„Við erum að fara í toppinn í öryggi á 100 dögum“
Setja bókamerki
Bílaumboðið Brimborg þurfti að verjast verjast netárás og gagnagíslatöku síðsumars og setti í kjölfarið af stað 100 daga úrbótaverkefni þar sem ýmislegt hefur verið gert til að bæta gagnaöryggi hjá fyrirtækinu.
Meðal annars voru gagnalínur inn og út úr fyrirtækinu fimmfaldaðar sem gerir að verkum að mun fljótlegra verður að lesa inn afrit af gögnum ef til þarf ef fyrirtækið myndi til dæmis aftur verða fyrir gagnaárás.
Egill Jóhannsson, forstjóri Brimborgar, lýsti því á vel sóttri ráðstefnu um gagnaárásir á vegum Origo í síðustu viku hvernig stjórnendur Brimborgar brugðust við og hvaða lærdóm megi draga af árásinni.
Mikil fjárfesting á stuttum tíma
Egill segir í samtali við mbl.is að hann yrði ekkert hissa ef það sem Brimborg sé að setja upp á 100 dögum séu menn almennt að setja upp í netöryggismálum á að minnsta kosti tveimur til þremur árum og jafnvel á lengri tíma.
„Við erum að fara í toppinn í öryggi á 100 dögum.“
Hann segir um mikla fjárfestingu að ræða sem ráðist er í á mjög stuttum tíma.
„Ég ákvað strax að horfa á þetta sem tækifæri. Hvað getum við gert úr þessu? Getum við orðið best í öryggi?“
Ákveðinn í að nýta alla sérfræðinga í sólarhringsþjónustu
Hann fer yfir atburðarásina með blaðamanni.
„Þegar við áttuðum okkur á að um árás var að ræða og líklega gagnagíslatöku aðfaranótt þriðjudagsins 29. ágúst þá virkjuðum við neyðarnúmer hjá Origo. Morguninn eftir héldum við fund með aðalsérfræðingum fyrirtækisins og þá lá fyrir að um væri að ræða netárás og gagnagíslatöku. Við vorum alveg ákveðin í því frá upphafi að nýta alla sérfræðinga Origo í sólarhringsþjónustu og það var alveg skýrt að við vildum bregðast hratt við.“
Egill segir að um leið og upp komst um árásina hafi verið slökkt á öllum útstöðvum til að gögnum yrði ekki dælt út eða hægt að nýta einhverja útganga. Svo hafi fyrirtækið staðið frammi fyrir ákvörðun um að vírusleita kerfið eins og það var þá eða hreinlega að strauja allt.
„Völdum að strauja allt“
„Við völdum að strauja allt en það voru næstum 200 útstöðvar, allir þjónar og gagnagrunnar sem voru straujaðir. Með þeirri aðferð er ólíklegra að einhver vírus verði eftir í kerfunum og það gekk eftir en um leið þurftum við að byggja kerfið allt upp aftur.“
Brimborg fékk netöryggisfyrirtækið Syndis strax á staðinn til að rannsaka hvernig þrjótarnir komust inn og hvernig þeir fóru um kerfið, bæði til að læra af atburðinum og til að geta brugðist við seinna og mögulega strax ef það væri enn eitthvað í leynum í kerfunum.
Að auki kom Annata, fyrirtæki sem sér um upplýsingatæknikerfi Brimborgar, að verkefninu en það þurfti að reisa upplýsingatæknikerfið við og setja gagnagrunnana þar upp.
Tækniher virkjaður
Þá voru allir starfsmenn virkjaðir, bæði sérfræðingarnir sem sjá um kerfin en einnig var settur á laggirnar það sem kallað hefur verið tækniher Brimborgar.
„Við völdum ákveðna starfsmenn sem eru svona frekar tölvulæsir og skiptum hópnum upp og svo var farið um fyrirtækið bæði í straujun og uppsetningu á vélum. Það þurfti að fara á átta starfstöðvar víðs vegar um landið og um 200 vélar og það þurfti að gera í þrígang.“
Origo stofnaði Teams-rás sem allir sem unnu að verkefninu hverju sinni tengdust og á tímabili voru 43 á Teams-rásinni að sögn Egils auk 20 manna tæknihers fyrirtækisins.
„Það má segja að vegna þessara snöggu viðbragða og snöggu ákvarðana þá vorum við komin í loftið um 48 tímum síðar, ekki að fullu reyndar, þannig að það tókst rosalega vel að komast af stað aftur.“
Á ráðstefnu Origo héldu tveir öryggissérfræðingar frá IBM erindi. Í máli þeirra kom fram að hraðinn skipti öllu máli við svona aðstæður. Sérfræðingarnir greindu frá því að meðaltími fyrirtækja að komast aftur í rekstur eftir gagnaárás sé um 23 dagar.
Eins og mastersnám í gagnaöryggi á 80 dögum
Blaðamaður spyr Egil hvort hann hafi lært eitthvað af erlendu sérfræðingunum á ráðstefnunni sem Brimborg og netöryggissérfræðingarnir gerðu ekki eða hvort hann hefði viljað gera eitthvað öðruvísi.
Forstjórinn vill ekki meina það.
„Auðvitað erum við að kalla til fullt af sérfræðingum og erum að hlýða þeirra ráðum en maður getur alveg fullyrt að maður hafi lært alveg skuggalega mikið á því að fara í gegnum þessa gagnaárás. Akkúrat á þessari ráðstefnu var 79. dagurinn eftir árásina, þetta er eins og að fara í gegnum mastersnám í gagnaöryggi á 80 dögum,“ segir Egill.
Hann segist hafa heyrt hugtök sem hann lærði á þessum 80 dögum þegar hann hlýddi á erlendu sérfræðingana og sagði það hafa verið áhugavert. Hann nefnir sérstaklega að einn fyrirlesarinn skipti gagnaárás og viðbrögðum við henni upp í nokkra þætti, eins konar tímalínu; árás (e. attack), hvenær hún uppgötvast (e. detection), viðbragðstími (e. response) og hvenær reksturinn er farinn af stað á ný (e. recovery).
„Við vorum með rosalega góðan recovery-tíma og reponse-tíminn var líka mjög sterkur og vel undir meðaltalinu en svo var detection-tíminn hjá okkur ekki nógu góður, við vorum ekki nógu snögg að fatta þetta.
Hins vegar á þessum 79 dögum þá vorum við búin að vinna í hlutum og ég veit að detection-tíminn hjá okkur mun styttast um svona 98%, response-tíminn verður jafnvel enn hraðari þó hann hafi verið hraður og ég hugsa að ég gæti recoverað á sex tímum núna en ekki 48 tímum eins og þá.“
Fjórðungur fyrirtækja sem borgar fær ekki gögnin
Í máli erlendu sérfræðingana kom ýmislegt áhugavert fram, meðal annars að fyrirtæki sem eiga ekki örugg afrit velja oft þann kost að greiða gíslatökumönnum. Staðreyndin er hins vegar sú að um 26% þeirra sem borga fá gögnin ekki til baka þrátt fyrir það.
Egill segir að Brimborg hafi verið með nokkuð gott sjálfstraust gagnvart afritatökunni.
„Við tókum hana vel í gegn fyrir 6-7 árum síðan einmitt vegna hættu á svona netárásum. Origo sér um afritatökuna og þannig var hægt að lesa gögnin þegar þurfti að reisa upp gagnagrunnana.
Afritin voru rannsökuð til öryggis og þá kom í ljós að þau voru örugg þar til um átta á mánudagskvöldi þannig að við vorum ekki að tapa nema einum eða einum og hálfum tíma og á tíma þegar engin starfsemi var í gangi.“
Hann segir þá að settur hafi verið upp nýr eldveggur og svo eldveggir á öllum hinum átta starfstöðvunum.
Lokað á umferð frá óviðkomandi löndum
„Þannig að þetta er ekki bara einn aðal eins og flestir eru kannski með. Síðan er búið að gera hverja starfsstöð dálítið sjálfstæða þannig að hún fer núna beint á internetið en ekki inn í aðalbygginguna og þaðan út.
Nú fer megnið af umferðinni sem þarf ekki að fara inn í aðalbygginguna beint út á netið en allra nauðsynlegasta umferðin fyrir skilgreindar vélar og skilgreinda notendur inn í hjartað með þar til gerðu leyfi til að gera ákveðnar aðgerðir.“
Þá segir hann að lokað hafi verið á umferð úr öllum óviðkomandi löndum inn í kerfið, það er að segja öllum löndum sem starfsmenn og samstarfsaðilar eru ólíklegir til að vera staddir í til að komast inn og þannig hafi árásarmöguleikum verið fækkað.
60% lítilla og millistórra fyrirtækja gjaldþrota innan sex mánaða
Í máli sérfræðinganna á ráðstefnunni kom fram að um 60% fyrirtækja með allt að 50 starfsmenn eða veltu að 10 milljónum evra verði gjaldþrota innan sex mánaða frá gagnaárás. Þessi tölfræði er sláandi en Egill segist ekki vera hissa á henni eftir að hafa gengið í gegnum gagnaárásina og það sem henni fylgdi.
„Í nútímarekstri, til dæmis ef einhver hefði komið inn til okkar á meðan kerfið lá niðri og ætlaði að kaupa bremsuklossa í Volvo þá hefðum við ekki getað fundið þá. Við finnum verksmiðjunúmer bílsins í gegnum bílnúmerið en við getum það ekki þar sem við erum ekki með aðgang að internetinu. Þó við myndum af einhverjum ástæðum vita hvaða varahlutanúmer er á þessum bremsuklossa þá hefðum við ekki getað komist inn í birgðakerfið til að vita hvar hann væri staddur. Það lamast í raun allt.“
Segir Egill að tekjustreymið stoppi en gjöldin haldi áfram að tikka og í raun aukist þau í tengslum við viðbrögð við árásinni. Hann segir að Brimborg hafi varist árásinni mjög vel og til marks um það voru ágúst- og septembermánuðir stærstu ágúst- og septembermánuðir sögunnar hjá Brimborg með um 55% veltuaukningu samanborið við 31% veltuaukningu árið 2022 og 26% veltuaukningu fyrstu 7 mánuði ársins í ár.
Maður setur þetta alveg í efsta sæti
Segir hann vissulega kostnaðarsamt að bregðast svona hratt við, það sé hin hliðin. „Við erum ekki alveg búin að taka saman kostnaðinn en við skiptum honum upp í þrennt.
Einn hlutinn liggur í einhverju sem maður hefði átt að vera búinn að fjárfesta. Annar hluti í einhverju sem maður hefði kannski á næstu tveimur, þremur, fimm árum orðið að fara í vegna þessarar vaxandi ógnar. Þriðji hlutinn er svo bein útgjöld vegna netárásarinnar.
Við erum einfaldlega að taka lið tvö og færa hann á 100 daga í staðinn fyrir að gera það á þremur eða fimm árum. Þegar maður sér þetta svona skýrt þá setur maður þetta alveg í efsta sæti og ofar en það og ýtir frekar einhverri annarri fjárfestingu inn í framtíðina.“
Hann segir ansi marga hafa spurt hvort Brimborg hafi verið tryggt fyrir gagnaárás sem þessari og segir að svo hafi ekki verið enda ekki mikið um slíkar tryggingar á markaði á Íslandi.
„Nýlega hefur TM verið að bjóða slíkar tryggingar. En ég fór að velta fyrir mér að ef maður væri að greiða iðgjald í svona tryggingu og yrði svo fyrir svona árás, þá myndi tryggingin ekki koma manni á lappirnar. Þannig að það er betra að verja iðgjaldinu í það að fjárfesta í gríðarlega góðu netöryggiskerfi.“
Segir öryggismál víða alls ekki í nægilega góðum málum
Egill segir íslensk fyrirtæki geta lært mikið af reynslu Brimborgar.
„Þetta er ótrúlega margþætt og lagskipt, það er ekkert eitt atriði sem ver þig. Það getur enginn verið 100% varinn en þú getur gert þetta eins erfitt og mögulegt er fyrir þessa aðila. Það er fullt af öflugum vörnum til sem við erum að innleiða einmitt núna. Það er hægt að gera þeim sem komast inn í kerfið erfiðara að komast um batteríið. Þeir séu einangraðir á einhverjum einum stað. Þá er högunin í netkerfinu brotin upp þannig að ef einhver kemst inn í eina tölvu þá er hann dálítið bara fastur í einni deild eða í einhverju undirneti. Ef hann kæmist í gegnum það að einhverjum ástæðum þá sé enn erfiðara að komast á viðkvæma staði.“
Hann segir að strax frá upphafi Brimborg ákveðið að segja satt og rétt frá í samræmi við PR-stefnu sína og telur að það hafi átt þátt í að fyrirtækið hafi komið kerfum sínum í rekstur fljótt – að tala opinskátt við viðskiptavini og fjölmiðla um atvikið og segja bara eins og er.
„Þá eru allir miklu mildari í viðbrögðum sínum. Við viljum meina að PR-stefna okkar byggi á kjörorðunum, öruggur staður til að vera á, og við viljum meina að við séum að ganga langt í samfélagslegri ábyrgð að skrifa það ekki bara á blað heldur sýna það líka í verki.
Við viljum meina að það sé samfélagsleg ábyrgð fólgin í því að segja frá og að mögulega geti aðrir lært af okkar reynslu. Maður heyrir út um allt að þetta sé alls ekki í nægilega góðum málum nánast út um allt – það er bara svoleiðis.“
Þyngri refsing fyrir að nauðga stjúpdóttur æskuvinar
Vonast til að tjaldbúðir við HÍ standi áfram
Gígbarmurinn hækkað frá því í gær
Telur forsendur fyrir vaxtalækkun
Skaut sex sinnum að feðginum á aðfangadagskvöld
Kaldasti veturinn kom að óvörum
„Höfum ekki náð að skríða upp úr þeirri gryfju“
Breytingar á skipulagi fréttadeildar RÚV