utsatt för en IT-attack.