Kundcase:

Snabb hantering av cyberattacker minskar risk för ekonomisk förlust

När bolaget upptäckte att de var utsatta för en cyberattack visste de att det var bråttom. De vände sig till Emil Andersson på Shibuya som snabbt skapade ett team för att både stoppa den pågående attacken och genomföra åtgärder för att förekomma framtida ekonomiska och renommémässiga förluster för bolaget.

En majoritet av Sveriges företag utsätts årligen för någon form av IT-brottslighet, men få har erfarenheten och rutinerna för att hantera dem på egen hand. Det här är en sådan berättelse.

Eftersom säkerhetsarbete och cybersäkerhetsfrågor är känsliga har bolagets namn, kontaktpersonen och vissa omständigheter ändrats för att skydda verksamheten. Men storyn är en bild från verkligheten.

Det börjar bli sent på onsdagseftermiddagen när mobilen ringer hos Emil Andersson. Som Service Delivery Manager på Shibuya pratar Emil med kunder hela dagarna, men numret är från en gammal bekant till Emil och inte en kund.


– Redan direkt hör jag att något har hänt. Det finns en desperat ton i rösten när han berättar att deras bolag är utsatt för en pågående hackarattack. De har bara en person på bolaget som jobbar med IT, vid sidan av sitt ordinarie jobb som utvecklare, så de insåg att de behöver mer hjälp och det snabbt, berättar Emil Andersson.

Emil Andersson, Shibuya

Emil Andersson, Shibuya

 

Bolaget, som vi kan kalla för Industribygg AB, är ett mindre industriföretag i västsverige. De är inte kunder till Shibuya men Jörgen i andra änden av telefonen känner Emil och vet att Shibuya jobbar med cybersäkerhet så han slår en signal.


– Vi har ju inga avtal på plats med bolaget, men det är uppenbart att bolaget behöver vår hjälp så jag ställer frågan internt om det är någon som har möjlighet att rycka in. Nästan direkt svarar Rikard: ”Jajamän, jag kan åka dit vid 9 i morgon bitti”.



Cyberattacken hade pågått länge utan att synas


På plats hos kunden konstaterar Rikard Larsson från Shibuya att inkräktarna är inne i bolagets Office 365-miljö. De har kapat ett flertal konton och från dessa skickat falska fakturor till bolagets kunder där de uppmanas att sätta in pengar på konton som tillhör hackarna. De har också byggt upp en rad regler i Officemiljön så att e-post vidarebefordras på ett sätt som gör att varken kunder eller bolaget enkelt kan upptäcka att något är fel.


Med en första bedömning på plats inser Emil att fler kompetenser inom Shibuya behöver kopplas in. Han vet också att det gäller att agera snabbt för att skydda bolaget från att drabbas ännu värre. Emil slår en signal till Veronica Tidqvist som är Senior Infrastructure Engineer.


– Det enda hon svarade var: ”Jag kan hjälpa till. Jag jobbade med ett sådant här case i förra veckan, så det löser vi utan problem. Be Rikard ringa mig!”. Det är precis det man vill höra. Att detta är vardagsmat för någon som Veronica.


– Jag satte i gång att jobba direkt, säger Veronica Tidqvist. Vi stänger ute hackarna från de luckor vi känner till. Vi var lite bundna av att vi bara såg loggar ett par dagar tillbaka i tiden. Men genom att köra egenbyggda skript som sökte igenom Officemiljön hittade vi ganska mycket mer spår och det fick oss att gräva ännu djupare.


– Vi ser till att låsa upp mer av den historiska loggdatan så att vi kan gå igenom den och vi upptäcker att hackarna har varit inne i systemet långt tidigare än vad man kände till. Vi jobbar på hårt under några dagar och hittar fler hackade konton. Vi stänger dem också och ser till att alla byter lösenord överallt.


Vi upptäcker att hackarna har varit inne i systemet långt tidigare än vad man kände till. Vi jobbar på hårt under några dagar och hittar fler hackade konton. Vi stänger dem också och ser till att alla byter lösenord överallt.

Veronica Tidqvist
Shibuya

 

Säkrar bolagets verksamhet genom snabba beslut


En cyberattack är långt ifrån enbart en teknisk fråga. Det påverkar hela bolaget och människorna som arbetar i det, så under hela arbetet har Emil löpande kontakt med bolagets VD och större delen av ledningsgruppen. Det gör också att man kan fatta snabba beslut för att minska skadeverkningarna.

 

Av en händelse anställs i detta läge Andreas Lundgren på Shibuya och tar med sig djup kompetens inom krishantering runt cybersäkerhet från bland andra IBM in i Shibuya.


– Tillsammans med teamet sätter jag mig snabbt in i situationen och ser att vi behöver göra ytterligare åtgärder både på kort och lång sikt för att säkra bolagets verksamhet. I en sådan här situation är det viktigt att både agera kraftfullt på läget just nu och att samtidigt förebygga framtida svårigheter för att minska de ekonomiska och renommémässiga skadorna på bolaget, säger Andreas Lundgren och fortsätter:


– Vi tar fram en åtgärdsplan med ett 20-tal punkter som vi rekommenderar bolaget och ser till att de får rätt underlag för att kunna ta snabba beslut i de här frågorna. Att skydda sig handlar inte minst om att se till att både tekniken och människorna är uppdaterade utifrån den hotbild man står inför. Man behöver också vara medveten om att cyberattacker kan drabba alla. I det här fallet var det ett mindre bolag och vi ser i undersökningar att attackerna mot småbolag och industribolag ökar kraftigt, säger Andreas Lundgren.

 

Att skydda sig handlar om att se till att både tekniken och människorna är uppdaterade utifrån hotbilden. Man behöver också vara medveten om att cyberattacker kan drabba alla.

Andreas Lundgren
Shibuya

 

Allt fler småbolag utsätts för cyberattacker


Att utsättas för en cyberattack är något som många bolag är oroliga för, och med goda anledningar. I en större undersökning från Företagarna säger till exempel över 75% av de tillfrågade medlemmarna att de utsatts för IT-relaterad brottslighet senaste året. En cyberattack kan göra stor skada i en verksamhet både ekonomiskt och i förhållande till kunderna. Det är också något som sker snabbt, så det gäller både att vara förberedd och att veta vem som kan backa upp med erfarenhet och kunskap.


– Få bolag har bred erfarenhet av attacker i verkligheten. Det är såklart bra på ett sätt, men när det händer är det också svårt att veta vad man ska göra. Vi ser mer av den här verkligheten, både i fall som det här och genom vår övervakningstjänst, och vi lär oss mycket av de ärenden vi jobbar med. Därför är samarbete med någon som Shibuya verkligen en fördel när något händer, säger Andreas Lundgren.

Emil Andersson i samtal med Helén Dahlberg på Shibuya

Emil Andersson i samtal med Helén Dahlberg på Shibuya

 

– För vår egen del har det här fallet också blivit ett superkul exempel på det teamwork vi har inom Shibuya. För att lösa kundens situation satte vi upp ett effektivt team som samarbetade över fem olika avdelningar inom Shibuya. Vi försökte väl låta bli att visa kunden alltför mycket hur taggade vi var över att lösa den här svåra säkerhetsutmaningen. Men det var verkligen kul att få använda våra olika specialiteter för att hjälpa kunden i den utsatta situation de var i, tillägger Emil Andersson.


Eller kund och kund. När Industribygg AB ringde första samtalet var de inte kunder till Shibuya. De var ett bolag med ett stort cybersäkerhetsproblem och ett telefonnummer. Några dagar exceptionellt arbete senare är den omedelbara faran över, framtida åtgärder är planerade och Industribygg AB är Shibuyas allra senaste kund.

Varje år utsätts över 75% av alla företag av någon form av IT-relaterad brottslighet, och cyberhot är en av de största orosmolnen för svenska ledare. Få bolag har idag gedigen egen erfarenhet av att hantera kriser kring cyberattacker, men Shibuya erbjuder både ledningsutbildning inom cybersäkerhet och ett brett utbud av kvalificerade IT-säkerhetstjänster.