Kære topleder. Har du øvet din cybercrime-krisehåndtering?

Det er nemt at blive ramt af frygt, når snakken falder på cybercrime. For det er både et uskønt og komplekst scenarie, der kan få konsekvenser for omdømme såvel som bundlinje, når en virksomhed bliver ramt af hackerangreb. Så hvad gør du, hvis det sker for din? Det har vi talt med Michael Sjøberg om, der hjælper virksomheder med at håndtere krisen, når de står midt i den. For heldigvis kan du forberede dig ret konkret, så du står solidt, hvis uheldet rammer.

Cybercrime og hackerangreb kan ændre virkeligheden for enhver virksomhed på et splitsekund. Ofte er konsekvenserne uoverskuelige, og det samme kan det være at vide, hvordan man bedst forebygger et angreb. For hvad består et angreb konkret af, når en virksomhed sidder i saksen?

”Når vi taler om et hackerangreb, er det typisk et ransomware-angreb, hvor de kriminelle er kommet ind i virksomhedens netværk. Det er den værste type angreb, en virksomhed kan stå i. Konsekvensen er ofte en form for afpresningssituation, fordi der er stjålet personoplysninger eller kontrakter med fortrolige oplysninger.” Sådan siger Michael Sjøberg, Chief Hostage Negotiator hos Delta Crisis Management.

”Måden, det sker på, er, at en ransomware-bande først stjæler en større mængde fortrolige og følsomme data, derefter krypterer virksomhedens servere, så de ikke kan bruges, og til sidst efterlader en malware, som er en virus, der krypterer den stjålne data, og en ransomnote, der er et slags trusselsbrev. Og så starter balladen og krisehåndteringen.”   

Og når Michael Sjøberg bruger ordet ’bande’, er det ikke tilfældigt. Du kan nemlig glemme alt om den ensomme ulv i kælderen med fedtede amatørfingre. De værste ransomware-bander er mafialignende organisationer, ofte lokaliseret i Rusland og drevet som virksomheder med flere hundrede ansatte og stor professionalisme.  

”De har kun ét formål for øje med angrebet: Nemlig at tjene penge via afpresning. Du kan derfor forvente russisk forhandlingskultur med truende og hård retorik.” 

Derfor er det første og vigtigste skridt, hvis man er udsat for et angreb, at virksomheden skal undersøge, hvor hårdt den er ramt, og hvilke data gerningsmændene har stjålet. Ellers kan man ikke få greb om hverken omkostninger eller risici – og slet ikke tage stilling til, hvorvidt virksomheden skal overveje at forhandle en løsesum på plads med gerningsmændene, fortæller Michael Sjøberg.  

”Dog er det under 40% af de virksomheder, som jeg har hjulpet, der er endt med at betale løsesum. Og alle har betalt væsentligt under halvdelen af det, gerningsmændene har krævet. Det skyldes, at virksomheden får stillet sig selv i en position, hvor den har mulighed for at genvinde kontrollen, hvilket er helt afgørende.” 

Når Michael Sjøberg bliver ringet op, er krisen indtruffet. Og faktisk bliver de fleste virksomheder taget på sengen over det system, der skal sættes i gang, fortæller han. Ofte er deres kriseberedskab nemlig kun lig med den tekniske evne, virksomheden har til at komme tilbage i normal drift.  

”Et IT-beredskab er ikke nok, hvis hele forretningen sættes ud af drift for en periode, hvilket kan være tilfældet med en hackerangreb. Et ransomware-angreb er en krisesituation for hele virksomheden, hvor ledelsen skal levere en ekstraordinær indsats.”  

Ifølge Michael Sjøberg skal virksomhedsledelsen derfor have et nyt lag af krisehåndtering. Og du skal som ledelse koordinere følgende fire spor, der tilsammen udgør virksomhedens kriseberedskab:

1. IT: Skal standse ulykken og påbegynde genetablering fra backups (hvis de altså ikke er ødelagte). IT skal sikre, at virksomheden få gendannet data og systemer, og undersøge, hvordan de kriminelle kom ind i netværket.   
2. Kommunikation: Skal have en plan for, hvordan de sikrer, at virksomhedens omdømme ikke lider last. Hvem er de vigtigste at få kommunikeret til? Og hvad kommunikerer vi overhovedet?  
3. Legal og finans: Skal vide, hvad der står i virksomhedens Service Level Agreements, og kende de finansielle konsekvenser. De skal indberette angrebet til Datatilsynet. Og de skal vide, hvad forsikringen dækker – om noget – og hvor tabet er finansielt størst, så de kan minimere risici.  
4. Gerningsmændene: De skal håndteres, og her er ekstern hjælp nødvendig. En uddannet gidselforhandler med erfaring i ransomware kan nemlig hjælpe med at validere, hvad hackerne har stjålet. En gidselforhandler kan hjælpe med at få en dataliste fra dem, undgå at de lækker følsomme data og at holde døren til hackerne åben, hvis I skal købe jer tid til at kunne dekryptere data.

De beslutninger, du skal tage som øverste ledelse, skal altså minimere omkostningerne ved alle fire områder. Det øger kompleksiteten, og derfor er det også værdifuldt for den øverste ledelse at deltage i en krisetaskforce, der kan træffe beslutninger i svære situationer. Og det afføder ofte en kæk kommentar fra Michael Sjøberg. 

”Når en virksomhed inviterer mig ud for at få en forbyggende vejledning, kan jeg godt lide at spørge lidt provokerende, om deres CEO øver sig i krisehåndtering,” siger han. 

Michael Sjøbergs bedste råd er, at virksomheden udarbejder en kriseplan, der definerer dens øverste kriseniveau – herunder den instans, der skal koordinere indsatsen, hvilket skal inddrage den øverste ledelse.   

Kriseplanen skal være under 20 sider lang, skrevet i et letforståeligt sprog og kunne fungere i print – den skal altså være kort, overskuelig og operationalisérbar. For når du står med stjålet data, er en engelsksproget rapport i PowerPoint ikke det, der kommer til at hjælpe dig. Og så er det vigtigt, at det ikke er IT-afdelingen, der designer kriseplanen, fortæller Michael Sjøberg. 

”Alt for mange IT-afdelinger vælger selv at køre en kriseøvelse, fordi de tror, at det er deres egen viden om, hvordan et hackerangreb foregår rent teknisk, som ledelsen har behov for at få indsigt i. Men en kriseøvelse skal være en læringssituation, som er lige dele realistisk og lige dele læring. Så min holdning er, at ledelsen skal lære krisehåndtering gennem kriseøvelser, som er faciliteret af eksterne, som for det første har erfaring med hackerangreb i virkeligheden og for det andet er professionelle i deres pædagogiske evner.”  

Helt konkret foreslår han, at man som virksomhed arrangerer en årlig kriseøvelse, der kan udføres på en halv arbejdsdag, og som indeholder tre afgrænsende dele:

1. Indledning, hvor alle medlemmer i taskforcen bliver undervist i, hvilke værktøjer de skal bruge, når øvelsen sættes i gang. Hvad skal de være opmærksomme på og lægge vægt på undervejs?   
2. Krisesagen, som bliver afsættet for øvelsen og gerne skulle være en ægte sag, der er sket inden for det seneste år i en sammenlignelig branche. Det er her, taskforce-medlemmerne øver sig i at koordinere og håndtere de fire spor i kriseberedskabet.  
3. Debrief, hvor alle i taskforcen taler om, hvad de har været igennem, hvad der var svært, og hvad de har lært.

”Sidst – men ikke mindst – er det vigtigt, at I som virksomhed har forholdt jer til, om I har adgang til de rigtige rådgivere som f.eks. en forhandler, IT-sikkerhedsfolk og advokater, der kan hjælpe jer, hvis ikke I rummer det hele in-house. Gerne i et 24/7-beredskab, da cybercrime ofte sker om natten og op til en weekend,” fortæller Michael Sjøberg. 

Et af de steder, hvor det virkelig gør ondt, hvis finansfunktionen i større virksomheder bliver ramt af cybercrime, er, hvis ERP- og POS-systemet bliver lammet. Det er for mange virksomheder et regulært mareridtsscenarie, hvis ERP-systemet og dets data ikke kan repareres. Og faktisk er mange af økonomiafdelingernes hovedpiner helt lavpraktiske, fortæller Michael Sjøberg med udgangspunkt i en sag, hvor ERP-systemet blev lammet af et hackerangreb. 

”Blodtrykket var rigtig højt hos den økonomiafdeling. Og helt lavpraktiske, men kritiske ting fyldte enormt meget, såsom hvordan melder du det ind til Skat, hvis du ikke kan dokumentere et eneste bilag? Kan jeg bare sige til Skat, at jeg har mistet al min bogføring og alle mine bilag pga. et hackerangreb?” 

Og selvom virksomheden ofte kan komme online igen med 90% af sine systemer, kan der være kritiske services eller systemer, som ikke kan fixes på anden måde end via dialogen med gerningsmændene. 

”Worst case er, at gerningsmændene har stjålet mange gigabyte fortroligt og følsomt data, og at de har smadret alle din virksomheds backups og krypteret alle systemerne.”   

Der er dog også en best case, fortæller Michael Sjøberg. Og det er, hvis din virksomhed har gode backups, hvilket gør det muligt at have de mest forretningskritiske services i gang igen inden for 48 timer.   

”Nøgleordene er altså gode backups og en Business Impact Analysis. Og sidstnævnte er rigtig vigtigt. Det er nemlig en vurdering af, hvad et hackerangreb kan koste på bundlinjen ift. de finansielle, juridiske, operationelle og brandmæssige risici. Den pris skal topledelsen kende. For det gør det nemmere at vurdere, hvor store økonomiske konsekvenser specifikke valg vil få, når virksomheden står midt i krisen. Så at få foretaget en gennemarbejdet Business Impact Analysis er en vigtig opgave på CFO’ens bord.”