To år efter hackerangreb: Op mod 400.000 ”besøg” om dagen

"Du føler dig virkelig krænket på det groveste. Jeg kunne forestille mig, at det er ligesom at have indbrud derhjemme, hvor nogen har stået og rodet i dine ting. Jeg er ærekær, og jeg er ked af det over for virksomheden. Så hvis det sker igen, så er jeg her ikke mere. Så siger jeg op,” lyder det uden tøven fra John Graversgaard. Han har en fortid som efterretningsofficer, og han sætter en stor ære i at sikre sin nuværende arbejdsplads, Tønder Forsyning, mod digitale trusler.

Her fortæller han om den episode i december 2020, hvor Tønder Forsyning blev udsat for et hackerangreb, der lammede det administrative system, og som selskabet den dag i dag stadig mærker efterdønningerne af.

Det er midt under corona-nedlukningen en torsdag i december for snart to år siden. Solen er indhyllet i skyer, og temperaturen i Sønderjylland kan kun lige akkurat snige sig over nulpunktet. Men hos Tønder Forsyning skal det blive hedt. En dag med sved på panden og fugtige håndflader venter medarbejderne, som arbejder forskudt – nogle på kontoret, andre derhjemme. John Graversgaard, der er it-ansvarlig i Tønder Forsyning, sidder derhjemme og er ved at lave en opdatering, da han opdager, at der mangler en fil.

“Jeg har vores it-leverandør i røret. Vi genetablerer filen fra vores backup, men den forsvinder igen med det samme. Og efter lidt tid får vi begge to en ”mouse locker”, og så ved vi godt, at der er noget i gærde,” fortæller han.

En “mouse locker” gør lige præcis det, som navnet siger og mere til. Du kan ikke bruge musen eller tastaturet, så alt på skærmen låser. Man kan ingenting – kun trække stikket.

“Så jeg ringer til min kollega Heidi, der er på kontoret, og siger, at hun skal hive alle stikkene ud. Hun skal ikke spekulere over det – hun skal bare hive alt ud,” lyder det fra John Graversgaard. Selvom det snart er to år siden, genfortæller han historien, som om det næsten lige er sket. Han har også fået lov at fortælle den mange gange til kollegaer i andre danske forsyninger. 

“Vi skal fortælle de her ting og dele viden om sårbarheder, for det kan andre lære af,” siger den it-ansvarlige.

Katastrofeplan på print

Selv om der blev reageret prompte, havde hackerne allerede fået inficeret det meste af systemet. Der var tale om et såkaldt ”zero-day attack”, som betyder, at der blev udnyttet en sårbarhed, som endnu ikke var opdaget. Den slags er så godt som umulig at gardere sig imod.

Men man kan gøre sit forarbejde ved at forberede sig på, at et cyberangreb kan finde sted, så man er bedre rustet til at komme igennem sådan en hændelse.

Hos Tønder Forsyning stod der en såkaldt “Disaster and recovery plan” klar på hylden. Det er en kombination af en beredskabsplan og en mere grundig beskrivelse af konsekvensen af nedbrud i de enkelte systemer.

“Jeg vil varmt anbefale alle at have sådan en stående. Og det er vigtigt at have den i papirudgave,” griner John.

I planen fremgår det også, hvilke myndigheder og andre relevante aktører, der skal kontaktes, hvis uheldet er ude. Forsyningen priser sig desuden lykkelig over, at man nogle år forinden havde tegnet en såkaldt cyberforsikring, som blev aktiveret med det samme. Gennem forsikringen blev der koblet amerikanske eksperter på sagen, og så gik det hurtigt med at få styr på situationen.

“Jeg skal love for, at de ved, hvad de har med at gøre, de knægte,” lyder det fra John Graversgaard med henvisning til holdet af amerikanske it-specialister, der, med base i Chicago, arbejdede på højtryk for at løse problemet for det sønderjyske forsyningsselskab.

Læs også "Falsk phishing-mail fik folk op af stolene"

15 gange så meget trafik

Angrebet har haft store konsekvenser for Tønder Forsyning. Selv om de ikke betalte løsesummen, som hackerne krævede, og på trods af, at der ikke blev lækket personfølsomme oplysninger, kan John Graversgaard stadig mærke følgevirkninger af angrebet.

De danske myndigheder støttede Tønder Forsyning i, at det var den helt rigtige beslutning ikke at betale løsesummen. Men samtidig gjorde de det klart, at man efter sådan et angreb ville være ekstra udsat for lignende forsøg. Og den antagelse har vist sig at være rigtig. Tønder Forsyning er for alvor blevet en skydeskive for de cyberkriminelles spredehagl.

“Jeg kan jo stadig se på vores firewall, at der er en masse hits østfra. Før havde vi 20-25.000 hits om dagen. Efter angrebet er det steget til 300-400.000 hits hver dag, og det ligger ret stabilt på det niveau,” fortæller John.

Et ”hit” kan dække over alt muligt, og det eneste man kan sige med sikkerhed er, at der via internettet sker et forsøg på at skabe en forbindelse til Tønder Forsyning. Bag nogle af de mange besøg er formentlig automatiserede ”bots”, som John kalder det, der er forsøger at logge ind på systemet.

Den voldsomme stigning har ikke noget med krigen i Ukraine at gøre, for de hundredtusinder af daglige hits var allerede en realitet, inden Rusland invaderede nabolandet. John er en del af DANVAs netværk for it-sikkerhed, og han hører også om store stigninger i antallet af hits mod firewall’en hos de andre vandselskaber, der har folk i netværket.

Krævede meget af medarbejderne

I tiden umiddelbart efter angrebet, kunne alle ansatte i Tønder Forsyning mærke den ravage, hackerne havde forårsaget.

“Vi var i tvivl, om de havde fået adgang til vores PLC’er i driften, så vi måtte rundt og undersøge, om de havde lagt noget et sted, så de kunne lamme os igen,” fortæller John Graversgaard.

Derfor måtte forsyningen gennemgå hver enkelt PLC. Man sammenlignede størrelsen på den konkrete fil, der styrer enheden, med standardfilen for enheden, og hvis der var den mindste afvigelse fra standardfilens størrelse, blev filen slettet og udskiftet med en frisk fil. Det var et enormt arbejde, og i to måneder måtte selskabet køre med manuel drift.

“Det krævede meget af medarbejderne, for der skulle hele tiden være folk på arbejde. Vi kørte tre-holdsskift. Det er fint at automatisere, men man skal bare huske, at man altid skal kunne styre processerne manuelt, hvis uheldet er ude. Det kunne vi, men hvis ikke, havde vi været på Herrens mark,” siger den it-ansvarlige.

Læs også "IT-sikkerhed er et fælles projekt"

Vandtætte skotter

Da hackerne først havde fået adgang til systemet, fik de lammet næsten hele den administrative del, og det burde ikke være muligt at komme fra det ene system til det andet. Det har Tønder Forsyning efterfølgende taget konsekvensen af og lavet vandtætte skotter mellem forskellige netværk.

“Vi har lært mange ting, synes jeg. Vi troede jo, at vores netværk var godt segmenteret, men det havde det jo ikke været, når det kom til stykket. Så i dag har vi simpelthen mikro-segmenteret hele vores net,” fortæller John Graversgaard. 

Det betyder blandt andet, at det nu er langt mere restriktivt, hvilke enheder, der kan kommunikere med hinanden, og hvilke dele af nettet, der kan modtage trafik udefra. På den måde kan hackere ikke inficere hele netværket på én gang.

Det bliver alt sammen styret af en firewall med såkaldte ”policies”, som enhederne retter sig efter. Før var der omkring 100 af disse policies. Nu er tallet tættere på 300. Derudover har man ændret alle ip-adresser, så hele netværket er blevet genopbygget fra grunden.

Trine Hadrup er direktør i Tønder Forsyning. Hun blev først ansat, ni måneder efter angrebet fandt sted, og for hende er det tydeligt, at organisationen er enormt opmærksom på it-sikkerhed:

“Der er mange overvejelser i forhold til, hvordan man kan gøre det sikkert nok. Det er hele tiden en afvejning af, hvordan vi kan holde en drift kørende og medarbejdere kørende og genere dem mindst muligt uden at gå på kompromis med sikkerheden. For det er klart, at der er nogle ting, som bliver mere bøvlede, når man skal logge ind ad flere omgange og skifte password, men det kommer man bare ikke udenom,” siger hun.

Læs også "10 gode råd om cybersikkerhed"

Fælles om at passe på selskabet

Filtrene på mailsystemet har John også skruet op for, så flere mails ender i spam som potentielle phishing-mails. Det betyder også, at der fra tid til anden ender en godartet mail i filteret, men det er af ting, man må leve med, selv om det kan virke som en hæmsko i en travl hverdag.

Som så mange andre steder har Tønder Forsyning også været udsat for forsøg på såkaldt direktør-svindel, hvor cyberkriminelle sender en e-mail, hvor man udgiver sig for at være selskabets direktør. Typisk beder de kriminelle medarbejdere om at overføre penge eller andet nemt omsætteligt. De stærke filtre fanger dog det meste af den slags, men som medarbejder skal man stadig være vågen.

Direktør Trine Hadrup meldte også klart ud, inden hun tog på sommerferie, at der ikke var bestilt noget, som skulle godkendes. Og hvis man var i tvivl, måtte man ringe til hende.

“Jeg meldte ud, at jeg ikke havde bestilt noget eller havde nogle aftaler med nogen. Jeg havde heller ikke købt noget. Så lad være med at godkende noget, som nogen påstår er bestilt af mig,” fortæller Trine Hadrup.

For at holde den skærpede opmærksomhed ved lige, afholder Tønder Forsyning løbende træning, hvor samtlige ansatte gennemgår et læringsforløb.

“Vi tror på, at det giver noget at samle folk fysisk. Det sender et signal om, at vi mener det alvorligt. Men det gør det også mere virkelighedsnært, og det sidder bedre fast, når man får lov at stille spørgsmål og dele egne erfaringer. Og så giver det også en fællesskabsfølelse af, at vi sammen har et ansvar for at passe på vores selskab,” siger Trine Hadrup.