Michael Sjøberg forhandler med hackere. Her er hans vigtigste råd, når krisen rammer

Forvirring.

Det er den første følelse, der skyller ind over medarbejderne, når de møder ind til sorte skærme og krypterede beskeder. Når virksomheden er blevet udsat for et ondsindet hackerangreb.

Derefter følger et virvar af følelser og ondt i maven. Rigtig ondt i maven.

Det fortæller tidligere efterretningsofficer og en af Danmarks mest erfarne ransomware-forhandlere Michael Sjøberg fra Delta Crisis Management i et webinar om hacking og kriseplanlægning.

Hackernes trusler bliver voldsommere og voldsommere, og chancen for at blive udsat for et angreb kun større. For compliancefolk, og virksomheden, betyder det også, at GRC ikke længere er en teoretisk papirøvelse, men noget der bliver mere og mere levende. 

Men hvordan opleves det, når man står midt i orkanens øje, og hvad gør man? Det talte vi med Michael Sjøberg om. 

Hackernes dagsorden

“De første 72 timer er som regel relativt hårde og handler jo i virkeligheden om at få standset ulykken, og ikke få kommunikeret forkert ud til medierne,” forklarer Michael, som også siger, at gerningsmændene som regel har en dagsorden for deres angreb bestående af tre ting: 

- De forsøger at smadre virksomhedens backups

- så suger de adskillige gigabyte, nogle gange terabyte data ud, for derved at have et afpresningselement, 

- og så eksekverer de deres malware, som krypterer systemerne, så folk heller ikke kan arbejde.

Angiv dit kundenummer

Michael har set mange eksempler på trusselsbreve og fortæller om et han har set fra gruppen Akira, som er en russisk ransomware-bande på omkring 40-50 personer, formentlig fra Moskva. 

De efterlod en note svarende til dem man så i gammeldags kidnapningssager, hvor der blev efterladt et brev med bogstaver klippet ud fra et blad. Her skrev gruppen, at man skulle gå på en Tor-browser, så man kunne komme på the dark web og besøge deres linksite. Her ville der være en chatfunktion, hvor man skal indtaste et angivet kundenummer og derefter kan begynde at forhandle. Samarbejdede man ikke, ville informationerne blive lækket på the dark web.

Når situationen så vidt, er der en helt central ting man ikke må gøre, forklarer Michael: Man må ikke selv skride til tasterne og begynde at forhandle. 

Do’s and dont’s

Michael kan ikke understrege det nok. Man bør altid få hjælp af professionelle til at håndtere et hackerangreb, særligt i en ransomware situation.

“ Med ransomware handler det om at kommunikere med gerningsmændene for at håndtere dem - for at købe tid og få viden. Nogle gange har vi set, at det går for hurtigt, hvis virksomheden selv kaster sig ud i at gøre noget. Så bliver de udsat for det, der hedder en dobbelt whammy, hvor gerningsmændene siger, ‘det var da hurtigt, at du kunne levere halvanden bitcoin. Vi skal have halvanden mere’," forklarer han og understreger, at hackerne  bare venter på, at man reagerer voldsomt.

Hvad man til gengæld selv kan gøre - og skal gøre - er at have en lavpraktisk  beredskabsplan, have øvet sig på at udføre den, og have en ledelse, der har viden om cybersikkerhed og kan sætte sig for enden af bordet, når situationen opstår. 

Pas på med kommunikationen

Når man er under angreb, kan det føles naturligt at skynde sig at ringe til de berørte, og sige at deres personlige oplysninger er blevet stjålet. Men hvis man kommunikerer for tidligt i en krisesituation, risikerer man at skabe unødig uro blandt kunder og samarbejdspartnere, pointerer Michael. 

Han fremhæver, at der kan være tilfælde, hvor samarbejde med politimyndigheder hurtigt kan føre til, at data fjernes fra de servere, hvor gerningsmændene har placeret dem. I sådanne tilfælde kan en hurtig kommunikation faktisk forværre situationen, fordi man uforvarende påfører sine kunder stress, som måske kunne have været undgået blot få dage senere. 

Ifølge Michael handler det ikke om at tilbageholde sandheden, men om at overveje nøje, hvornår det er nødvendigt at kommunikere hvad:

"Man skal selvfølgelig være ærlig, men der er forskel på, hvornår i processen det er akut, at vi er ærlige. Det kræver nogle beslutninger taget med et koldt hoved.”

Se hele webinaret med Michael Sjøberg

Download det her

‍