Cyber security kevin

Veikart for Cybersikkerhet: Volue Etter Løsepengevirus-Angrepet

Våren 2021 ble Volue utsatt for et alvorlig cyberangrep. Kevin Gjerstad, CTO hos Volue, deler noen viktige lærdommer og informerer om Volues veikart for cybersikkerhet.

I årenes løp har jeg vært en del av flere responsteam som har håndtert sikkerhetsrelaterte hendelser. Første gang var i 1997, da jeg jobbet for Microsoft i Seattle og vi opplevde et sikkerhetsbrudd relatert til Internet Explorer 3.0.

Du forbereder deg på å respondere på et angrep, men du vet ikke hvordan organisasjonen vil oppføre seg i stressituasjonen når en hendelse faktisk oppstår.

Som CTO hos Volue har jeg ansvaret for FoU-funksjonen, omtrent 200 utviklere, produktutvikling og teknisk strategi. Cybersikkerhet er et viktig fokusområde for hele organisasjonen.

Den "nye normalen"

Tidlig på morgenen 5. mai 2021 fikk jeg beskjed gjennom flere kanaler om at vi hadde et alvorlig cyberangrep. Vi hadde brukt slike varslingsrutiner i forbindelse med mindre hendelser tidligere, men denne gangen ble det klart at vi måtte iverksette en full hendelseshåndtering.

Det første som gikk gjennom hodet mitt, var at vi måtte prioritere beskyttelse av ressurser og dataintegritet samt produksjonstjenester. En CTOs verste scenario er at en cyberangriper klarer å bryte seg inn i selskapets systemer og hente ut eller ødelegge kritiske kundedata.

Det viste seg at Volue var utsatt for et angrep med et RYUK-løsepengevirus kjent for å brukes i angrep mot store, eksponerte Microsoft Windows-systemer hos offentlige virksomheter.

Du tenker kanskje at mange selskaper opplever cyberangrep, og at Volue slik sett ikke skiller seg ut. Imidlertid leverer Volue tjenester som er helt nødvendige for samfunnet – knyttet til kjernetjenester som vi alle er avhengig av, eksempelvis energi, strømnett, vannforsyning og annen infrastruktur. Og vi vet at energiforsyning og kritisk infrastruktur stadig oftere angripes.

Den samme uken som Volue ble angrepet, var det et angrep på Colonial Pipeline, den største rørledningen for drivstoff i USA. Rørledningen måtte stenges ned.

Et angrep på et selskap som Volue er et angrep på oss alle.

Selv om responsen vår ikke på noen måte var perfekt, kan jeg med hånden på hjertet si at jeg er stolt over måten Volue responderte og arbeidet på under hendelsen.

Kevin Gjerstad CTO, Volue

Volue under cyberangrepet

Volue har retningslinjer og prosesser for dette scenarioet, men det tok en stund før vi klarte å mobilisere størstedelen av organisasjonen.

Innen 30 minutter etter cyberangrepet hadde vi "folk på bakken".

I timene og dagene som fulgte, informerte vi åpent og transparent om hendelsen og arrangerte daglige webcaster. Mer enn 500 mennesker fulgte oss hver dag. Vi samarbeidet med KraftCert i kommunikasjonen mot kundene, og vår partner ATEA utførte en omfattende etterforskning. Heldigvis ble det ikke oppdaget tegn til datatyveri – verken av personrelaterte eller infrastrukturrelaterte data.

I en svært tidlig fase av responsen vår fokuserte vi på å forstå risikoen for spesifikke produkter og tjenester og for kundedata. Det var ytterst viktig at kunder og produkter som ikke var berørt, kunne gå tilbake til normal drift så snart som mulig.

En drøy uke etter hendelsen kunne vi konkludere med at 95 prosent av kunder og applikasjoner var på den trygge siden.

Denne hendelsen har vært svært lærerik for organisasjonen vår. For personer som aldri hadde gjennomlevd noe slikt som dette tidligere, var cybertrusler nå noe med virkelige konsekvenser og krav til handling, ikke bare øvelser knyttet til en hypotetisk trusselsituasjon.

Jeg er stolt av at vi kommuniserte og samarbeidet på en åpen måte. Mange har berømmet oss for den transparens og åpenhet vi utviste. I de første timene var vi imidlertid ikke raske nok med å gi kundene nødvendig informasjon, og det har vært en lærepenge for oss.

Men selv om responsen vår ikke på noen måte var perfekt, kan jeg med hånden på hjertet si at jeg er stolt over måten Volue responderte og arbeidet på under hendelsen.

Alle vi som arbeider med energiforsyning og kritisk infrastruktur, må gi dette høy prioritet. Og vi må samarbeide om dette.

Kevin Gjerstad CTO, Volue

Veien videre: investere i teknologi og mennesker

Vår tilnærming til cyberangrepet har vært "Build back better". Selv om vi har en lang liste over ting vi fortsatt arbeider med, ble det oppnådd betydelig fremgang i løpet av noen uker.

Vi vet imidlertid at det er nok igjen å gjøre, lære og forbedre, og at dette kommer til å kreve fortløpende investeringer og arbeid.

Beredskap innen cybersikkerhet innebærer investeringer i teknologi, mennesker, opplæring og inntrengingstesting og samarbeid med samfunnet. Volue øker disse investeringene betydelig i tråd med det "nye normale" trussellandskapet vi står overfor i bransjen.

Hva står på Volues veikart nå?

Vi investerer tungt i sikkerhet både av hensyn til Volue internt og de tjenestene og produktene vi har på vegne av kundene våre.

Vi har sikkerhetsinitiativer i tolv kategorier, og hver kategori er i seg selv et betydelig prosjekt. Jeg skal ikke ta opp alt dette nå, bare fremheve noen få ting:

  • Vi har akselerert migreringen til en ny Volue- og skybasert infrastruktur. Vi har redusert bruken av servere i egne lokaler etter cyberangrepet og benytter nå fullt ut de skybaserte mulighetene for overvåking, katastrofegjenoppretting, sikkerhetsinnretninger, kryptering, med mer.
  • Vi utvider vår ISO 27001 / 9001-sertifisering til å gjelde alle Volue-enheter. Dette er den internasjonale standarden for informasjonssikkerhet. Den omhandler mennesker, prosesser og teknologi. Den er anerkjent verden over som en indikasjon på at du følger beste praksis for informasjonssikkerhet. Den er én av de tingene som viser hvor stor vekt Volue legger på sikkerhet.
  • Vi har samarbeidet med sikkerhetspartnere om å utføre regelmessige inntrengingstester tidligere, og vi fortsetter å investere i dette. Inntrengingstestingen hjelper oss med å finne ut hvor det er størst fare for et angrep, og selvsagt hvordan vi kan avbøte dette. Videre fremover kommer vi til å fortsette med inntrengingstester, som utføres av en ekstern virksomhet.
  • Vi har sett verdien av å lage sikre, sterkt krypterte sikkerhetskopier på regelmessig basis. Sikkerhetskopiene må lagres utenfor egne lokaler og være isolert, og de må sikres med begrenset, tidsbasert tilgangskontroll og beskyttet påloggingsinformasjon. Vi vil teste og øve på gjenopprettingsfunksjonen, slik at vi er sikre på at den fungerer som den skal.
  • Vi har fått på plass flerfaktorautentisering for tjenestene våre og oppfordrer på det sterkeste alle kundene våre til å aktivere dette i sine egne Azure Active Directories. MFA (Multi-Factor Authentication – flerfaktorautentisering) er et must for å hindre angripere i å få tilgang via kompromittert brukerinformasjon. Vi gjennomgår også tilgangskontroller og roller for å beskytte oss mot påvirkningsangrep ("social engineering"-angrep).
  • Opplæring og testing er viktige aspekter for oss videre fremover. Over 90 prosent av cyberangrep starter med phishing-e-postmeldinger. Sikkerhetsopplæring er svært viktig fordi det hjelper ansatte og kunder med å forstå hvilken rolle de spiller i bekjempelsen av sikkerhetsbrudd. Det handler om cyberhygiene og evnen til å identifisere cyberangrep når de skjer via e-post eller på internett.
  • Sist, men ikke minst, ønsker vi å sette en ny standard for administrasjon av kundedata. I tillegg til GDPR finnes det enkelte definerte beste praksiser. Vi har en mulighet til å øke innsatsen på dette området og holde kundene oppdatert, noe vi tror vil øke tilliten til Volues datahåndtering.

Det er mulig for organisasjoner å forberede seg på og beskytte seg mot de verste virkningene av løsepengevirus-angrep. Investering i teknologi og mennesker er nødvendig hvis man skal takle denne utfordringen.

Alle vi som arbeider med energiforsyning og kritisk infrastruktur, må gi dette høy prioritet. Og vi må samarbeide om dette.

Hva er løsepengevirus og RYUK?

Et angrep med løsepengevirus ("ransomware") er et angrep der angriperen skaffer seg tilgang til ressurser eller systemer, ofte via phishing, og deretter krypterer organisajonens lagrede data. Når dataene er blitt kryptert, er det umulig å få tilgang til dem med mindre man betaler løsepenger i form av kryptovaluta.

RYUK er en type løsepengevirus som er kjent for å brukes i angrep mot store, eksponerte Microsoft Windows-systemer hos offentlige virksomheter. Angrepet som Volue opplevde 5. mai 2021, var et løsepengevirus-angrep av denne typen.

Selv om aktørene bak truslene ofte er svært drevne, er verktøyene og teknikkene som brukes i løsepengevirus-angrep, blitt tilgjengelige også for hackere på amatørnivå. Og kryptovalutaene gjør det vanskelig eller umulig å spore betalingen.

Angrep med løsepengevirus skjer stadig oftere verden over. Energi- og infrastruktursektoren blir i økende grad angrepet. Dette er den "nye normalen" som vi alle må lære å håndtere. Recorded Future, et sikkerhetsselskap som sporer løsepengevirus-angrep, anslår at det i fjor ble utført 65 000 vellykkede slike angrep, det vil si ett hvert åttende minutt.

Get in touch

Click on the button below to request a meeting and learn more about how we are can make your operations more secure.

Click on the button below to request a meeting and learn more about how we are can make your operations more secure.

Jeremy lapak unsplash

Volue After the Cyberattack: How We Passed the Stress Test

Two weeks after the cyberattack on Volue, Vigleik Takle, Chief Commercial Officer, reflects on the value of transparency and the opportunity to build Volue into a stronger and more secure company.

Read more