Cyberkriminelle udnyttede en sårbarhed i LEMAN’s netværk og lagde alle systemer ned. I 14 dage måtte transportvirksomheden køre alle sine processer manuelt, og det kostede dyrt på bundlinjen. Uden et hurtigt beredskab kunne det være gået langt værre.
I LEMAN’s hovedsæde i Greve var man egentlig udmærket klar over truslen fra cyberkriminelle - og man havde investeret i tekniske foranstaltninger, der skulle forhindre angreb.
Alligevel var det ikke nok, da en kriminel gruppe skaffede sig adgang til transportvirksomhedens netværk og tog data som gidsel. De ubudne gæster blev opdaget den 24. maj 2020, og så gik det stærkt.
- Vi lukkede hele vores netværk ned og afskar det fra omverden for at begrænse skaden. Dernæst havde vi nogle eksterne specialister klar, og de blev tilkaldt for at håndtere hændelsen og forsøge at få tingene genoprettet. Det var bestemt ikke nogen selvfølge, at det ville lykkes, siger Christian Møller Laursen, Group CFO i LEMAN.
Det var et mareridt
Skaden var også allerede sket. Halvdelen af virksomhedens servere var ramt, og det stod ret tidligt klart, at det ville tage lang tid at få genoprettet – hvis det overhovedet var muligt.
- Derfor forberedte vi organisationen på at operere uden it i en periode. Her skal man huske, at vi er en transportvirksomhed med mange digitale processer, så det gjorde ondt. Pludselig havde vi ikke adgang til operationssystemer, vi kunne ikke se, hvad der var på vores lastbiler, og hvor ting stod på vores lager. Det skabte også udfordringer i kommunikationen med vores kunder, fordi vi ikke kunne udveksle dokumenter. Man kan ingenting, når man ikke kan overføre data ind og ud af ens netværk. Det var ganske enkelt et mareridt, og vi vidste ikke, hvor lang tid det skulle stå på, husker Christian Møller Laursen.
Tilmeld dig Sydbanks webinar om cybersikkerhed den 24. juni ved at klikke på billedet.
Imens knoklede specialisterne, i samarbejde med virksomhedens egne it-folk, videre med at få genoprettet systemerne. Der var tale om et såkaldt ransomware-angreb, hvor forbryderne havde et krav om løsesum for at frigive en kode, der kunne låse op for krypteringen – men LEMAN kom heldigvis aldrig til at betale.
- Det lykkedes eksperterne at få brudt koden, så vi kunne få adgang til alle de servere, de havde taget til fange. Den slags foregår på en meget kontrolleret måde, for man skal sikre, at man får renset ordentligt ud, og at man kan beskytte sig mod nye angreb, mens det står på. Efter cirka 14 dage kunne vi igen bruge it, men der gik nok tre måneder, før vi var tilbage på niveau, siger Christian Møller Laursen.
Trods effektivt arbejde fra it-eksperterne endte angrebet med at koste LEMAN i omegnen af 30 mio. kr. i direkte og indirekte omkostninger, vurderer han.
- Naturligvis til de eksterne specialister, men det var den mindste del. Det største tab skal tilskrives ekstraomkostningerne i operationen, fordi vi skulle manøvrere manuelt, betale overtid og bruge underleverandører, hvor vi normalt havde håndteret det selv. Det var en forfærdelig omgang at komme igennem, og vi havde aldrig klaret det uden velvillige og omstillingsparate medarbejdere og forstående kunder, siger Christian Møller Laursen.
Han er stadig rystet over, at det overhovedet kunne ske.
- Det var jo noget, vi havde diskuteret og investeret betydeligt i. Men det var bare ikke nok. I mine øjne kan det her ramme alle. Vi har lært, at selvom man gør meget, så kan man stadig have nogle sårbarheder, der kan udnyttes, siger Christian Møller Laursen.
LEMAN anno 2022 står nu langt stærkere, når det kommer til IT-sikkerhed.
- Vi har fået eksterne eksperter til at vurdere vores sikkerhedsniveau og få lavet en prioriteret handlingsplan for at få det løftet. Det betyder, at vi er kommet op på et betydeligt højere niveau sikkerhedsmæssigt. Det er også nødvendigt, for angrebene stopper ikke – det kan vi se. Nu er vi bare i stand til at afvise dem, siger Christian Møller Laursen.
Fem vigtige spørgsmål
Christian Møller Laursen håber, eksemplet fra LEMAN kan være med til at hjælpe andre virksomheder til at forhindre angreb. Han råder til at stille sig selv en række spørgsmål, når det kommer til it-sikkerhed:
• Hvornår blev der sidst foretaget en ekstern vurdering af sikkerhedsniveauet?
• Hvornår blev der sidst lavet en penetrationstest?
• Hvad er procedurerne omkring back-ups?
• Hvordan bliver aktiviteten på netværket overvåget?
• Er der beredskabsplaner på plads, der gør det muligt at håndtere en situation, hvor der ikke er adgang til it?
Se et webinar om it-sikkerhed
Du har nu mulighed for at se et webinar om it-sikkerhed. I webinaret fortæller Christian Møller Laursen om cyberangrebet og giver sammen med it-ekspert Henning Mortensen gode råd om, hvad man kan gøre for at beskytte sig mod it-kriminalitet.
Læs flere artikler og analyser, som hjælper erhvervsledere til at træffe bedre beslutninger
