Wisest logo vit
Wisest logo vit

Utsattes för ransomware.

I mars 2021 blev Carpenter utsatt för en IT-attack som kom att påverka hela bolaget. Vi träffar Roger Siljeholm, VD, för att se hur året har varit.

Relaterat

Inga resultat hittades

Sidan du begärde kunde inte hittas. Försök förfina din sökning eller använd navigeringen ovan för att lokalisera inlägget.

Tillbaka

Carpenter utsattes för ransomware

Om ditt företag blir utsatt för en IT-attack kommer hela verksamheten att påverkas. Systemen ligger ofta nere under lång tid vid en attack, vilket påverkar många processer och system i ett företag, inte minst kund-och leverantörskontakten. Detta var Roger Siljeholm med om när Carpenter blev utsatta för en ransomwareattack, trots att företaget hade ett mycket omfattande säkerhetssystem. Data krypterades på datorerna och en lösensumma krävdes för att låsa upp alla filer igen.

Lång historia i Tranås

Carpenter har funnits i Tranås sedan 1948 och är en av de ledande tillverkarna av blockskum och formgjutet skum i Norden. Sedan 2000 ingår Carpenter i Carpenter Co som är en av världens största tillverkare av komfortprodukter som till exempel kuddar, sängar och möbler. Fabriken i Tranås tillverkar och konfektionerar blockskum till främst säng- och möbelindustrin. Formgjutna produkter levereras också till fordonsindustrin där de arbetar med höga krav för tredimensionella produkter i stora serier. För att erbjuda kundanpassade lösningar har de ett eget laboratorium i Tranås där de utvecklar kundunika lösningar. I mars 2021 blev företaget utsatt för en IT-attack som kom att påverka hela bolaget. Nu har det snart gått ett år sedan attacken. Vi träffar Roger Siljeholm, VD, för att prata om hur året har varit, lärdomar och var bolaget befinner sig just nu.

Hur märkte ni att ni var utsatta för en IT-attack?

Det var en helt vanlig morgon i mars förra året. Fler och fler började få problem med sina datorer och vi trodde att det var något fel med nätverket. Snart börjar även antivirusprogrammen att blinka på datorerna och vi tog då kontakt med vår centrala IT-avdelning för Europa som i sin tur pratade med huvudkontoret i USA. Det kom därefter mycket snabba direktiv om att stänga ned alla former av datorer och nätverk. Från att allt detta startade till att få direktiv om att stänga ner allt gick det ungefär 30 minuter. Alla bolagets datorer och nätverk runt om i världens släcktes på en timme.

Därmed infann sig ett vakuum där vi inte hade tillgång till varken servrar, mail, affärssystem eller telefonväxel. Vi var bokstavligen blinda. Som tur var, gick det fortfarande att ringa från våra mobiltelefoner. Många av våra produktionsmaskiner fick också stängas ned då även dessa var nätverkskopplade. I ett sånt här läge var vi inte ens hjälpta utav våra backuper i molnet, eftersom det inte gick att köra nätverken.

Vad fick ni göra?

På några minuter gick problemet från att vara en IT-fråga till att bli en existentiell ledningsfråga. Vi samlade ledningen direkt för att börja jobba enligt vår beredskapsplan. Dessvärre låg den sparad på vår server som vi såklart inte hade tillgång till.Vi har tränat en del på detta och kom ändå ihåg stora delar av vad som är viktigt. Ganska snabbt kunde vi ringa in vad som hade hänt och att ingen var skadad, men många frågor kvarstod. Vilka beslut behöver tas? Vilken kommunikation måste fram?

Efter några timmar kunde vi starta igång våra maskiner igen, så produktionen låg inte nere särskilt länge. Maskinerna kördes dock utan fungerande koppling till servrar och utan möjlighet att läsa in nya filer, så det hackade och hostade en del. Det gick till exempel inte att skriva ut etiketter till pallar med mera

”Back to basic med papper och penna”

Eftersom affärssystemet låg nere kunde vi inte se ordrar, fakturera, beställa frakter eller material. Men på några håll och kanter visade det sig finnas utskrivna orderpapper som räddade oss i några dagar. Det var bara att hoppas på att affärssystemet skulle gå att starta upp innan den informationen tog slut. Vi hade turen att många medarbetare jobbat länge hos oss, som mindes hur man gjorde i fördatorisk tid – back to basic med papper och penna.

Carpenter koncernen beslutade ganska snart att inte betala några lösensummor utan tog i stället stöd av en amerikansk specialistfirma som centralt styrde vilka åtgärder som skulle göras. Den första tiden efter attacken fick vi annars inte många svar från vår centrala IT-avdelning. Hela koncernen, med totalt 55 siter runt om i världen, var drabbade. Varje eftermiddag hölls ett informationsmöte där senaste direktiven och informationen delades. För att kämpa mot en ransomware-attack krävs mycket stora resurser och en stor uthållighet.

Vi vände oss lokalt här i Tranås till Wisest för att se om de kunde stötta oss, vilket de kunde. Utan deras hjälp hade vi aldrig rett ut detta varken resurs- eller kompetensmässigt. Normalt har ett företag inte IT-resurser som är dimensionerade för att jobba 24/7 med alla företagets datorer samtidigt under lång tid.

Hur påverkades er verksamhet?

Utan internet och tillgång till serverdata blev det förstås problem med många processer. Kontakten med kunder och leverantörer men även myndigheter som skatteverket och banken blev mycket krånglig. För att kunna få igång en vettig kommunikation sattes ett nytt externt nätverk upp som då var helt frånskilt vårt interna nät. På så vis kunde bland annat nya e-mailadresser skapas som underlättade kommunikationen med kund och leverantör. Efter 3–4 dagar kunde vi få i gång affärssystemet, men övriga nätverket låg fortsatt nere. Efter ungefär 3 veckor hade vi fått tillbaka vårt interna nätverk och därmed kopplingen mot våra servrar. Det gick då att komma alla våra dokument och vår data igen. Totalt förlorade vi 3–4 dagars information i våra system. Men jobbet med att rensa och återställa alla våra datorer kom att visa sig ta enorm tid.

Vi har ungefär 120–130 kunder som vi har regelbunden kontakt med. Med de största kunderna har vi EDI-koppling, för gällande ordrar i vårt affärssystem, vilket är ganska mycket data och information som behöver utbytas. När allt detta plötsligt ska hanteras manuellt och via externa mailadresser så blir det en ganska jobbig situation. Men det löste sig bra till slut, tack vare förstående kunder som hjälpte till.

Hur påverkades medarbetarna?

Direkt när det händer blir det ett slags vakuum, en chock. I stort sett går allt ner, ingen vet något och det blir många frågor. Vi har lyckligtvis en suverän personal med stor erfarenhet och även en väl samspelt ledningsgrupp. Tillsammans agerade personal och ledning lugnt och metodiskt och undvek härdsmältor. Det blev också tydligt hur hela bolaget arbetade målmedvetet och tillsammans i en sådan här situation. De vanliga små gruffen var som bortblåsta och alla ställde upp på ett fantastiskt sätt.

p

Vad tar ni med för lärdomar?

Att IT-säkerhet är ledningsfråga, inte ett IT-problem. När allt plötsligt ligger nere påverkar det alla avdelningar. Detta är frågor som hela bolaget måste ta ansvar för och arbeta med tillsammans. Det finns en del man kan förbereda och tänka på högt som lågt:

  • Träna ledningen och personal i krisberedskap och ha en beredskapsplan
  • Skaffa en upparbetad kontakt med professionella konsulter på IT-säkerhet. De ska kunna ställa upp med såväl kompetens som resurser med mycket kort varsel och ska kunna hjälpa er att arbeta förebyggande.
  • Det är inte fel att ha dubbla nätverk. Ett företagsnät och ett helt fristående öppet nät.
  • Backuper i molnet är inte helhetslösningen utan bara en dellösning.
  • Ett bra sätt att prova vad som händer är att dra nätverkssladdarna i serverrummet. Då ser ni vad som händer på riktigt.
  • Fundera igenom hur ni löser kundkontakter, produktion, order, fakturor och myndighetskontakter utan internet

Hur arbetar ni idag?

Det har tagit oss nästan ett år att komma tillbaka till något slags normalläge. Idag är har vi en högre medvetenhet kring IT-säkerhet och är ännu bättre förberedda. Men en ny attack kan säkert ändå ske trots rigorösa säkerhetssystem, och om det sker igen kommer det säkert även då skapa stora problem och kostnader.

Tillbaka

Vad är Extended Detection and Response? – Allt du behöver veta om XDR

XDR (Extended Detection and Response) är en avancerad cybersäkerhetslösning som samlar in och korrelerar data från flera säkerhetsdomäner – såsom endpoints, nätverk, e-post, molntjänster och identiteter – för att upptäcka och hantera hot snabbare och mer effektivt än traditionella verktyg.
Till skillnad från äldre lösningar som fokuserar på enskilda delar av infrastrukturen, ger XDR en samlad vy över hela IT-miljön. Det gör det möjligt att identifiera komplexa attacker som annars skulle kunna passera obemärkt.

Varför behöver man XDR?

I dagens hotlandskap är det inte längre tillräckligt med punktlösningar. Cyberattacker är ofta sofistikerade och rör sig mellan olika delar av infrastrukturen. XDR hjälper till att:
– Samla in och analysera data från flera källor för att upptäcka hot i ett tidigt skede.
– Automatisera responsen, isolera enheter och minska tiden från upptäckt till åtgärd.
– Minska larmtrötthet genom att gruppera relaterade larm till en enda incident.
– Ge säkerhetsteam en tydlig bild av attackkedjan och möjliggöra proaktivt agerande.

Vad skiljer XDR från EDR och MDR?

EDR (Endpoint Detection and Response) fokuserar på att övervaka och skydda enskilda enheter som datorer och servrar. Det är ett kraftfullt verktyg, men begränsat till just endpoints. EDR kan ofta ses som ett mer avancerat antivirusprogram – exempelvis Microsoft Defender for Endpoint – som kombinerar traditionellt virusskydd med beteendeanalys och hotdetektion.

XDR tar det ett steg längre genom att samla in och korrelera data från flera säkerhetsdomäner – inte bara endpoints, utan även nätverk, e-post, molntjänster och identiteter. Det ger en mer komplett bild av hotlandskapet och gör det lättare att upptäcka komplexa attacker.

MDR (Managed Detection and Response) är en tjänst där ett externt säkerhetsteam övervakar, analyserar och svarar på hot åt dig – ofta med hjälp av EDR eller XDR som teknisk grund. Det passar särskilt bra för organisationer som saknar ett eget SOC (Security Operations Center) eller vill ha experthjälp dygnet runt.

Isolering av enheter med XDR

En viktig funktion i moderna XDR-lösningar är möjligheten att isolera enheter vid misstänkta hot. Både Sophos XDR och Microsoft Defender XDR kan automatiskt eller manuellt koppla bort en komprometterad enhet från nätverket. Det förhindrar att hotet sprider sig vidare, samtidigt som enheten behåller kontakt med säkerhetsplattformen för vidare analys och åtgärder.

XDR-lösningar i praktiken – med fokus på Sophos och Microsoft

Det finns flera kraftfulla XDR-plattformar på marknaden, och på Wisest arbetar vi med olika lösningar för att möta våra kunders behov – främst från Sophos och Microsoft. Dessa plattformar erbjuder avancerade funktioner som realtidsanalys, automatiserad incidentrespons och integration mellan flera säkerhetsdomäner. Med Sophos får du bland annat tillgång till Live Discover & Live Response och möjlighet att kombinera med MDR-tjänster via Sophos MTR. Microsoft Defender XDR å andra sidan erbjuder en enhetlig säkerhetsplattform där produkter som Defender for Endpoint, Office 365, Identity och Cloud Apps samverkar för att ge ett heltäckande skydd. Båda lösningarna använder AI och hotintelligens för att snabbt identifiera och hantera hot – och kan dessutom isolera komprometterade enheter för att förhindra spridning av attacker.

Behöver du hjälp att komma igång?

Att konfigurera och hantera XDR-lösningar kan vara komplext – men du behöver inte göra det själv.
Kontakta oss på Wisest för att få hjälp med att implementera, optimera och löpande hantera din XDR-miljö – oavsett om du använder Sophos, Microsoft eller något annat. Vi hjälper dig att få ut maximal effekt av din investering i cybersäkerhet.