”Er vi overhovedet i stand til at skaffe bitcoins til løsesummen?!”

En onsdag i november gav It-chefen i ‘Innotech’ bestyrelsen en besked, som mange danske virksomheder desværre har fået, og som endnu flere frygter:

”Vi er blevet udsat for et stort cyberangreb, der blandt andet har lagt vores hjemmeside og mail ned. Vi har ikke overblik over, hvor langt de er trængt ind, men det er alvorligt. Hackerne kræver, at vi betaler 250.000 euro i løsepenge.”

Alvoren var til at mærke i bestyrelseslokalet, da det hurtigt stod klart, at angrebet kunne få endog meget alvorlige konsekvenser; der var eksempelvis ingen garanti fra hackerne, og hvis man trak stikket og lukkede systemerne ned, vurderede IT, at det kunne tage mellem 45 og 60 dage at få virksomheden i gang igen – og man vidste ikke, hvor meget data, hackerne inden da havde stjålet.

”Vi er i krise,” konkluderede bestyrelsesformanden da også ganske hurtigt.

Og så meldte spørgsmålene sig: Har vi en fysisk udgave af vores beredskabsplan, nu hvor vi ikke kan komme til den digitale? Hvor meget koster det os, hvis vi er nede i op til 60 dage? Hvis vi ikke trækker stikket nu, kan de så nå at ødelægge endnu mere? Hvordan kommunikerer vi uden mail?

”Vi betaler”

Hurtigt stor det klart, at beredskabsplanen ikke var tilgængelig, og at It-afdelingen ikke kunne redegøre for, hvor meget data hackerne kontrollerede. Samtidig begyndte investorerne og medarbejderne at stille spørgsmål og de første datalæk begyndte at sive ud.

Ordet krise var nok i virkeligheden en underdrivelse.

Efter intense diskussioner besluttede bestyrelsen derfor, at virksomheden skulle betale de 250.000 Euro, som hackerne krævede for at frigive virksomheden.

Og så opstod næste problem: Kan vi overhovedet betale i Bitcoins?! Kan banken hjælpe os med betalingen?

Nej og nej, lød svarene.

Det lykkedes dog efter dialog med Politiet, rådgivere og bank til sidst at få gennemført betalingen, og hackerne gav straks efter besked om, at virksomheden nu var fri igen.

Mareridtet var slut.

Eller rettere øvelsen var slut.

For Innotech er en fiktiv virksomhed, og virksomhedens fiktive bestyrelse bestod af deltagere på en uddannelsesdag i cybersikkerhed, da Bestyrelsesforeningens Center for Cyberkompetencer åbnede for Cyberrisk Simulatoren for en dag.

Cyberrisk simulatoren er et projekt støttet af Industriens Fond til udbredelse af flere cybersikkerhedskompetencer blandt ledere og bestyrelsesmedlemmer.

Angrebet kommer

Dagens centrale punkt var, at deltagerne som bestyrelse for Innotech skulle håndtere et cyberangreb i en specielt designet cybersimulator, hvor hver beslutning ledte til nye konsekvenser og muligheder.

Selvom angrebet var fiktivt, så er cybertruslen desværre absolut realistisk og stor. Det forklarer Jacob Herbst, som er it-sikkerhedsspecialist og CTO og Partner i cybersikkerhedsvirksomheden Dubex.

”Den der tanke om en enlig hacker i en kælder holder ikke længere. Virksomhederne står over for en topprofessionel modstander, der – ofte med statsstøtte – fungerer som en virksomhed, hvis forretningsområde simpelthen bare er at angribe og afpresse virksomheder. Det er en milliardindustri, der har stort set ubegrænsede ressourcer.”

Skulle man stadig være i tvivl om truslen, kan man spørge virksomheder som Vestas, Demant, Københavns Lufthavn, ISS eller EDC for blot at nævne nogle af de danske virksomheder, der har været ramt af angreb.

”Truslen er overhængende, og derfor skal man forberede sig, så man har nogle rutiner og dermed er bedre rustet, når angrebet sker, og systemerne går ned,” forklarede direktør i Bestyrelsesforeningens Center for Cyberkompetencer, Jens Stener.

Han taler af erfaring, for han var en del af ledelsen i ISS, da giganten i 2020 blev udsat for et voldsomt cyberangreb:

 ”Jeg skal bare hilse og sige, at det absolut ikke er sjovt. Det er et enormt pres på virksomheden og dens medarbejdere. Det har lært mig det vigtige i at være forberedt.”

Læs mere om udbudte kurser i Cyberrisk Simulatoren her .